办事器被黑客入侵，办理员明码被改，指点客户凭零碎光盘重置明码

yxkj

早上接到同行引见过去的求助电话：办事器被黑客入侵，办理员明码被窜改了，无奈登录。
经讯问，办事器是在姑苏吴江，操作零碎是Windows Server 2008 R2，还好，破解明码其实不繁杂，开始近程指点客户。
遗憾的是，客户手里啥都没有，只要一张Windwos Server 20十二的光盘，幸而光驱是好的，接上去，他担任拍照，我担任指点他操作。
第一步，Windwos Server 20十二光盘启动办事器，这里点击“下一步”，安心，不会重装零碎的。


这里一定要点击“修复计算机”，咱们确定不是要装置零碎啊。


不言而喻，排除法也知道，确定是选择“疑问解答”


又很显著，选择“命令提醒符”


C、D、E、F 挨次试了几个盘符，发现F盘才是操作零碎所在的磁盘分区。


第二步，交换命令，目的是启动到零碎登录界面的时分，能调用CMD命令行。
（1）cd windows\system32 *进入windows目录下的system32子目录
（2）copy osk.exe d:\ *把osk.exe备份到D盘（osk是微软零碎自带的屏幕虚构键盘顺序，也能够利用微软的屏幕缩小镜顺序magnify.exe，操作步骤和成果都是同样的。）
（3）copy cmd.exe osk.exe *把cmd.exe复制为osk.exe
（4） shutdown -r -t 01 *重启办事器
第三步，启动到零碎登录界面的时分，重置办理员明码：
（1）点击登录界面左下角的蓝色按钮


（2）勾选“不使用键盘键入”（假如后面第二步第2、第3两条命令使用的是magnify.exe，那这里就勾选“缩小屏幕上的名目”）


（3）这时候候，屏幕上应该弹出CMD命令窗口，而后就可以重置办理员明码了，然而办事器没有任何反映，cmd.exe确定是被黑主人为破坏了，指点客户到Win7的台式电脑上拷了一个cmd.exe过去掩盖掉办事器中的osk.exe（或者magnify.exe，留意先后文关联），而后反复操作上一步，弹出命令窗口
（4）输出命令：net user administrator 333，看来客户的办事器没有启用繁杂明码的战略，这么简略的明码也能设置胜利，估量网管本人懒吧，用的明码太简略了，所以才被黑客等闲攻破了。退出命令行界面，就可以正常进入零碎了，提示客户，第一时间修正为繁杂的办理员明码。
但是问题来了，好不易进入了零碎，仍是啥都干不了，客户拍照过去看了。


看到这个图片，我有种强烈的、吉祥的预料，莫非又是勒索病毒？
一分钟后就有了谜底，果真是勒索病毒！


客户表现：接上去就要请示老板了，究竟要不要花钱恢复SQL数据库呢？
#IT##姑苏头条#