几乎所有文件都被加密为 BA7SIUo0 后缀,留下的勒索信息为:
#Warning: Your files have been encrypted.
If you want to get your files back and are willing to pay, please contact us at the email addresses shown below:
[email protected]
[email protected]
In the subject line, please write your personal ID.
ID: 20B42F2B8E6E282A996D5E54729FFE5B
If you do not message for the files within 24 hours, the price will be doubled and if there is no response, please send a message to the second email.

ps: 已报警,还没有去做笔录,出警警察并不确定网安会受理,其实不指望报警有啥用,但如果抓到人了还是很爽的

www.nomoreransom.org/zh/decryption-tools.html 不知道有没有用

  1. 断网
  1. ID Ransomware ( id-ransomware.malwarehunterteam.com/)
    将勒索信息文件(如#Warning: Your files have been encrypted.txt )和一个被加密的文件(最好是小文件,如 txt 或 jpg )上传到该网站。它会分析并告诉你这是哪种勒索软件,以及是否存在解密可能性。
    3.No More Ransom 项目 ( www.nomoreransom.org/)
    这是由执法机构和网络安全公司联合发起的项目,提供解密工具和建议。您可以在他们的网站上使用“Crypto Sheriff”功能来识别勒索软件。

  2. 搞不定就格式化硬盘,就当硬盘坏了。

    我也查到了这个网站,没有匹配的工具

    目前看来只能格式化硬盘了

    割了吧,递刀

    格盘重装啊,还准备交钱吗

    万一有找回数据的办法呢

    有用 OneDrive 同步么?有的话,可以用 OneDrive 还原点( 30 天)

    家里还是公司,家里有 NAS 就定期全盘备份吧,公司找公司信息同事处理

    怎么中的毒有头绪吗?同网段下的其他设备有被传染吗?

    怎么中的毒

    中毒过程不清楚,24 小时开机的一台虚拟机,宿主机都没事,平时就用来搞 arcgis 的

    是不是弱口令,开 ipv6 了?

    一般建议没事给虚拟机或者之类的开 NAT 网络。 尽量不要直接开 ipv6.

    一版就是远程桌面密码设置的过于简单,直接爆破了

    #14 v6 开的话得在路由器端做好 v6 的防火墙出站,虽然说 v6 被扫到 ip 的可能性不高,但是如果做了 ddns ,别人根据 dns 记录来攻击,还是有概率的。。
    #12 勒索病毒最常见的攻击不是 smb1.0 么,你开了 smb1 的共享了?

    先找原因,比如开公网 frp 然后弱密码开 rdp 那必爆,之前遇到过一次,幸好一直用的坚果云随便他加密,直接一键恢复版本,长个记性挺好。

    安装 geoserver 了吗?

    没装,难道 geoserver 都有后门啥的吗

    估计就是 rdp 弱口令的问题,ipv6 没开