0x01現象:
目前多臺服務器被勒索,以下為勒索加密文件信息:
0x02處理過程:
到達現場,用戶部分主機已經通過第三方殺軟進行了病毒查殺,部分主機已完成系統重裝。
根據大多數勒索病毒均通過遠程桌面爆破,按照這個思路,經詢問用戶存在對外發布遠程桌面,只修改了端口,出口只有一臺功能規則均過期的防火牆提供安全防護。然後通過在病毒主機查找日誌文件,根據加密時間往前推,進行日誌篩查。
a) 病毒主機56,通過日誌發現:
2020-4-6/23:30分左右持續被進行了445的暴力破解,最終於凌晨0.42分成功爆破成功。
於是2020-4-7凌晨0:42分黑客通過10.254.6.118作為跳板成功對56主機進行了遠程訪問,釋放了勒索病毒進行加密勒索。
b) 病毒主機31,通過日誌發現該主機也通過10.254.6.118作為跳板訪問服務器主機,實現勒索加密
c) 其他主機在同時間段內也遭遇了10.254.4.223的遠程訪問
0x03總結
a) 外網出口防火牆功能、規則均過期,無法提供檢測與防護。
b) 病毒主機均未打永恆之藍補丁。
c) 根據現有信息及數據分析,由於外網映射內網主機遠程桌面端口,黑客爆破映射主機,將內網主機10.254.6.118、10.254.2.223作為跳板實現對56、31等多臺服務器進行SMB爆破,獲取密碼,再通過遠程桌面實現對主機的數據、系統服務進行加密,由於跳板機10.254.6.118、10.254.2.223日誌被清除,無法實現進一步溯源。
0x04建議
1、日常防範措施:
a) 不要點擊來源不明的郵件以及附件,不從不明網站下載相關的軟件
b) 及時給電腦打補丁,修復漏洞
c) 對重要的數據文件定期進行非本地備份
d) 安裝專業的終端/服務器安全防護軟件
e) 定期用專業的反病毒軟件進行安全查殺
f) 儘量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等