1. 事件背景
某企业客户重要业务系统中了勒索病毒,重要,导致生产全面瘫痪,需要找到设备受到感染原因,抑制病毒扩散。
2. 事件排查
服务器排查
登录服务器(***)后,服务器的文件全部被加密成了.MDEN后缀结尾的加密文件,无法打开。如下图。
后缀MDEN的勒索病毒确认为某公司勒索病毒PRCP变种,该勒索病毒变种主要通过RDP爆破进行传播,会扫描局域网内主机,会加密局域网共享目录文件夹下的文件,勒索病毒的勒索信息如下,
登录服务器下载安全日志,使用Notepad++查看,发现服务器存在大量暴力破解记录,并暴力破解成功。攻击源IP为内网地址***
登录***,使用ProcessHacker查看进程,发现powershell进程正在大量通过445端口暴力破解内网中一台服务器。
查看powershell属性,查看commendline被注入了一段恶意代码,进程会主动访问代码中的未知域名
通过微步检测代码中的域名为驱动人生后门,部分受感染的主机上会利用 vbs 以及powershell 脚本执行相关病毒组件,通过脚本执行,从 公网下载更新自身病毒文件,并通过此肉鸡扫描内网定向爆破内网服务器植入勒索病毒。
使用Autoruns查看启动项,查找到如下进程被植入恶意代码
在任务计划中查看此启动项的代码为唤醒植入powershell扫描程序并保持病毒更新,出发时间在2019年5月17日,每隔1小时更新一次
清除植入的恶意代码或使用某公司的驱动人生专杀工具进行查杀,查杀完成后重启电脑恢复正常
3. 系统中存在安全隐患
客户机开放了135、445、3389等高危端口
4. 安全加固和改进建议
1、重新安装操作系统。
2、建议关闭135,137,139,445等高危端口。
3、 重装服务器之后修改管理员密码,确保密码复杂度,建议使用VPN登录3389远程登录。
4、 安装终端杀毒软件。
5、 数据备份,对重要的数据文件定期进行非本地备份
6、 安全意识宣传,不使用不明来历的U盘、移动硬盘等存储设备;不要点击来源不明的邮件以及附件;不接入公共网络也不允许内部网络接入来历不明外网PC。
7、 建议部署安全感知平台(可以发现内网哪些主机感染勒索病毒以及勒索病毒变种)发现更多威胁。
原文始发于微信公众号(菜鸟小新):驱动人生植入Matrix勒索病毒应急响应处置实战分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论