勒索病毒处理

admin 2024年2月22日11:41:00评论14 views字数 918阅读3分3秒阅读模式

0x01现象:

     目前多台服务器被勒索,以下为勒索加密文件信息:

勒索病毒处理

0x02处理过程:

       到达现场,用户部分主机已经通过第三方杀软进行了病毒查杀,部分主机已完成系统重装。

根据大多数勒索病毒均通过远程桌面爆破,按照这个思路,经询问用户存在对外发布远程桌面,只修改了端口,出口只有一台功能规则均过期的防火墙提供安全防护。然后通过在病毒主机查找日志文件,根据加密时间往前推,进行日志筛查。

a)        病毒主机56,通过日志发现:

2020-4-6/23:30分左右持续被进行了445的暴力破解,最终于凌晨0.42分成功爆破成功。

勒索病毒处理

勒索病毒处理

于是2020-4-7凌晨0:42分黑客通过10.2**.6.118作为跳板成功对56主机进行了远程访问,释放了勒索病毒进行加密勒索。

勒索病毒处理

b)        病毒主机31,通过日志发现该主机也通过10.**.6.118作为跳板访问服务器主机,实现勒索加密

勒索病毒处理

勒索病毒处理

勒索病毒处理

c)        其他主机在同时间段内也遭遇了10.2**.4.223的远程访问

0x03总结

        a) 外网出口防火墙功能、规则均过期,无法提供检测与防护。

        b) 病毒主机均为打永恒之蓝补丁

        c) 根据现有信息及数据分析,由于外网映射内网主机远程桌面端口,黑客爆破映射主机,将内网主机10.254.6.118、10.254.2.223作为跳板实现对56、31等多台服务器进行SMB爆破,获取密码,再通过远程桌面实现对主机的数据、系统服务进行加密,由于跳板机10.**54.6.118、10.**4.2.223日志被清除,无法实现进一步溯源。

0x04建议

         1、日常防范措施:

             a)  不要点击来源不明的邮件以及附件,不从不明网站下载相关的软件

             b)  及时给电脑打补丁,修复漏洞

             c)  对重要的数据文件定期进行非本地备份

             d)  安装专业的终端/服务器安全防护软件

             e)  定期用专业的反病毒软件进行安全查杀

             f)   尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

原文始发于微信公众号(菜鸟小新):勒索病毒处理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月22日11:41:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索病毒处理https://cn-sec.com/archives/2514757.html

发表评论

匿名网友 填写信息