记录:一次被WIS勒索病毒感染的经历
一、收到病毒报告
事情起因是这样的
2024年1月24日晚上7点,我的手机收到了这样一封邮件
然鹅当时的我正在吃饭,并没有点进邮件浏览,也就没有在意,因为在此之前我并不会认为会有人闲到攻击我的电脑。然而事实是吃完饭之后,我照例想解锁电脑玩上几局CF的生化模式(题外话,现在CF生化模式大哥太多了,一把,然而在锁屏页面无论我怎么输入密码都提示密码错误,在我反复解锁失败之后我得出了一个结论异变清道夫把母体溜的一愣一愣的)
“密码被篡改了”
二、电脑被暴力破解
我登录PE系统删除了本地账户的密码,进入桌面后发现除了.exe文件之外,所有的文件都被加入了这样的后缀,于此同时,桌面也被替换为了这个。
我没有耐心去翻译这封信,猜也能猜出来大致内容是你的电脑被入侵了,请汇款获得解锁密钥之类的
但是我内心疑惑的是入侵者是怎么拿到我的电脑权限的呢?
于是我带着疑问在谷歌上搜到了相关的病毒信息
WIS勒索病毒
wis后缀属于makop家族勒索病毒,其常见的后缀还有:makop,mkp,此勒索病毒从2019年开始出现,攻击方式主要是通过爆破远程桌面获取远程桌面登录密码,在拿到远程桌面密码后登录到用户机器上进行手动投毒。 在每个目录下都会留下一个勒索信,名称为:important_information.hta
三、通过谷歌快照重新建站
没想到竟是我的远程桌面密码太简单被暴力破解了,囧。我又翻看了一下火绒自动记录的脚本运行日志,发现入侵者先是暴力破解了我自己的账号密码,然后通过net命令获取到administrator账户权限,把我的登录密码修改了之后,植入了WIS病毒程序。但是我仔细想了想,我的远程桌面端口不是3389,远程地址也从来没有暴露过,在外展示的也都是经过Cloudflare的CDN回源过后的地址,入侵者是怎么知道这些信息的呢,这一点我百思不得其解。没办法了,事已至此我只能选择重装系统,可恨的是我的博客数据都被病毒加密了,只能全部丢弃,幸好文章不太多。通过谷歌快照都找回来,很感谢谷歌爬虫收录了我的网站
快照地址(https://kuaizhao.coderschool.cc/)
于是我就根据这些信息重装了系统,重建了网站,其中的艰难全部拜病毒所赐。
在这里奉劝大家一定要把自己的密码都改成强密码啊!