寒武

寒武

记录:一次被WIS勒索病毒感染的经历

一、收到病毒报告#

事情起因是这样的
++2024 年 1 月 24 日晚上 7 点 ++,我的手机收到了这样一封邮件

image

然鹅当时的我正在吃饭,并没有点进邮件浏览,也就没有在意,因为在此之前我并不会认为会有人闲到攻击我的电脑。然而事实是吃完饭之后,我照例想解锁电脑玩上几局 CF 的生化模式 ||(题外话,现在 CF 生化模式大哥太多了,一把异变清道夫把母体溜的一愣一愣的)||,然而在锁屏页面无论我怎么输入密码都提示密码错误,在我反复解锁失败之后我得出了一个结论
==“密码被篡改了”==

二、电脑被暴力破解#

我登录 PE 系统删除了本地账户的密码,进入桌面后发现除了.exe 文件之外,所有的文件都被加入了这样的后缀,于此同时,桌面也被替换为了这个。
image
image
这怎么能忍!于是乎我打开了入侵者在桌面留下了一封信,信件内容是
image

我没有耐心去翻译这封信,猜也能猜出来大致内容是你的电脑被入侵了,请汇款获得解锁密钥之类的
但是我内心疑惑的是入侵者是怎么拿到我的电脑权限的呢?
于是我带着疑问在谷歌上搜到了相关的病毒信息

WIS 勒索病毒#

wis 后缀属于 makop 家族勒索病毒,其常见的后缀还有:makop,mkp,此勒索病毒从 2019 年开始出现,攻击方式主要是通过爆破远程桌面获取远程桌面登录密码,在拿到远程桌面密码后登录到用户机器上进行手动投毒。
在每个目录下都会留下一个勒索信,名称为:important_information.hta

三、通过谷歌快照重新建站#

没想到竟是我的远程桌面密码太简单被暴力破解了,囧。我又翻看了一下火绒自动记录的脚本运行日志,发现入侵者先是 == 暴力破解 == 了我自己的账号密码,然后通过 net 命令 == 获取到 administrator 账户权限 ==,把我的登录密码修改了之后,== 植入了 WIS 病毒程序 ==。但是我仔细想了想,我的远程桌面端口不是 ++3389++,远程地址也从来没有暴露过,在外展示的也都是经过 Cloudflare 的 CDN 回源过后的地址,入侵者是怎么知道这些信息的呢,这一点我百思不得其解。没办法了,事已至此我只能选择重装系统,可恨的是我的博客数据都被病毒加密了,只能全部丢弃,幸好文章不太多。通过谷歌快照都找回来,很感谢谷歌爬虫收录了我的网站

快照地址 (https://kuaizhao.coderschool.cc/)

image

于是我就根据这些信息重装了系统,重建了网站,其中的艰难全部拜病毒所赐。

在这里奉劝大家一定要把自己的密码都改成强密码啊!

此文由 Mix Space 同步更新至 xLog
原始链接为 https://www.xiaozhengyang.com/posts/life/WIS


加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。