记一次勒索病毒应急响应

最新推荐文章于 2025-07-07 22:09:44 发布

能年玲奈喝榴莲牛奶

最新推荐文章于 2025-07-07 22:09:44 发布

阅读量619

点赞数 23

CC 4.0 BY-SA版权

分类专栏： WEB安全应急演练文章标签：应急响应 web安全安全网络

本文链接：https://blog.csdn.net/sudamasami/article/details/149167036

WEB安全应急演练专栏收录该内容

18 篇文章

订阅专栏

事件概述：

收到客户通知，其工厂的管理服务器出现了勒索病毒，导致服务器无法正常使用。找到我们对事件进行应急响应。

处置流程:

1.判断勒索事件

1.1查看勒索信息展示

1.2被加密文件类型

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

1.3文件加密后缀

.baxia

1.4确定勒索病毒时间

1.5问题排查

1.5.1文件排查

(1)检查桌面及各个盘符根目录下是否存在异常文件。根据文件夹内文件列表时间进行排序，查找可疑文件；

(2)查看文件时间，创建时间、修改时间、访问时间。对应linux的ctime mtime atime，通过对文件右键属性即可看到详细的时间（也可以通过dir /tc 1.aspx 来查看创建时间）；

(3)使用systeminfo命令查看系统补丁情况；

(4)使用net user查看系统账户情况，或者通过计算机—右键—管理—本地用户和组；

(5)借助天擎等杀毒软件查看是否存在异常文件。

1.5.2进程排查

(1)检查是否存在异常进程。使用netstat -ano 查看目前的网络连接，查看是否存在可疑ip、端口、进程；

(2)使用tasklist命令查看可疑进程；

(3)检查是否存在异常计划任务；

(4)检测CPU、内存、网络使用率；（通过资源管理器查看）

(5)注册表项检测。

1.5.3日志排查

查看事件管理器：

因为客户机子安装了向日葵，所以向日葵log

系统日志：查看是否有异常操作，如创建计划任务、关机、重启；

安全日志：查看是否有异常的登录行为；

应用日志：查看应用是否有异常程序运行；

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”。

审核登录事件，双击，设置为成功和失败都审核：

1.5.4网络流量排查

(1)有全流量的记录设备（如天眼）；

(2)分析内网是否针对445端口的扫描和MS17-010漏洞的利用；

(3)分析溯源被勒索终端被入侵的过程；

(4)分析邮件附件MD5值匹配奇安信威胁情报中心的数据判定是否为勒索病毒；

(5)分析在网络中传播的文件是否被二次打包、进行植入式攻击；

(6)分析在正常网页中植入木马，让访问者在浏览网页时利用IE或Flash等软件漏洞的攻击。

无安全设备、无防火墙

2.勒索病毒家族归属

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士

打开360勒索病毒输入文件后缀发现病毒所属BeiJingCrypt，暂时无法解密。

3.事件总结

此次事件，是勒索病毒通过客户服务器某服务器进行撒网，该服务器系统存在漏洞。被获取权限后上传勒索病毒并执行。因该服务器存在工控网，其他工控服务器均为Linux，该勒索病毒没有导致横向传播，由于客户的服务器属于重要资产，有数据恢复的需求，进而联系黑产方。后续害怕黑产房导致毁单，从淘宝上找到相关勒索病毒恢复人员进行数据恢复。(勒索病毒恢复人员和黑产方要价相差不多)后续客户上架防火墙产品，保证后续网络安全。