用frps做内网穿透服务器的多注意-小心中招勒索病毒lockbit2.0

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

前几天有网友找到我，问中了勒索病毒还有救么？过来了两张图；

经过客户的自述，发现客户用了frps做内网穿透服务器时暴露了3389端口被黑进来的；

客户说：周末晚上想远程办公连接一下单位的电脑，发现登录失败密码不对，察觉有些异常，再尝试登录系统内的备用用户，提示超过连接限制，知道出事了，电脑应该是被别人远程控制了。随后就发现家中开着机的两台电脑，自己锁屏了，再打开的时候开了系统默认的音乐文件夹，里边有一个bat文件一个lockbit***.exe。这才意识到是勒索病毒，第一时间改掉了家中一台电脑的登陆密码，检查了一下启动项，全盘查杀了一遍，没有文件受损。另外一台电脑慢了几分钟，怕来不及，直接断网断电了，再开机看已经晚了，电脑内的文件被加密了一半，桌面也提示是lockbit2.0了。这时反应过来可能是RDP端口的问题，赶紧把VPS关了，里边跑了frps做内网穿透，试图阻断病毒对我单位电脑的继续控制，不过文件加密只要一开始没法断电的话估计就白搭了。粗略的检查了一遍NAS，跑Armbian的N1似乎没什么大问题都关机了。

搜了一晚上这个勒索病毒相关的信息，基本上是无解，只能抱有一丝侥幸心理。周一早上到单位用密保问题重置了开机密码，打开一看，果然，单位电脑上几乎所有的文件都被加密了，火绒应该是电脑被远程控制之后就被关闭了，那个bat文件把系统还原点都删除了，应该什么都恢复不了了，感到绝望。

回想一下应该是frp暴露了3389端口，被人RDP爆破黑了进来，纯数字开机密码，唉，大意了。至于家里的电脑应该是通过我单位电脑上的远程桌面的访问纪录连上的，我还保存了密码。胃痛。

单位电脑上的文件，有个去年9月份的全盘备份，就是最近几个月的东西不太好办了，只能找找微信记录、邮件记录什么的了，最难受的就是前两周刚做的PPT和写的报告没了，还没给其他人发过，一点记录都没有。现在单位的电脑还断着网开着机呆着，目前计划是把被感染的两块硬盘直接取下来封存，等有办法解密lockbit的时候再拿出来试试了，从家里带了个笔记本来办公，后面带两块硬盘替换被感染的那两块重装系统吧。

最后想问一下大佬，现在有没有一丝希望能够解密文件，这两天搜到一个新闻说日本警方似乎突破了lockbit3.0。另外想问问，淘宝上的数据恢复商家可靠吗？

客户说了这么多，其实真的是没啥可救的了，就算去淘宝去找，解密也不是百分百的解密完成，都会有一些后遗症，如果真的十分重要，就去整，然后也做好被骗的心理值，还有就是这东西基本是无解，说没有希望是假，咋也得有1%；遇到这样的事情，就自认倒霉和节哀吧；

写在最后：希望大家能吸取教训

1、不要再网上乱下载一些所谓免费破解的东西，都是幌子，大家都是成年人，哪里有辣么多的雷锋，作者不用吃饭喝酒么；

2、多备份，备份次数太少，频率太低！

3、RDP默认3389端口没改大忌，一定要改；

4、开机密码纯数字强度太低---大忌

5、没有设置密码尝试次数限制--大忌（撞库就是这么尝试）

问题未解决？付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说，是心之所感，思之所悟，行之所得；文当无敷衍，落笔求简洁。 以所舍，求所获；有所依，方所成！