#1 - 2021-7-15 00:48
magsom (Digital Lumpen Proletariat)
一年前,我为了装机图方便,把一块硬盘竖着摆放。
两个月前,不幸发生侧翻事故,通电异响,而且没有备份。
找当地数据恢复公司开盘,等了一个月结果恢复失败。
考虑到二次开盘数万至数十万的价格,打算放弃。
(原先想找硬盘厂家的数据恢复服务,可是他们都是国外公司,需要邮寄到大陆外,加上疫情影响快递延迟……最后还是有点后悔选择的公司。)
一个月前,走出数据丢失阴影的我准备一切重新开始。
和一年前一样,为了图方便,安装 Windows 时用户名和密码都设置了个很简单的英语单词,还开了远程桌面(也叫RDP,Ransomware Deployment Protocol(戏称))。
之后是为了电脑性能的惯例:禁用不必要的任务计划和系统服务(例如 Windows Defender)。
某天晚上,迟了一小时注意到硬盘指示灯闪烁的我,登录电脑只见陌生的锁屏软件霸占了桌面,电脑被黑客的病毒攻击了!
首先尝试打开任务管理器,打开即被关闭。(为什么没有像 UAC 弹窗那样在安全桌面中启动的功能呢?)我感到惊慌,先关机了。这样会丢失内存中的加密密钥,但当时也没办法提取内存。冷静下来后重启到 Linux 系统检查文件损坏状况。
连接到电脑的所有固态硬盘和文件数较少的机械硬盘里的文件全毁,文件数量多的机械硬盘和网络驱动器还好因为发现的早,所以只有部分文件损坏。仔细想想如果自己发现的迟,网络驱动器文件也全破坏了就真的完了。如果当时整个磁盘阵列都联机的话,后果不堪设想。加密软件为了快速只破坏了文件的头部部分,但这也已经足够达到搞破坏的目的了。勒索信用英语写的却留了个国内电邮的地址。
依靠离线硬盘阵列的 Snapraid 快照恢复了一块硬盘的文件,其它盘里的数据就丢了吧,部分文件BT校验重下还能从99%开始。
检查完系统自启动项,断网重启到 Windows,事件查看器里,是一大堆登录失败的日志和一条登录成功的日志,一个国外 IPv4 地址暴力破解口令成功登录到了我的电脑。我不知道什么时候我的宽带竟然有了公网 IPv4 地址!IPv4地址空间不是在2019年底的时候就已经耗尽了吗?这动态分配的,现在有了,以前没有。在这之前只有内网 IPv4 但有 IPv6 地址的快一年的时间里,一直用弱用户名和密码+开启远程桌面的时候竟然一直没事。路由器的 IPv4 NAT 设置我是开启自动端口转发和 UPnP 的,为了BT下载和游戏,当然在那时完全没用。
这次经历网络攻击是人生第一次,我希望也是最后一次。互联网的险恶第一次感受到了。
分析事故原因,两起事故,一起是硬件,一起是软件。
磁盘尽量使用从相对有保障的渠道购买的相对质量较好的型号,毕竟一直要用。机械磁盘要牢牢固定好。
将磁盘加入 RAID 阵列可以防止硬件损坏导致的数据丢失,却不能防止计算机病毒之类的软件逻辑导致的数据损坏。
我在 r/Datahoarder 看到一种方案是连接磁盘阵列的机器只连内网和文件系统定时快照,这样网络驱动器被破坏后能通过快照恢复。还有方案是不用的时候让磁盘离线,冷保存,制作磁盘的文件目录。
要考虑横向攻击的防御对策:当你网络上的一台电脑被攻陷时,要防止其他电脑也被攻陷,例如不要在外网电脑上保存内网电脑的管理员密码。
Windows 使用远程桌面的管理员帐户不要使用常见用户名,要设置强密码和防火墙。(例如远程桌面只在家中使用的话,设置远程桌面服务限定远程主机地址为本地子网,SMB共享服务的防火墙默认设置就是如此)
这次攻击应该是自动攻击,不然早就把我的密码管理器里的帐号密码全盗走了。远程桌面的密码被别人知道了那可是想干啥就干啥。觉得登录输入密码麻烦就设置 Windows Hello PIN 简短的本地登录密码。
考虑设置 Windows 帐户锁定策略,这个设置可以防止暴力密码破解,但它不区分网络和本地登录。在你的帐户遭遇网络暴力破解时,会导致锁定的电脑无法本地登录。这个设置虽然重要,但感觉不如防火墙实用。
使用 Windows Defender 的勒索防护功能或其它反病毒、HIPS、沙箱、AppLocker 方案。如果远程桌面管理员帐户被攻破,这些设置就很容易改掉,而且日常会牺牲一些性能,但至少能防止自动攻击。
两个月前,不幸发生侧翻事故,通电异响,而且没有备份。
找当地数据恢复公司开盘,等了一个月结果恢复失败。
考虑到二次开盘数万至数十万的价格,打算放弃。
(原先想找硬盘厂家的数据恢复服务,可是他们都是国外公司,需要邮寄到大陆外,加上疫情影响快递延迟……最后还是有点后悔选择的公司。)
一个月前,走出数据丢失阴影的我准备一切重新开始。
和一年前一样,为了图方便,安装 Windows 时用户名和密码都设置了个很简单的英语单词,还开了远程桌面(也叫RDP,Ransomware Deployment Protocol(戏称))。
之后是为了电脑性能的惯例:禁用不必要的任务计划和系统服务(例如 Windows Defender)。
某天晚上,迟了一小时注意到硬盘指示灯闪烁的我,登录电脑只见陌生的锁屏软件霸占了桌面,电脑被黑客的病毒攻击了!
首先尝试打开任务管理器,打开即被关闭。(为什么没有像 UAC 弹窗那样在安全桌面中启动的功能呢?)我感到惊慌,先关机了。这样会丢失内存中的加密密钥,但当时也没办法提取内存。冷静下来后重启到 Linux 系统检查文件损坏状况。
连接到电脑的所有固态硬盘和文件数较少的机械硬盘里的文件全毁,文件数量多的机械硬盘和网络驱动器还好因为发现的早,所以只有部分文件损坏。仔细想想如果自己发现的迟,网络驱动器文件也全破坏了就真的完了。如果当时整个磁盘阵列都联机的话,后果不堪设想。加密软件为了快速只破坏了文件的头部部分,但这也已经足够达到搞破坏的目的了。勒索信用英语写的却留了个国内电邮的地址。
依靠离线硬盘阵列的 Snapraid 快照恢复了一块硬盘的文件,其它盘里的数据就丢了吧,部分文件BT校验重下还能从99%开始。
检查完系统自启动项,断网重启到 Windows,事件查看器里,是一大堆登录失败的日志和一条登录成功的日志,一个国外 IPv4 地址暴力破解口令成功登录到了我的电脑。我不知道什么时候我的宽带竟然有了公网 IPv4 地址!IPv4地址空间不是在2019年底的时候就已经耗尽了吗?这动态分配的,现在有了,以前没有。在这之前只有内网 IPv4 但有 IPv6 地址的快一年的时间里,一直用弱用户名和密码+开启远程桌面的时候竟然一直没事。路由器的 IPv4 NAT 设置我是开启自动端口转发和 UPnP 的,为了BT下载和游戏,当然在那时完全没用。
这次经历网络攻击是人生第一次,我希望也是最后一次。互联网的险恶第一次感受到了。
分析事故原因,两起事故,一起是硬件,一起是软件。
磁盘尽量使用从相对有保障的渠道购买的相对质量较好的型号,毕竟一直要用。机械磁盘要牢牢固定好。
将磁盘加入 RAID 阵列可以防止硬件损坏导致的数据丢失,却不能防止计算机病毒之类的软件逻辑导致的数据损坏。
我在 r/Datahoarder 看到一种方案是连接磁盘阵列的机器只连内网和文件系统定时快照,这样网络驱动器被破坏后能通过快照恢复。还有方案是不用的时候让磁盘离线,冷保存,制作磁盘的文件目录。
要考虑横向攻击的防御对策:当你网络上的一台电脑被攻陷时,要防止其他电脑也被攻陷,例如不要在外网电脑上保存内网电脑的管理员密码。
Windows 使用远程桌面的管理员帐户不要使用常见用户名,要设置强密码和防火墙。(例如远程桌面只在家中使用的话,设置远程桌面服务限定远程主机地址为本地子网,SMB共享服务的防火墙默认设置就是如此)
这次攻击应该是自动攻击,不然早就把我的密码管理器里的帐号密码全盗走了。远程桌面的密码被别人知道了那可是想干啥就干啥。觉得登录输入密码麻烦就设置 Windows Hello PIN 简短的本地登录密码。
考虑设置 Windows 帐户锁定策略,这个设置可以防止暴力密码破解,但它不区分网络和本地登录。在你的帐户遭遇网络暴力破解时,会导致锁定的电脑无法本地登录。这个设置虽然重要,但感觉不如防火墙实用。
使用 Windows Defender 的勒索防护功能或其它反病毒、HIPS、沙箱、AppLocker 方案。如果远程桌面管理员帐户被攻破,这些设置就很容易改掉,而且日常会牺牲一些性能,但至少能防止自动攻击。
对低配机器很不友好