我是真没想到，6月1号凌晨4点 服务器被非法爆破了！利用了RDP远程桌面协议漏洞！！！

以下是我站在不专业的角度一步一步的说明事实，若其中有不足的或个别敏感字眼欢迎后台私信我并合理文明提出谢谢。

直接进入主题！！！不说废话，简言说明！！！我就把我遇到的事情和问题一一说明，做个证据记录。

先不说 为什么攻击是从5.16号来的，这也只是我根据对方留下的 info.hta HTML应用程序 上的代码做的推测，，不一定准确但是时间上挺接近的。

一开始我也不知道，因为一直在忙碌的工作中...直到 我的 出租 服务器的服务商，也是我的好朋友，就在 6月1号 周三 11点39分 收到消息 如下图：

之后知道我消息的我，也是慌慌张张的，各种担心存档问题。毕竟是我们团队努力很久的结果！！！

通过 远程桌面 连进云服务器，第一个画面就是：如下图

看字面不懂的，自行翻译。

简单来说就是 你不交钱 我就不给你解密，网络上 走比特币 会安全很多。并且在14天后会删除服务器数据，这个不用担心，我们已经把加密的数据备份了。

之后 就是除了 系统文件以外所有文件 图片 文本 执行文件 全部被加密 后缀名 为 .loki，这个病毒360都解密不了，看下图

当然，解密是不可能，除非有“超级计算机”，那也是不切实际的想法，不可逆的加密，没办法的事情，找专业解密公司来 处理 更不可能了，因为最后解密出来的成本 肯定是一般人接受不起的！

一直在被攻击~

再之后 我和服务商 朋友的对话：

le索病毒 顾名思义 就是le索你的钱，图你的钱，就算你交了。到最后也不一定会把数据给你

通过病毒留下的一些足迹，和攻击查到的源头 最终是如图所说，但不一定真实，因为他们常常使用傀儡机 来进行攻击的 所以IP 源头来自全国各地 没什么意义！因为牵扯到 俄罗斯有个工具就是有这样的功能。

简单说明一下：

肯定有人问了，你这么小小服务器 人家也不屑于攻击你，，，，，，，，，，，，，话肯定不是这样说的，攻击是范围性 攻击，是全球性的！当然他不可能只打你，也没必要啊！

只能说像我们这些平面百姓 举无轻重的小服务器，只能无故躺枪。原因就是 不注意多备份，一些安全措施做的不到位，才导致今天发生的后果。如果早那么几天备份了，结果肯定是会比现在好的！

这里是五月31号就开始跑了，从这里得知，肯定暴力破的不止 我们这一台服务器！可能也是数以万计的。至于他为什么能知道我的服务器IP和端口，我也不知道。端口可能是扫出来的吧，之后才是暴力跑字典。

看图得知，凌晨四点被攻破的，之后就是除了我这一台 以外 所有服务商的 管理机子连续被恶意爆破，植入后门。继续看下面！！！！！！！！

之后就是所有文件被加密了，上面我说过了。实在不懂，可以搜索上面的邮箱，百度一下 不会有人还不会用百度吧？搜一下 关于le索bingdu的事情都出来了。

除了这一台管理机，其他机子无一幸免！

接下来就是查到源头了

RDP简称 “远程桌面登录协议”  具体的自行百度。（关于RDP的解释看这里：https://www.likecs.com/show-924174.html）

差不多就这样了，本来不想发的。

原因是 因为我当天在群上说了这样的事情，不明真相 不知道前因后果的人，把它做成了掐头去尾的视频，这样真的很不好，而且视频中暴露了IP不说 还有群友信息不说。哎 我已经联系视频本人 让他删除了。 也没什么事情，服务器被攻击了就这么简单。 就这样吧

且服务器现在也不安全，马上准备释放了~~~

再补充一条吧，6月3号查到病毒样本并进行了深度分析。

病毒🦠样本深度分析报告

https://habo.qq.com/file/showdetail?md5=cf082d2fcbabaa1ad99873de9600440f&pk=ADcGbl1vB2UIO1s%2BU2U%3D

深度分析一以及关于勒索病毒参考文案

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYEnfs-fa5r8RybxUbVw&env=&time=&sha1=a54627ea2a555d4842817d2fa578fe28ca0d7645

目前还没有免费工具能破解！

分析更透彻参考资料

https://blogs.blackberry.com/en/2022/03/lokilocker-ransomware

 也差不多结束啦，就这样吧

还是希望有大佬 能解密 有什么办法的请联系我QQ1771336151，非常感谢！！！！！！！！！！！！！！！！！！！！！