我的服务器(CentOS)最近被一些encryption黑客入侵了。 他们encryption了我所有的文件,并要求赎金解密这些文件。 他们在所有文件夹中都保存了一条消息
你的个人文件被encryption! 使用为此计算机生成的唯一公钥RSA-2048生成encryption。
要解密文件,你需要获得私钥。
私钥的单个副本,允许解密位于Internet上的秘密服务器上的文件。 之后,没有人,永远不会恢复文件…
要获得这台计算机的私钥,这将自动解密文件,您需要支付1比特币(约240美元)。 没有密钥,你将永远无法得到你的原始文件…
现在,他们已经给我发送了解密密钥,我仍然可以有人请帮助我如何恢复我的文件?
他们利用的可能的漏洞是什么? 任何其他的技巧/指针,以避免未来的威胁? 提前致谢。
编辑:他们给我一个私人密钥的PHP脚本,我应该上传到服务器,并通过一个URL运行。 这是他们发给我的解密文件。
只是一些一般的技巧,以避免恶意软件感染和其他安全漏洞:
除了上面的内容:确保你有一个当前的备份,你知道你可以恢复。
如果你提取3行$ so32,$ so64和$ so,然后解码它们,你会得到3个二进制文件。
我通过简单地删除这些行之间的PHP代码提取他们,并将其“转换”为基本写入文件的bash脚本。
就像是:
so32="f0VMRgEBAQMA..." so64="f0VMRgEBAQMA..." so="f0VMRgEBAQMA..." echo $so32 | base64 --decode > /tmp/so.decoded echo $so64 | base64 --decode > /tmp/so32.decoded echo $so | base64 --decode > /tmp/so64.decoded 它们似乎是UPX压缩二进制文件 ,至less根据本文与cryptolocker解码应用程序相匹配。
file /tmp/so* /tmp/so32.decoded: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped /tmp/so64.decoded: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped /tmp/so.decoded: ELF 64-bit LSB executable, x86-64, version 1 (FreeBSD), statically linked, for FreeBSD 10.1, not stripped strings /tmp/so64.decoded -n 30 $Info: This file is packed with the UPX executable packer http://upx.sf.net $ $Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $
但我不知道有什么办法来解压缩这些文件来检查二进制文件会做什么。 考虑到你得到这个文件,你将不得不决定是否要冒这些风险。
而如果这个网站在同一时间被取消,则不能保证这个网站甚至还能正常工作。