一、收到病毒報告#
事情起因是這樣的
++2024 年 1 月 24 日晚上 7 點 ++,我的手機收到了這樣一封郵件
然鵝當時的我正在吃飯,並沒有點進郵件瀏覽,也就沒有在意,因為在此之前我並不會認為會有人閒到攻擊我的電腦。然而事實是吃完飯之後,我照例想解鎖電腦玩上幾局 CF 的生化模式 ||(題外話,現在 CF 生化模式大哥太多了,一把異變清道夫把母體溜的一愣一愣的)||,然而在鎖屏頁面無論我怎麼輸入密碼都提示密碼錯誤,在我反復解鎖失敗之後我得出了一個結論
=="密碼被篡改了"==
二、電腦被暴力破解#
我登錄 PE 系統刪除了本地帳戶的密碼,進入桌面後發現除了.exe 文件之外,所有的文件都被加入了這樣的後綴,於此同時,桌面也被替換為了這個。
這怎麼能忍!於是乎我打開了入侵者在桌面留下了一封信,信件內容是
我沒有耐心去翻譯這封信,猜也能猜出來大致內容是你的電腦被入侵了,請匯款獲得解鎖密鑰之類的
但是我內心疑惑的是入侵者是怎麼拿到我的電腦權限的呢?
於是我帶著疑問在谷歌上搜到了相關的病毒信息
WIS 勒索病毒#
wis 後綴屬於 makop 家族勒索病毒,其常見的後綴還有:makop,mkp,此勒索病毒從 2019 年開始出現,攻擊方式主要是通過爆破遠程桌面獲取遠程桌面登錄密碼,在拿到遠程桌面密碼後登錄到用戶機器上進行手動投毒。
在每個目錄下都會留下一個勒索信,名稱為:important_information.hta
三、通過谷歌快照重新建站#
沒想到竟是我的遠程桌面密碼太簡單被暴力破解了,囧。我又翻看了一下火絨自動記錄的腳本運行日誌,發現入侵者先是 == 暴力破解 == 了我自己的帳號密碼,然後通過 net 命令 == 獲取到 administrator 帳戶權限 ==,把我的登錄密碼修改了之後,== 植入了 WIS 病毒程序 ==。但是我仔細想了想,我的遠程桌面端口不是 ++3389++,遠程地址也從來沒有暴露過,在外展示的也都是經過 Cloudflare 的 CDN 回源過後的地址,入侵者是怎麼知道這些信息的呢,這一點我百思不得其解。沒辦法了,事已至此我只能選擇重裝系統,可恨的是我的博客數據都被病毒加密了,只能全部丟棄,幸好文章不太多。通過谷歌快照都找回來,很感謝谷歌爬蟲收錄了我的網站
快照地址 (https://kuaizhao.coderschool.cc/)
於是我就根據這些信息重裝了系統,重建了網站,其中的艱難全部拜病毒所賜。
在這裡奉勸大家一定要把自己的密碼都改成強密碼啊!
此文由 Mix Space 同步更新至 xLog
原始鏈接為 https://www.xiaozhengyang.com/posts/life/WIS