打印

公司被用bitlocker勒索了

helllee

LOLI桶

魔神至尊

我爱全画幅

帖子: 17154
精华: 0
积分: 4326
激骚: 355 度
爱车: 撞了
主机: 没了
相机: 搜你坑爹卡片机
手机
注册时间: 2006-11-3

TGFC 2015新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前在线

1^# 大中小发表于 2022-8-24 19:08 只看该作者

posted by wap, platform: iPhone
一半以上主机包括数据服务器被锁掉
而且不是城市区域而是全国范围包括数据服务器都锁了
有同事昨晚深夜加班到3点突然也被强制重启后锁定
勒索信是英文不知道勒索多少个币了

本帖最后由 helllee 于 2022-8-24 19:09 通过手机版编辑

附件: 您所在的用户组无法下载或查看附件

TOP

landice

混世魔头

帖子: 2214
精华: 0
积分: 14161
激骚: 94 度
爱车
主机
相机
手机
注册时间: 2003-5-13

发短消息
加为好友
当前在线

2^# 大中小发表于 2022-8-24 19:52 只看该作者

去年10月公司中过一次招，记得是lockbit2.0，发现的早污染范围不大，最后没有交赎金，这种勒索程序为了污染速度快，写入加密字节数有时候不多，比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了（99%以上），金蝶公司的人就帮忙恢复了，因为sql数据库文件是连续记录文件，只污染文件头其实大部分数据都还在，很好恢复，其他文件就不行了，本地有一个德企也是中招了，要3000万，最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业，微软这套域控系统20多年了方案陈旧有很多漏洞，黑客发现你用域控很容易就能获取域控管理员权限，然后整个网络下加域的机器就一览无遗了。

[ 本帖最后由 landice 于 2022-8-24 19:55 编辑 ]

TOP

djm

混世魔头

帖子: 4601
精华: 0
积分: 23518
激骚: 173 度
爱车
主机
相机
手机
注册时间: 2003-4-24

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

3^# 大中小发表于 2022-8-24 22:34 只看该作者

posted by wap, platform: iPhone
啥漏洞？

TOP

水口腐乳

混世魔头

帖子: 2375
精华: 0
积分: 16035
激骚: 1427 度
爱车
主机
相机
手机
注册时间: 2011-7-23

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前在线

4^# 大中小发表于 2022-8-24 23:44 只看该作者

posted by wap, platform: iPhone
关注

TOP

refo

魔王撒旦

帖子: 9996
精华: 0
积分: 15251
激骚: 398 度
爱车
主机
相机
手机
注册时间: 2007-11-4

发短消息
加为好友
当前离线

5^# 大中小发表于 2022-8-25 07:28 只看该作者

posted by wap, platform: VIVO

引用:

原帖由 @landice 于 2022-8-24 19:52 发表
去年10月公司中过一次招，记得是lockbit2.0，发现的早污染范围不大，最后没有交赎金，这种勒索程序为了污染速度快，写入加密字节数有时候不多，比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了（99%以上），金蝶公司的人就帮忙恢复了，因为sql数据库文件是连续记录文件，只污染文件头其实大部分数据都还在，很好恢复，其他文件就不行了，本地有一个德企也是中招了，要3000万，最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业，微软这套域控系统20多年了方案陈旧有很多漏洞，黑客发现你用域控很容易就能获取域控管理员权限，然后整个网络下加域的机器就一览无遗了。

微软已经在推ldaps了，而且dc每次都有升级，估计不少公司升的慢

TOP

naughtyben

懒小蚁

五道杠

健身狂魔

帖子: 57225
精华: 0
积分: 65525
激骚: 1653 度
爱车: 滴滴出行豪华型
主机: 全机种，没时间玩
相机: a7r2转接牙膏厂牛定
手机: 肾机
来自: 囧和諧北京囧
注册时间: 2004-12-6

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ 数码区 iPhone6 Plus发售纪念☆☆☆

发短消息
加为好友
当前在线

6^# 大中小发表于 2022-8-25 08:07 只看该作者

posted by wap, platform: iPhone
不明觉历

TOP

landice

混世魔头

帖子: 2214
精华: 0
积分: 14161
激骚: 94 度
爱车
主机
相机
手机
注册时间: 2003-5-13

发短消息
加为好友
当前在线

7^# 大中小发表于 2022-8-25 08:27 只看该作者

引用:

原帖由 refo 于 2022-8-25 07:28 发表
posted by wap, platform: VIVO
微软已经在推ldaps了，而且dc每次都有升级，估计不少公司升的慢

微软是有更新更可靠的方案，但大部分国内企业不会这么快跟进最新的系统，毕竟稍微有点规模的公司升级都是一笔不小的开支，我们当时被黑，后来追溯原因黑客就是利用一个公司早期离职的域控管理员的账号，虽然那个的账号早就被停用并设置为普通账户，但黑客利用漏洞可以将其提权回域控管理员，然后在全域分发加密命令，内网全终端加密，利用域控是最简单的方式，其他方式都很难实现。

TOP

apple524

混世魔头

帖子: 2109
精华: 1
积分: 23185
激骚: 96 度
爱车
主机
相机
手机
注册时间: 2005-1-24

TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

8^# 大中小发表于 2022-8-25 09:09 只看该作者

先前公司中毒的时候也是所有加域的服务器都被勒索了，后面干脆非必要服务器不加域，反而没事

TOP

richiter

魔神至尊

O_O

帖子: 22902
精华: 0
积分: 53202
激骚: 526 度
爱车
主机: PSP2000 PSPGO PSV PS3
相机
手机
来自: 遗忘的国度
注册时间: 2002-7-18

PS区 2014新年白金奖☆☆☆☆ PS区 2015新年白金奖☆☆☆☆ PS区 2016新年白金奖☆☆☆☆ PS区 2017新年白金奖☆☆☆☆ PS区 2018新年白金奖☆☆☆☆ PS区 2019新年白金奖☆☆☆☆ PS区 2020年度白金奖☆☆☆☆ PS区 PS4主机首发纪念奖★ PS区大会员奖☆☆ PS区大收藏家奖☆☆☆ PS区索饭认证☆☆ PS区携带达人VITA命☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ 数码区 iPhone6 Plus发售纪念☆☆☆ 数码区 iPhone6 发售纪念☆☆☆ 主机区 PS4 pro首发纪念★