了勒索病毒如何查原因?怎么預(yù)防?
1. 這臺服務(wù)器前幾天中了勒索病毒,所有文件被加密無法打開,桌面和 D 盤所有文件都如此,被加密后后綴名都改成統(tǒng)一格式。
2. 被加密文件不是打開要密碼,而是無法正常打開,服務(wù)器會有提醒說文件被加密需聯(lián)系它們解密。
3. 查找中毒原因,這臺服務(wù)器沒開通外網(wǎng)只開通內(nèi)網(wǎng)且平時不安裝軟件,可能是內(nèi)網(wǎng)其他電腦攻擊,查找方法如下:
- 在這里搜索事件,然后點擊查看事件日志。
- 打開事件查看器后點擊應(yīng)用程序和服務(wù)日志,點擊加號展開 Microsoft。
- 再展開 windows,找到遠(yuǎn)程登錄日志并展開。
- 點擊下面的,里面是所有遠(yuǎn)程登錄日志,日志太多進(jìn)行篩選。
- 點右鍵,點擊篩選當(dāng)前日志。
- 在事件 ID 輸入 1149,是被登錄日志。
- 篩選日志,可看到遠(yuǎn)程登錄的用戶名、電腦名稱和 IP 地址。
4. 因這臺電腦 8 月 11 號中毒,只能看到 8 月 12 號日志,但之前有保留,查看保留日志發(fā)現(xiàn) 8 月 11 號凌晨 1:56 分 20 秒,一 IP 地址用管理員賬號登錄,凌晨肯定沒人用。
5. 所以這臺電腦中勒索病毒真正原因是這臺 IP 地址的局域網(wǎng)電腦晚上沒關(guān)機(jī)又能上網(wǎng),中毒后攻擊局域網(wǎng)內(nèi)服務(wù)器致多臺中毒,找到源頭就好辦,可重新格式化和裝系統(tǒng),局域網(wǎng)內(nèi)有服務(wù)器或電腦中勒索病毒一定要找到源頭,否則重裝系統(tǒng)后可能又會中。
6. 服務(wù)器密碼會被遠(yuǎn)程登錄是因是測試服務(wù)器不重要設(shè)簡單密碼,易被爆破登錄,三臺服務(wù)器中勒索病毒,兩臺沒裝殺毒軟件,一臺裝了也被破解。
7. 預(yù)防勒索病毒建議:
- 一定要設(shè)復(fù)雜密碼,簡單密碼易被遠(yuǎn)程爆破登錄。
- 不需要遠(yuǎn)程桌面就關(guān)掉,必須用就改默認(rèn) 3389 端口,因殺毒軟件攻擊日志顯示全是默認(rèn)端口,有些服務(wù)器改其他端口沒被攻擊到。
- 不要裸奔,一定要裝殺毒軟件,局域網(wǎng)內(nèi)電腦都要裝。
- 夜間不用電腦一定要關(guān)機(jī),木馬病毒晚上運行,關(guān)機(jī)就不會攻擊服務(wù)器,小公司很多員工下班不關(guān)電腦,做到這些可大大降低中毒風(fēng)險。
- 重點是備份,這臺服務(wù)器有備份,半小時可恢復(fù)正常使用,個人電腦可用云盤備份,服務(wù)器可用納斯備份或?qū)iT備份主機(jī)備份。
8. 網(wǎng)上解密網(wǎng)站沒成功解密,網(wǎng)上有很多解密工具,如:https//w. bepingcomputer.com/news/seurty/gomaom-crypt ransomware-decrypted,是針對中毒類型有專用恢復(fù)工具,不是一個工具解所有病毒,此病毒沒找到解密工具。
使現(xiàn)在的系統(tǒng)相比 20 年前已經(jīng)穩(wěn)定了很多了,使用電腦時也難免會遇到藍(lán)屏、意外重啟、甚至是意外關(guān)機(jī)的情況。盡管這種問題可能只是偶然發(fā)生,可以說是不太走運;但更多的時候放著不管,反而會讓電腦的問題出現(xiàn)得越來越頻繁。
一個藍(lán)屏小「貼士」
所以,這篇文章就旨在幫助大家快速找到讓電腦不能正常工作的罪魁禍?zhǔn)祝m然不一定能「藥到病除」,但也能讓你離正確答案更近一步。
盡管 macOS 是Apple為Mac產(chǎn)品線定制的操作系統(tǒng),但實際上出現(xiàn)問題的機(jī)會還是很多的。雖然在macOS中我們可以通過控制臺獲取日志信息,但從macOS Sierra及更高版本開始,考慮到安全和隱私問題,控制臺只允許訪問最近的日志條目,而不是整個日志文件。
所以想要分析日志中所有和關(guān)機(jī)有關(guān)的事件,就需要通過「終端」和相應(yīng)的指令進(jìn)行分析。如果你的 Mac 近期出現(xiàn)了意外重啟等問題,不妨跟著下面的步驟試一試,打開「終端」,并輸入如下指令:
log show --predicate 'eventMessage contains "Previous shutdown cause"' --last 24h上面這一串指令會使用 log show 檢索系統(tǒng)日志,predicate 可以進(jìn)一步篩選日志,在本文中我們篩選的日志類型是 eventMessage中包含Previous shutdown cause(此前關(guān)機(jī)的原因)的信息,而篩選的時間范圍--last 24h則是過去 24 小時,如果有必要的話可以擴(kuò)展到 36 小時甚至更長。
來自作者群的一個朋友
靜靜等待一段,你就能看到如上圖一樣的、將日志篩選后到結(jié)果,我們需要注意的信息就是Previous shutdown cause后續(xù)跟隨的數(shù)字,這個數(shù)字代表著 Mac 電腦上次是因為什么原因而關(guān)閉的。總的來說,負(fù)數(shù)的代碼通常是因硬件而關(guān)機(jī)的,該信息由系統(tǒng)管理控制器 (SMC)2或處理器本身3報告;而正數(shù)因軟件而關(guān)機(jī)的。以下是每個代碼所包含的含義:
數(shù)字 | 解釋 | 解決方案 |
5 | 正常關(guān)機(jī) | 由用戶或命令發(fā)起的關(guān)機(jī),沒有問題 |
3 | 硬關(guān)機(jī) | 因電源按鈕關(guān)機(jī) |
0 | 斷電 | 因斷電導(dǎo)致的關(guān)機(jī),具體參見下文 |
-3 | 多個溫度傳感器溫度過高 | 安裝可以獲取傳感器溫度度數(shù)的軟件, |
-14 | 瞬態(tài)尖峰或浪涌 | Mac Pro 上內(nèi)置電源的問題,可能需要售后 |
-20 | T2 芯片關(guān)機(jī) | 由 T2 芯片或 BridgeOS 引起的關(guān)機(jī) |
-60 | 損壞的主目錄區(qū)塊 | 備份你的數(shù)據(jù),擦除磁盤并重新安裝 macOS |
-61/-62 | 定時器監(jiān)測到未響應(yīng) | 在未響應(yīng)的程序?qū)е聝?nèi)核崩潰之前, |
-65 | 未知 | 重裝 macOS 大概率解決 |
-71 | 內(nèi)存模塊過熱 | 對于臺式機(jī):更換內(nèi)存,確認(rèn)是否是硬件問題 |
-74 | 電池溫度過高 | 重置 smc |
-75 | 無法連接 AC 適配器 | 檢查插頭、適配器、線纜和硬件接口 |
-78 | AC 適配器回報錯誤的電流 | 檢查插頭、適配器、線纜和硬件接口 |
-79 | 電池回報錯誤的電流 | 檢查電池、檢查電池是否連接到主板 |
-85 | 芯片溫度過高 | 檢查 CPU、GPU、SoC 的散熱系統(tǒng)或風(fēng)扇 |
-95 | CPU 溫度過高 | 檢查 CPU 散熱或風(fēng)扇、重置 smc |
-100 | 電源溫度過高 | 檢查風(fēng)扇或氣流、移除外接電源 |
-102 | 電壓過高 | 電壓過高導(dǎo)致關(guān)機(jī)保護(hù),檢查電源或電池 |
-103 | 電池欠壓 | 檢查電池,或更換電池 |
-104 | 未知 | 可能與電池有關(guān),檢查電池,或更換電池 |
-108/-112/-128 | 未知 | 可能與內(nèi)存有關(guān),檢查內(nèi)存,或更換內(nèi)存 |
如果你的 Mac 出現(xiàn)大量因為 0(斷電)導(dǎo)致的意外關(guān)閉,那么就需要進(jìn)行一定的排查。對于沒有電池的臺式 Mac 而言,主要檢查的就是電源線有沒有牢牢插入到電源接口中;如果依然出現(xiàn)這樣的問題則很有可能是計算機(jī)內(nèi)的電源出現(xiàn)了問題,需要進(jìn)行維修。對于有電池的筆記本型 Mac 而言,需要同時檢查電源線和電池;筆記本型 Mac 通常會在電池耗盡之前進(jìn)入休眠狀態(tài);出現(xiàn)斷電而導(dǎo)致的關(guān)機(jī)很有可能是電池或讀取電量的電池控制器有硬件問題,對于 Intel 款 Mac 而言需要根據(jù)官方文檔重置 smc,而 M 系列 Mac 需要手動重啟一次。如果上述步驟依然不起作用的話,也需要進(jìn)行維修。
長時間未響應(yīng)可能會讓整個系統(tǒng)崩潰,嚴(yán)重時還會導(dǎo)致相關(guān)數(shù)據(jù)丟失。定時器超時作為 macOS 中一項功能,它可以有效防止未響應(yīng)的程序?qū)е碌膬?nèi)核崩潰。偶然發(fā)生的 -61/-62 錯誤可能沒什么問題,但短時間內(nèi)出現(xiàn)大量的類似錯誤就要對電腦進(jìn)行排查了;-61 表示系統(tǒng)認(rèn)為不能自動恢復(fù)的情況只能進(jìn)行關(guān)機(jī),而 -62 用于系統(tǒng)確定重啟后可能解決的情況并進(jìn)行重啟。排查的辦法很簡單,在 macOS 啟動時進(jìn)入安全模式,在安全模式下啟動項目和守護(hù)程序都被禁用;如果沒有再次意外關(guān)機(jī)則是最近安裝或更新的程序出現(xiàn)了問題,如果再次意外關(guān)機(jī)則和系統(tǒng)本身有關(guān)。
以上就是 macOS 的部分了,相信這個指令可以簡單幫你定位問題,并為你后續(xù)的問題解決打下一個不錯的基礎(chǔ)。
除了 macOS,Windows 系統(tǒng)日志同樣可以在時間查看器中查看并進(jìn)行篩選,但考慮界面相對「復(fù)古」且用于篩選的 UI 選項更為復(fù)雜,因此我也更推薦大家使用命令行工具獲取和篩選日志。
有的時候用 UI 界面反而會讓一件事情變得更復(fù)雜
如果你的 PC 電腦近期出現(xiàn)了意外重啟等問題,不妨跟著下面的步驟試一試:
# 命令 1
Get-Eventlog -LogName System -Source "User32" | group EventID
# 命令 2
Get-EventLog -LogName System -Source "Microsoft-Windows-Kernel-Power" | Where-Object { $_.EventID -eq 41 }
Get-EventLog 是 Windows 中獲取日志的命令,-LogName System 則限定了查找由系統(tǒng)生成的命令。-Source 則是來源,User32 和 Microsoft-Windows-Kernel-Power 則是兩個不同的來源。
User32 是一個 Windows 系統(tǒng)應(yīng)用程序源,它包含了許多與用戶界面相關(guān)的函數(shù),如窗口創(chuàng)建、消息處理、控件操作等等;它還會負(fù)責(zé)處理用戶交互方面的任務(wù),例如鼠標(biāo)、鍵盤輸入和窗口管理等。因此由用戶或是程序發(fā)起的事件,如登錄、注銷、鎖定或解鎖計算機(jī)等,都可以通過 User32 來源來定位。而后 | 用于進(jìn)一步處理 Get-EventLog 得到的數(shù)據(jù),這里按照 EventID事件 ID 來group 成組。
目前我電腦中只有 1074 這個事件,這個 1074 事件是計算機(jī)的正常關(guān)機(jī)的主要表現(xiàn)形式。如果 User32 有其他的 EventID 那么用下面的命令進(jìn)一步分析:
# 本例中依然用 1074 做分析
Get-Eventlog -LogName System -Source "User32" -Newest 1 | Where-Object { $_.EventID -eq 1074} | fl *前面的命令就不再贅述了,-Newest 1 表示選取最近的一個日志, | 用于進(jìn)一步篩選 Get-EventLog 得到的數(shù)據(jù)。Where-Object 表示篩選一個對象數(shù)組,$_ 表示當(dāng)前處理的對象(也就是 | 傳遞過來的數(shù)據(jù) ),.EventID 表示對象的 EventID 屬性,-eq 是一個比較運算符,表示等于,這里等于的 1074 這個事件。| 依然是用于進(jìn)一步處理 Where-Object 得到的數(shù)據(jù),由 fl(也可以用完整寫法 Format-List 替代)格式化輸出對象的*所有屬性。
找到其中的 Reason Code: 0x80020010 可以得知這是一個計劃內(nèi)的關(guān)機(jī)請求,如果不是服務(wù)器的話,這一般由 Windows Update 自動更新發(fā)起;而由用戶發(fā)起的關(guān)機(jī)則會被標(biāo)識為 0x0。以下是常見的 Reason Code 所表示的含義,完整列表可以參見這里:
值 | 含義 |
0x00040000/0x00030000 | 應(yīng)用/軟件問題導(dǎo)致關(guān)機(jī)/重啟 |
0x00010000 | 硬件問題導(dǎo)致關(guān)機(jī)/重啟 |
0x00020000 | 操作系統(tǒng)問題導(dǎo)致關(guān)機(jī)/重啟 |
0x00060000 | 電源問題導(dǎo)致的關(guān)機(jī) |
0x00050000 | 系統(tǒng)(通常指的是 UEFI)問題導(dǎo)致關(guān)機(jī)/重啟 |
0x0000000F | 藍(lán)屏問題導(dǎo)致關(guān)機(jī)/重啟 |
0x0000000b | 電源斷開導(dǎo)致的關(guān)機(jī) |
0x00000007 | 硬盤問題導(dǎo)致關(guān)機(jī)/重啟 |
0x0000000d | 驅(qū)動問題導(dǎo)致關(guān)機(jī)/重啟 |
0x00000005 | 系統(tǒng)長時間無響應(yīng)導(dǎo)致關(guān)機(jī)/重啟 |
藍(lán)屏問題導(dǎo)致關(guān)機(jī)或重啟,還可以進(jìn)一步下方的命令進(jìn)行分析。
不過很多意外關(guān)機(jī)的事件,比如藍(lán)屏導(dǎo)致的,無法被 User32 捕獲,因此從Microsoft-Windows-Kernel-Power 獲取電源狀態(tài)、電源事件以及與電源管理相關(guān)的錯誤和警告信息得到更多的信息。
Get-EventLog -LogName System -Source "Microsoft-Windows-Kernel-Power" | Where-Object { $_.EventID -eq 41 }代碼中相似的內(nèi)容不再贅述,在Microsoft-Windows-Kernel-Power和意外關(guān)機(jī)有關(guān)的 EventID 是 41,這個事件通常是在意外關(guān)機(jī)后重啟的階段中生成的。輸入上面的命令以后,Powershell 會輸出一段包含十進(jìn)制 BugcheckCode 的內(nèi)容,首先需要將它轉(zhuǎn)換為十六進(jìn)制,以做進(jìn)一步分析。
如 159 等同于 0x0000009f,209 等同于 0x000000d1 等等,轉(zhuǎn)換后的十六進(jìn)制就可以得到最終的含義了。BugcheckCode 內(nèi)容也和藍(lán)屏?xí)r輸出的錯誤碼是相同的內(nèi)容,有的時候藍(lán)屏代碼一跳而過,所以這也是找到問題的好辦法。以下是常見的錯誤的代碼以及含義,完整列表請看這里:
代碼 | 名稱 | 含義 |
0x0000009f | DRIVER_POWER_STATE_FAILURE | 驅(qū)動程序所請求的電源狀態(tài)不一致 |
0x000000d1 | DRIVER_IRQL_NOT_LESS_OR_EQUAL | 驅(qū)動程序試圖訪問可分頁內(nèi)存,但中斷太多 |
0x00000024 | NTFS_FILE_SYSTEM | NTFS 文件系統(tǒng)出現(xiàn)問題,檢查文件系統(tǒng) |
0x000000f3 | DISORDERLY_SHUTDOWN | 由于內(nèi)存不足而無法關(guān)機(jī) |
0x0000001a | MEMORY_MANAGEMENT | 內(nèi)存問題 |
0x00000034 | CACHE_MANAGER | 文件系統(tǒng)的緩存管理器問題 |
0x000000EF | CRITICAL_PROCESS_DIED | 關(guān)鍵系統(tǒng)進(jìn)程已終止 |
由于錯誤碼的種類繁多,因此這里不太可能一一列舉。另外還需要注意的是,同一個錯誤可能會有不同的原因而導(dǎo)致,排查時可以從近期的軟件改動入手去尋找電腦意外關(guān)機(jī)的原因,排查完軟件以后才是排查硬件的真正時機(jī)。
值得注意的是,Get-EventLog只能使用 Windows 內(nèi)的 Powershell 運行;Powershell 7 中因為相關(guān) API 已被棄用,會提示無效指令,因此需要換用Get-WinEvent命令:
# 命令 1
Get-WinEvent -ProviderName 'User32' | group EventID
# 命令 2
Get-WinEvent -ProviderName "Microsoft-Windows-Kernel-Power" | Where-Object { $_.EventID -eq 41}
# 命令 2 改進(jìn)版
Get-WinEvent -FilterHashtable @{ProviderName="Microsoft-Windows-Kernel-Power"; Id=41}Get-WinEvent 是 Powershell 7 中獲取 Windows 日志的新命令,不同于此前的Get-EventLog能同時篩選具體的事件日志-LogName和事件源-Source;Get-WinEvent在使用時只能在篩選事件日志-Logname和事件源-ProviderName中二選一。Get-WinEvent 還可以使用一個新的寫法 -FilterHashtable,降低命令長度的同時提高索引效率。
以上就是本文的全部內(nèi)容了,希望可以在未來幫助到你。
看見人間百態(tài)#