自用电脑中了勒索病毒！

今天早晨到了公司，习惯性的远程家中的电脑（家中挂魔法使用 ChatGPT+摸鱼），发现中了勒索病毒，文件都被加密了，我的电脑是裸奔的，临时下了一个火绒扫到了病毒文件；这时候很怕波及到工作电脑，想溯源看一下是哪里出了问题。

搜索了一下这种情况基本都是 RDP 爆破导致的，文件的加密时间是凌晨 3 点，查看 windows 系统日志发现 2:57 有 RDP 连接记录，但是记录的源网络地址是: 127.0.0.1 ，不是组网 ip 或者局域网 ip ，应该是映射到的，此时虽然还不知道是哪个软件出了问题，但是应该是不会波及到工作电脑了，还是心安了一些。

在查看 windows 系统日志我也发现了一个问题，我并没有看到登录失败的报错，虽然我的密码很简单（图方便：1111 ），但真的一次就连上了吗，此处待定。上面确定是域名映射到了本地的 3389 端口，回想了一下我使用的映射应该只有 zeronews 和 cloudflared ，可能是官网被爆破了？未知，最后还是没有锁定问题。

最后，已老实。以后会使用强度更高的密码，使用大厂背书的软件。
大家有什么可以进一步溯源或者安全方面的建议吗？

127.0.0.1 是本机 IP ，通过描述猜测可能是把家中电脑端口转发到公网 IP ，导致主机密码被爆破。
可以通过查看端口转发或服务器日志，2:57 分有哪个 IP 连接了
一般的防护方法就是更改默认用户名，使用强密码，不对外映射端口或使用白名单策略，可以但不建议安装杀软

你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?

前阵子才中了，公司测试环境全崩

@Tamio #2 127.0.0.1 连接 RDP ，应该是被什么软件装了后门，把 3389 端口转发到某个公网 IP 了。
如果是有公网 IP 直接连接 RDP ，windows 系统日志里面看到的就是对方的公网 IP 了，而不是 127.0.0.1 。

我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用

映射公网肯定开 IP 白名单的。

我以前用 cpolar 做的内网穿透，也中招过一次。当时密码设得贼简单：test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了，直接就重装系统了。。。

从此不敢再用这种内网穿透方案（虽然知道问题主要是弱密码+3389 ），后改用 tailscale 了。