7 个赞
lockbit勒索病毒一哥,解密不可能了,希望你所在的公司有做好备份,不然只能乖乖拿钱了!
破解不大可能。 重装吧
无解,还原备份,资料重要且没备份的话只能交钱 ,不过交钱也不一定给你解
放弃吧。。。当初老东家中了上百台,被勒索1500M 美金
然后就进行了 灾后重建
恢复备份吧! 无解的
没救了,火化吧
无解,,恢复吧
这是东哥的服务器吗
1 个赞
不是,不要再带东哥了~
是不是都是windows 好像linux没事
是不是开放了3389端口? 现在lockbit实现自动化了,批量扫全网自动爆破,执行完直接自删除,连本体都没留下。
哎~ 这个会在服务器之前相互传播吗?
是弱密码~
横向移动自动化不好说,但是如果价值高,恶意行为者肯定会手动横向移动的
尴尬了刚刚看错了 这是3.0自带的功能:ATT&CK:
| 策略 | id | 名字 | 描述 |
|---|---|---|---|
| 执行TA0002 | T1559.001 | 组件对象模型 | 用于删除卷影副本 |
| T1106 | 原生 API | 大量使用 Windows 本机 API 调用 | |
| T1047 | WMI | 用于删除卷影副本 | |
| 持久性TA0003 | T1547.001 | 注册表运行项 | 如果在安全模式下启动,则将注册表设置为在下次正常启动时启动。 |
| 权限提升TA0004 | T1134.001 | 令牌模拟 | 使用已知令牌启动进程,目的是复制令牌。 |
| 防御规避TA0005 | T1562.001 | 禁用或修改工具 | 停止和删除 Windows 安全服务 |
| T1562.002 | 禁用 Windows 事件日志记录 | 停止和删除负责事件日志记录的服务 | |
| T1562.004 | 禁用系统防火墙 | 停止和删除 Windows 防火墙的服务。 | |
| T1562.009 | 安全模式启动 | 在安全模式下启动时更改行为。 | |
| T1078.001 | 默认帐户 | 尝试使用默认管理员凭据登录 | |
| 发现TA0007 | T1083 | 文件和目录发现 | 遍历挂载的磁盘和文件系统 |
| T1135 | 网络共享发现 | 遍历所有共享网络资源 | |
| T1120 | 外围设备发现 | 定位可移动存储设备 | |
| T1057 | 进程发现 | 查找要停止的特定进程 | |
| T1018 | 远程系统发现 | 查找域控制器和 DNS 服务器 | |
| T1082 | 系统信息发现 | 获取有关操作系统的特定信息 | |
| 横向移动 TA0008 | T1021.002 | Windows 管理员共享 | 用于与远程网络共享交互的有效帐户的用户 |
| 指挥与控制TA0011 | T1071.001 | Web 协议 | 使用 HTTP 与 C2 通信 |
| T1573 | 加密通道 | TLS 1.2 标准 | |
| 外泄TA0010 | T1041 | 通过 C2 通道外泄 | 在 POST 请求中发送基本系统信息 |
| 冲击TA0040 | T1485 | 数据销毁 | 删除回收站和卷影副本 |
| T1486 | 数据加密以防影响 | 勒索软件 | |
| T1491.001 | 内部污损 | 桌面已更改 |
佬 是不是销毁被加密的几台windows就行了~ 直接删除重装
对直接重装系统
基本没救,大多数企业 勒索病毒应急响应 最后都是要么有备份还原,要么交钱, 