寒武

寒武

記録:WISランサムウェア感染の経験

一、ウイルス報告を受け取る#

事の発端は次のようになります。
++2024 年 1 月 24 日の午後 7 時 ++、私の携帯電話にはこのようなメールが届きました。

image

しかし、当時私は食事中であり、メールを開いて閲覧することはありませんでした。攻撃者が私のコンピュータを攻撃するほど暇な人がいるとは思わなかったので、気にも留めませんでした。しかし、食事を終えた後、通常通りにコンピュータのロックを解除して CF のバイオハザードモードで数局プレイしようとしました ||(余談ですが、今 CF のバイオハザードモードは本当に多くのプレイヤーがいます。一つの異変清道夫が母体をスリップさせています)||。しかし、ロック画面でパスワードを入力しても、どんなに試してもパスワードが間違っていると表示されました。何度も解除に失敗した後、私は結論を出しました。
==「パスワードが改ざんされた」==

二、コンピュータが暴力的にハッキングされる#

私は PE システムにログインしてローカルアカウントのパスワードを削除し、デスクトップに入ると、.exe ファイル以外のすべてのファイルにこのような拡張子が追加されていることに気付きました。同時に、デスクトップも以下のように置き換えられました。
image
image
これは我慢できません!そこで、デスクトップに残された侵入者の手紙を開きました。手紙の内容は次のとおりです。
image

私はこの手紙を翻訳する忍耐力がありませんが、おおよその内容は私のコンピュータが侵害されたことを示し、解除キーを入手するために送金するよう求めているというものです。しかし、私は疑問に思っています。侵入者はどのようにして私のコンピュータの権限を取得したのでしょうか?そこで私は疑問を抱えて Google で関連するウイルス情報を検索しました。

WIS ランサムウェア#

wis 拡張子は makop ファミリーのランサムウェアに属しており、一般的な拡張子には makop、mkp などがあります。このランサムウェアは 2019 年から出現し、攻撃方法は主にリモートデスクトップの爆破を通じてリモートデスクトップのログインパスワードを取得し、リモートデスクトップのパスワードを取得した後、手動で感染を行います。
各ディレクトリには「important_information.hta」という名前のランサムウェアのメッセージが残されます。

三、Google のキャッシュスナップショットを使用してウェブサイトを再構築する#

思いもよらず、私のリモートデスクトップのパスワードが簡単すぎて暴力的にハッキングされてしまいました。困りました。私は火絆が自動的に記録したスクリプトの実行ログを再度確認しましたが、侵入者はまず私自身のアカウントのパスワードを暴力的にハッキングし、その後、net コマンドを使用して administrator アカウントの権限を取得し、私のログインパスワードを変更し、WIS ウイルスプログラムを埋め込みました。しかし、よく考えてみると、私のリモートデスクトップのポートは ++3389++ ではありませんし、リモートアドレスも公開されたことはありません。また、外部に表示されるのも Cloudflare の CDN を経由したアドレスです。侵入者はこれらの情報をどのように知ったのでしょうか、これについては全く理解できません。仕方がありません、事態はここまで来たので、システムを再インストールするしかありませんでした。悔しいことに、私のブログのデータはすべてウイルスによって暗号化されてしまいました。すべてを捨てなければなりませんでしたが、幸いなことに記事はあまり多くありませんでした。Google のキャッシュスナップショットを使用してすべてを取り戻すことができました。Google のクローラーが私のウェブサイトを収集してくれたことに感謝しています。

スナップショットのアドレス (https://kuaizhao.coderschool.cc/)

したがって、これらの情報に基づいてシステムを再インストールし、ウェブサイトを再構築しました。その中にはウイルスのおかげで苦労がありました。

ここで皆さんにお勧めしたいのは、自分のパスワードをすべて強力なものに変更することです!

この記事は Mix Space から xLog に同期更新されました。
元のリンクは https://www.xiaozhengyang.com/posts/life/WIS


読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。