隔壁网

[讨论/分享] 黑群中招被勒索

2024-2-12 02:53
42408
本帖最后由 oO冰Oo 于 2024-2-12 03:50 编辑

正常使用中,突然发现nas中的文件消失,只剩下一个txt文件, 打开一看,内容如下:

Hello.

This is disk Security.

What happened?

- Your Network was not secure.
- Your Network-Attached Storage was compromised.

What does this mean? Where are my files?

- All your data has been moved to a special encrypted volume.
- All your important documents have been downloaded.

What can I do to recover my data?

- If you want to recover your data, you have to send 0.12 Bitcoin to this wallet address:

bc1qxknhkyflkg5u9vp3ujmmeu085lztzetxsr0g8g

Always double check the address when copy/pasting it !!!!!

- You have until the 22th of February 2024 to send the payment.
After this date the decryption will be almost impossible.

What should I do after I send the payment?

- Your ID is: XXXXXX

- Please email us your ID and payment confirmation(txid) to:

- nasmanager@mail2tor.com

- After we confirm your payment you will receive the password so you can decrypt all your data.

Can I still use my nas?

-Avoid deleting any files present on your NAS.
-Refrain from attempting data recovery using software, as it is unlikely to be successful.
-Do not make any alterations to volumes or storage pools on your NAS.
-Avoid writing substantial amounts of data to your disk.
-Refrain from restarting or powering on/off your Synology multiple times, as it may lead to archive corruption

Why have my files been downloaded?

- We reserve the right to leak or sell all your important documents, if you don't contact us.


We will send you the password immediately after the payment.
We will even send you tips on how to strengthen your network security, to prevent any future attacks.


Thank you.


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

进入存储管理器查看,没了。。。

001.png

搜索了一下,并没有看到这种案例,普遍都是被加密。而我的是文件全部消失。


使用nas自带的杀软扫描了一下,发现文件实际还在,只是看不到了。。。
002.png


进入PE使用ufs查看,也是空的。


在这里提醒大家,安全第一,时常修改密码,关闭ssh。

分享到 :
0 人收藏
隔壁网希捷酷狼8T硬盘,正品国行,3年换新,只需要1270元,赠送论坛邀请码和VIP!

8 个回复

倒序浏览
hetssw  低烧37.3℃ | 2024-2-12 16:48:53

不懂帮顶!
lxh0508  宗师 | 2024-2-12 21:40:12
我同事中过,是你的电脑中毒,获取了你浏览器自动保存的密码了。把你的文件删除了。如果开了回收站或者快照可以找回。要不然付了钱也没用,不讲武德的玩意
heli8200  中烧38.5℃ | 2024-2-12 22:17:39
我也中招过,里面的几十T的电影以及连续剧全没了。我是开了远程桌面引起的。
jojo100  中烧38.5℃ | 5 天前
就是用加密程序加密了,只不过这个加密程序比较高级,服务器端有一个公钥,每一个中病毒的电脑会有一个私钥,公钥+私钥会生成一个类似于证书是的东西,拷贝到中病毒的各个文件夹下,然后运行一段指令,相当于重写文件格式,就行了。我之前虚拟机上有人老扫描我,我想知道他们想干嘛。就特意开放了端口和取消了密码。结果他就干了个这事儿。
我和你不同的是,我可以看到文件后面加了一串文件格式和加密字段。你这个看不见,如果容量还在就说明是隐藏了,如果容量不在了,机械硬盘使用恢复软件有概率恢复出来,固态的话就算了彻底没戏了
hemirock  发热37.1℃ | 5 天前
登录开两步验证不是很安全吗
chizhongwu 互助团队  发热37.1℃ | 4 天前
太恐怖了,辛辛苦苦搞的资料可能都没了,确实要注意网络安全。
jojo100  中烧38.5℃ | 4 天前
hemirock 发表于 2024-2-17 22:40
登录开两步验证不是很安全吗

没用的,两部登录只是web下有用,ssh下没有用的  黑客会通过ssh登录取得权限后直接服务器拉取,linux命令运行,或者开启ftpwebdav之类的权限后运行,最好的方式是关闭ssh的外网登录 或者采用密钥登录
jojo100  中烧38.5℃ | 4 天前
chizhongwu 发表于 2024-2-18 15:54
太恐怖了,辛辛苦苦搞的资料可能都没了,确实要注意网络安全。

所以要养成冷备的习惯,我是重要资料raid1,然后usbshare备份,在冷备,然后国内容灾一份
懒得打字嘛,点击右侧快捷回复 【本站酷狼4T,750元】
您需要登录后才可以回帖 登录 | 注册

本版积分规则

淘宝小店

邀请码

VIP会员

微信客服

公众号

微信群

1111活动,群晖每满300减50,可大刀,暗号芝麻开门。 立即登录 立即注册

Powered by Discuz! X3.4 © 2001-2016 Comsenz Inc.

返回顶部