寒武

寒武

记录:一次被WIS勒索病毒感染的经历

一、收到病毒报告#

事情起因是这样的
++2024 年 1 月 24 日晚上 7 点 ++,我的手机收到了这样一封邮件

image

然鹅当时的我正在吃饭,并没有点进邮件浏览,也就没有在意,因为在此之前我并不会认为会有人闲到攻击我的电脑。然而事实是吃完饭之后,我照例想解锁电脑玩上几局 CF 的生化模式 ||(题外话,现在 CF 生化模式大哥太多了,一把异变清道夫把母体溜的一愣一愣的)||,然而在锁屏页面无论我怎么输入密码都提示密码错误,在我反复解锁失败之后我得出了一个结论
==“密码被篡改了”==

二、电脑被暴力破解#

我登录 PE 系统删除了本地账户的密码,进入桌面后发现除了.exe 文件之外,所有的文件都被加入了这样的后缀,于此同时,桌面也被替换为了这个。
image
image
这怎么能忍!于是乎我打开了入侵者在桌面留下了一封信,信件内容是
image

我没有耐心去翻译这封信,猜也能猜出来大致内容是你的电脑被入侵了,请汇款获得解锁密钥之类的
但是我内心疑惑的是入侵者是怎么拿到我的电脑权限的呢?
于是我带着疑问在谷歌上搜到了相关的病毒信息

WIS 勒索病毒#

wis 后缀属于 makop 家族勒索病毒,其常见的后缀还有:makop,mkp,此勒索病毒从 2019 年开始出现,攻击方式主要是通过爆破远程桌面获取远程桌面登录密码,在拿到远程桌面密码后登录到用户机器上进行手动投毒。
在每个目录下都会留下一个勒索信,名称为:important_information.hta

三、通过谷歌快照重新建站#

没想到竟是我的远程桌面密码太简单被暴力破解了,囧。我又翻看了一下火绒自动记录的脚本运行日志,发现入侵者先是 == 暴力破解 == 了我自己的账号密码,然后通过 net 命令 == 获取到 administrator 账户权限 ==,把我的登录密码修改了之后,== 植入了 WIS 病毒程序 ==。但是我仔细想了想,我的远程桌面端口不是 ++3389++,远程地址也从来没有暴露过,在外展示的也都是经过 Cloudflare 的 CDN 回源过后的地址,入侵者是怎么知道这些信息的呢,这一点我百思不得其解。没办法了,事已至此我只能选择重装系统,可恨的是我的博客数据都被病毒加密了,只能全部丢弃,幸好文章不太多。通过谷歌快照都找回来,很感谢谷歌爬虫收录了我的网站

快照地址 (https://kuaizhao.coderschool.cc/)

image

于是我就根据这些信息重装了系统,重建了网站,其中的艰难全部拜病毒所赐。

在这里奉劝大家一定要把自己的密码都改成强密码啊!

此文由 Mix Space 同步更新至 xLog
原始链接为 https://www.xiaozhengyang.com/posts/life/WIS


Loading...
Ownership of this post data is guaranteed by blockchain and smart contracts to the creator alone.