勒索病毒处理

0x01现象：

     目前多台服务器被勒索，以下为勒索加密文件信息：

0x02处理过程：

       到达现场，用户部分主机已经通过第三方杀软进行了病毒查杀，部分主机已完成系统重装。

根据大多数勒索病毒均通过远程桌面爆破，按照这个思路，经询问用户存在对外发布远程桌面，只修改了端口，出口只有一台功能规则均过期的防火墙提供安全防护。然后通过在病毒主机查找日志文件，根据加密时间往前推，进行日志筛查。

a)        病毒主机56，通过日志发现：

2020-4-6/23：30分左右持续被进行了445的暴力破解，最终于凌晨0.42分成功爆破成功。

于是2020-4-7凌晨0：42分黑客通过10.2**.6.118作为跳板成功对56主机进行了远程访问，释放了勒索病毒进行加密勒索。

b)        病毒主机31，通过日志发现该主机也通过10.**.6.118作为跳板访问服务器主机，实现勒索加密

c)        其他主机在同时间段内也遭遇了10.2**.4.223的远程访问

0x03总结

        a) 外网出口防火墙功能、规则均过期，无法提供检测与防护。

        b) 病毒主机均为打永恒之蓝补丁

        c) 根据现有信息及数据分析，由于外网映射内网主机远程桌面端口，黑客爆破映射主机，将内网主机10.254.6.118、10.254.2.223作为跳板实现对56、31等多台服务器进行SMB爆破，获取密码，再通过远程桌面实现对主机的数据、系统服务进行加密，由于跳板机10.**54.6.118、10.**4.2.223日志被清除，无法实现进一步溯源。

0x04建议

         1、日常防范措施：

             a)  不要点击来源不明的邮件以及附件，不从不明网站下载相关的软件

             b)  及时给电脑打补丁，修复漏洞

             c)  对重要的数据文件定期进行非本地备份

             d)  安装专业的终端/服务器安全防护软件

             e)  定期用专业的反病毒软件进行安全查杀

             f)   尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等

原文始发于微信公众号（菜鸟小新）：勒索病毒处理