0x01现象:
目前多台服务器被勒索,以下为勒索加密文件信息:
0x02处理过程:
到达现场,用户部分主机已经通过第三方杀软进行了病毒查杀,部分主机已完成系统重装。
根据大多数勒索病毒均通过远程桌面爆破,按照这个思路,经询问用户存在对外发布远程桌面,只修改了端口,出口只有一台功能规则均过期的防火墙提供安全防护。然后通过在病毒主机查找日志文件,根据加密时间往前推,进行日志筛查。
a) 病毒主机56,通过日志发现:
2020-4-6/23:30分左右持续被进行了445的暴力破解,最终于凌晨0.42分成功爆破成功。
于是2020-4-7凌晨0:42分黑客通过10.254.6.118作为跳板成功对56主机进行了远程访问,释放了勒索病毒进行加密勒索。
b) 病毒主机31,通过日志发现该主机也通过10.254.6.118作为跳板访问服务器主机,实现勒索加密
c) 其他主机在同时间段内也遭遇了10.254.4.223的远程访问
0x03总结
a) 外网出口防火墙功能、规则均过期,无法提供检测与防护。
b) 病毒主机均未打永恒之蓝补丁。
c) 根据现有信息及数据分析,由于外网映射内网主机远程桌面端口,黑客爆破映射主机,将内网主机10.254.6.118、10.254.2.223作为跳板实现对56、31等多台服务器进行SMB爆破,获取密码,再通过远程桌面实现对主机的数据、系统服务进行加密,由于跳板机10.254.6.118、10.254.2.223日志被清除,无法实现进一步溯源。
0x04建议
1、日常防范措施:
a) 不要点击来源不明的邮件以及附件,不从不明网站下载相关的软件
b) 及时给电脑打补丁,修复漏洞
c) 对重要的数据文件定期进行非本地备份
d) 安装专业的终端/服务器安全防护软件
e) 定期用专业的反病毒软件进行安全查杀
f) 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
