记一次‘勒索病毒’经历

记一次‘勒索病毒’经历

疫情当下新冠病毒还没走远，躲过了疫情，熬过了隔离期
某天当你打开电脑屏幕亮起一个全屏大框，标准的上锁图标，粗黑的 "all your files have been encrypted"

脑子里第一反应什么鬼玩意？勒索病毒！顿时就卧槽了！

真实经历，4月19日，周末，惬意的我像往常一样又收到客户需要技术支持的信息，一骨碌爬到电脑旁运行“mstsc”连接我的工作电脑，桌面还是那个清洁整齐的桌面，就是感觉咋文件名字变长了，习惯性的刷新桌面，然鹅，奇迹发生了，我桌面的所有程序图标包括任务栏上的图标瞬间变成白板，并弹出了上图那个道听途说，丧尽天良的程序，我瞬间就自闭了 （正确‘自闭’示范：禁用网络连接），结束远程，我终于不用看见它了。
这时候我脑子里意识闪过“局域网传播，整个公司电脑中毒，公司破产，背锅跑路”等等，又连忙打开一粒云app，谢天谢地我居然登陆进去了，这至少说明了一粒云不会破产跑路了，因为我们的研发数据，办公文件，核心数据都备份存储在云盘上。可我仍然不敢在躲家里，电话告知领导情况后，我要去看看公司其他电脑是不是也已经面目全非了。
大汗淋漓的赶到公司，首先拔掉中毒电脑的网线，然后打开同事们的电脑，动作行云流水，一切正常，才放下心来，问题不大。

然后插上电脑外设，因为这台电脑是公司给我刚换掉的旧电脑，我没舍得“扔”，就开了远程端口并图一时方便还关闭了防火墙。我进入到“毒瘤”的桌面，我总算看清楚了，就在凌晨，这个恶魔把爪子伸向了我的电脑，我桌面多了两个文件，一个是名为“info.hta”的程序，一个是名为“info.txt”的肮脏交易信，还整齐划一的给我的所有文件加上id和Devos后缀，那串id应该就是我这个受害者的识别号，至于这个Devos后缀可以在网上一搜就懂。

中毒电脑不能打开任务管理器，绝大多数文件打不开程序不能运行，但是可以打开txt文件和谷歌浏览器，任何拷贝进去的文件瞬间变成Devos文件

这又让我细细品味了一下，我一粒云在电脑桌面有一个同步任务的目录，为啥云盘上没有同步上传病毒文件？平时总拿理论跟客户吹嘘，一粒云可以防止勒索病毒，今天居然碰上了，那就得实验实验。首先得出的结论是：电脑中毒后程序就不能运行，直接终止了电脑和云盘客户端的同步任务，然后我又试了在Windows上把上图的程序和勒索病毒文件用U盘拷出手动上传到云盘，在云盘上这只是一个普通文件存在。

这里就不得不普及一下一粒云，一粒云是基于linux系统，文件处理能力快，采用http加密传输方式，分布式文件系统，精细化权限模型，文件水印，文件去重，防误删，自动生成文件历史版本和各种办公协作等等两百多项功能，既能保证文件存储的安全性，又能提高工作效率。简单举例几项功能：

---

云盘日志：记录了账号从登陆到云盘开始的每一个动作，任何操作有迹可循

---

文件的权限管控：可以单独针对每一个文件夹按部门或者个人设置不同的权限，严格管控文件，不流失不外泄

---

文件夹实时同步和定时备份：简单方便的将文件集中存储到云盘上，还可以在备份过程中过滤文件类型，保证不相关的文件不被上传到云盘

---

文件搜索：全文检索，敏感词过滤，可多方位筛选搜索结果，精确找到文件

---

知识库：沉淀企业的知识财富，经验财富，制度财富，帮助客户实现“数据–>内容–>知识–>财富”的价值提炼与转换

了解更多云盘参数戳：一粒云功能参数

---

我们需要了解的是，网络病毒99%基于Windows系统，在局域网内可以通过Windows共享，samba共享，FTP共享，等等协议传播。

我们生存在一个险象环生的网络环境下，一定要提前做好数据保护，未雨绸缪，防范于未然。

生产为主，安全第一；一切背离存储安全的发展都是扯淡

最后祝大家一切安康