​「干货」中了勒索病毒怎么办(二)?

「干货」中了勒索病毒怎么办(二)?

通过昨天的文章,想必大家多勒索病毒都有了一个初步的了解。那就听我们就了解下当中了勒索病毒后,我们应该怎么处理。

中了勒索病毒千万不要慌,针对勒索病毒的应急,我们的排查也可以基于PDCERF模型,当然勒索病毒还是比较特殊的,第一时间还是先对所有中毒主机进行断网处理。可以参照以下的步骤:

梳理资产,确认灾情 保留现场,断开网络 确认诉求,

聚焦重点 样本提取,数据收集 判断家族,尝试解密

溯源取证,封堵源头 加固防御,以绝后患

梳理资产,确认灾情

中了勒索病毒,首先明确好当前资产现状,确认好灾情。制定一个表格,确认好哪些资产是被勒索病毒感染,哪些目前还比较安全,多少台是服务器,多少台是终端。所中勒索病毒,是否为同一种?可以参照下图表格进行信息的收集。

信息收集表

保留现场,断开网络

第一时间将所有中招主机进行物理隔离方式(如拔网线),这样可以防止进一步扩散,造成二次伤害。至于其它未中招的主机,建议根据灾情实际情况,选择是否隔离网络。建议所有主机都隔离网络,等应急结束,加固完成后,再放通网络。

中招主机隔离后,建议保留现场,不要破坏环境或者格式化系统,除非不需要做溯源取证和入侵原因分析,不然会给后续做防御加固、解密恢复带来困难。通常来讲,中招主机也不要断电,不要重启,如果真的需要数据恢复,可以找专业的厂商来解决。

确认诉求,聚焦重点

确认诉求,是勒索病毒应急响应的核心。

首先,受害者企业必须知道自己的核心诉求是什么,这样应急响应人员可以根据核心诉求,按照紧急程度依次开展工作。包括不限于:数据解密、加固防御、入侵分析(溯源取证)、样本分析、内网安全状况评估等等。受害者最关心的,则优先投入,优先响应排查。

样本提取,数据收集

提取系统日志:将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面,然后在桌面上将其压缩为以中招主机命名的压缩包,例如:192.168.1.1-windows-log.zip

提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。

判断病毒文件是否还在加密

使用everything文件检索工具,查询勒索病毒后缀,确定加密时间。

按修改时间排序,观察是否有新的被加密文件。如果正在加密,立刻关机,关机后可将磁盘进行刻录用来分析;如果已经停止加密,则继续进行操作。

判断病毒文件是否在本机

由于勒索病毒通常都会对其所能访问到的共享文件夹进行加密,所以病毒文件有可能并不在被加密的主机中。

判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。

收集系统日志文件

Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,整个打包出来就行了。进行分析,查找中毒时间段内有什么IP登录中毒主机。是否存在rdp、smb暴力破解行为。当然应用日志我们也可以收收集。

查找病毒文件

勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序,如下:

病毒文件名或伪装成系统文件如“svchost.exe”、“WindowsUpdate.exe”,或直接用加密后缀命名如“Ares.exe”、“Snake.exe”,或者其他奇怪的名字如“dll.exe”等等。总之,就是看起来“不太正常”的exe文件(文中的[user]通指的当前系统的用户名,用户名可能是administrator,也可能是具体人名,请根据实际用户名进行替换)。

按照这样的方法找到可疑文件,可以通过查询VirusTotal(计算md5查询,最好不要直接上传文件)、在虚拟机中运行或者直接提供给安全团队进行确认。

大多数情况下使用这种方法都能够找到病毒文件,找不到的话可以用工具全盘扫描。另外由于一些病毒有自删除行为,所以不一定能找到病毒文件,比如CryptOn。

判断家族,尝试解密

可以通过文件后缀或者黑客邮箱进行查询。

查询网址如:

https://c.quk.cc/3/b92c/1klgbwy5wka  >https://id-ransomware.malwarehunterteam.com/

溯源求证,封堵源头

查看登陆过本机的IP

(1)打开事件事件日志

我的电脑 -> 右键 -> 管理 -> 事件查看器。

(2)找到RDP连接日志

应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager

选中Operational,右边就出现了RDP的日志信息,点击操作窗口筛选当前日志,填入事件ID号1149,就能看到所有RDP登陆过当前主机的IP,这样就能溯源出黑客的跳板机了。

(3)查看本机登陆过的IP

打开注册表,打开此路径:HKCU\Software\Microsoft\Terminal Server Client。

选中Default可以看到连接过的IP。

选中Servers -> [IP]可以查看登陆名。

其他溯源方式

如果中招的企业内网,已部署相应的网关产品,则可以通过网关日志,确定爆破源和扫描源。另外,也可以通过文件修改时间,确定各个主机之间的先后感染顺序,一般来讲,最开始被感染的主机,都是内网被撕开的口子,即内网入侵点之所在。

另外,这里给出几个勒索病毒常见的入侵工具:

Mimikatz密码窃取工具,其日志如下

通常来讲,该工具命名如下:

Advanced IP Scanner,功能比较强大,支持多种协议(包括RDP),可对单台,也可对整个网段进行扫描,甚至可实现完全控制。

ProcessHacker是一款不错的进程分析工具,不过常被黑客用来对抗杀毒软件,例如在运行勒索前,卸载掉杀毒软件。

如果在中招主机上,发现上述黑客工具,则说明这台主机正在成为跳板主机。

加固防御,以绝后患

加固防御,也是勒索病毒应急响应的重要组成部分,是防止二次伤害,二次中招的关键步骤,主要的加固和防御方向如:避免弱口令,避免多个系统使用同一口令;漏洞管理,定期漏扫,及时打补丁,修复漏洞;安装杀毒软件,定期杀毒;数据备份,对重要的数据文件定期进行非本地备份;安全意识宣传,包括不使用不明来历的U盘、移动硬盘等存储设备、不要点击来源不明的邮件以及附件、不接入公共网络也不允许内部网络接入来历不明外网PC。用户可以根据实际情况,选择以下操作步骤。

关闭潜在威胁服务及窗口

启用并打开“Windows防火墙”,进入“高级设置”,在入站规则新建规则。

关闭无业务需求服务器的 UDP 137、UDP 138、以及 TCP 139、445 端口

封堵漏洞,打上补丁

可以使用systeminfo命令查看补丁信息

更改账号密码,设置强密码

对于运维人员来说,特别是当服务器数量比较大的时候,通常为了管理方便,都使用统一的帐号密码。另外,为了易于记录,防止忘记密码,管理人员又可能设置譬如123456等弱密码。很多时候,误以为内网场景,就不会被存在被攻击的可能性。

上图,表明了统一的账号弱密码的危险性。一旦所有服务器都设置统一的弱密码,则意味着每台都极易被攻破,而一旦某台被攻破,其它服务器也可使用相同密码进行入侵,进而出现在极短时间内,大规模瘫痪的现象。

在此,可见,不仅要设置强密码,并且最好每台服务器的密码都不相同。

以上,一家之言,欢迎指教

相关推荐

​千元新旗舰 品质实力派华为畅享9 Plus体验

​千元新旗舰 品质实力派华为畅享9 Plus体验

53

千元新旗舰 品质实力派华为畅享9 Plus体验 近日,华为全新千元王牌机型—华为畅享9 Plus于10月15日正式登场。作为一款“千元旗舰机”,华为畅享9 Plus在诸多方面都进行了提升,搭载了...

​电信橙分期,不懂得你要来看看

​电信橙分期,不懂得你要来看看

129

电信橙分期,不懂得你要来看看 今天呢,我来给大家解释一下橙分期。相信大家做过这个套餐的会有很多疑惑,有很多人会说是骗人的那么今天就来给那些说橙分期返红包是骗人坑人的...

​猜码文化,进来教你怎样猜码

132

猜码文化,进来教你怎样猜码 记得我在读初中的时候听过这样的谜语:什么游戏赢的人没有奖励反而输的人有奖励?答案是猜码。还记得当年刚会猜的时候就是在初中,经常听到有人叫...

​朱桢为爱妻庆生,儿子像妈五官似混血

​朱桢为爱妻庆生,儿子像妈五官似混血

171

朱桢为爱妻庆生,儿子像妈五官似混血 本文内容来自于网络,若与实际情况不相符或存在侵权行为,请联系删除。 4月3日,知名主持人朱桢的一段视频引发了广泛的关注和热议。在视频...

​野钓鲤鱼的心得与技巧,新手钓友请收藏

​野钓鲤鱼的心得与技巧,新手钓友请收藏

54

野钓鲤鱼的心得与技巧,新手钓友请收藏 鲤鱼在我国分布广泛,是不少钓友喜欢垂钓的鱼种,但鲤鱼生性多疑,很狡猾,不容易上钩。我每年到了夏天就喜欢专钓鲤鱼,鲤鱼劲大持久,...

​新乡十大特色小吃

100

新乡十大特色小吃 #记录我的2023# 01 牛忠喜烧饼 起源和历史:牛忠喜烧饼是河南省新乡市的传统小吃,由国家级烧饼大师牛忠喜积多年经验制作而成。1980年被评为河南省优质产品,并正...

​“笑面虎”郑佳往事

​“笑面虎”郑佳往事

101

“笑面虎”郑佳往事 “天上雷公,地上海陆丰。”这句流传多年的谚语,令地处粤东的海陆丰名声在外。 陆丰市(县级市)与海丰县毗邻而居,均有上千年的建县史。1988年,地级市汕...

​嘉峪关十大特色小吃

​嘉峪关十大特色小吃

52

嘉峪关十大特色小吃 01 搓鱼面: 起源和历史:搓鱼面是甘肃嘉峪关的著名小吃之一,因形状酷似小鱼而得名。搓鱼面的历史悠久,据说在清朝时期就已经有了。 材料和制作:搓鱼面的...

​镇远:擒住!消失在320国道的“幽灵”

135

镇远:擒住!消失在320国道的“幽灵” 凌晨3点15分,贵州省镇远县羊坪镇竹坪村的荒郊野外细雨霏霏、寒风飘荡、大雾弥漫。 一位黑衣老者俯卧在320国道路中,两只鞋和一根拐杖散落...

​委内瑞拉的历史和现状

​委内瑞拉的历史和现状

131

委内瑞拉的历史和现状 委内瑞拉是南美洲北部的一个国家,东临大西洋,北隔加勒比海与美国佛罗里达州相望,西接哥伦比亚,南邻巴西,东南与圭亚那接壤。该国面积为91.2万平方公...

​俄罗斯正式警告美国

​俄罗斯正式警告美国

71

俄罗斯正式警告美国 本文内容来自于网络,若与实际情况不相符或存在侵权行为,请联系删除。 资料图 据《华盛顿邮报》4月14日报道,俄罗斯近日向美国提交正式外交照会,警告美国...

​张杨导演,我爱你但我不想睡你

178

张杨导演,我爱你但我不想睡你 为了你,我写出了十万+,为了你我染上了疯狂。 如果没有你,我不会穿上厚厚的伪装顺便换了心肠。 ” 好看的皮囊三千一晚,有趣的灵魂把你写进1...

​新婚之夜的“割礼”之痛,你了解多少?

​新婚之夜的“割礼”之痛,你了解多少?

69

新婚之夜的“割礼”之痛,你了解多少? 在阅读此文前,诚邀您点击一下“关注”,既方便您进行讨论与分享,又给您带来不一样的参与感,感谢您的支持。 引言: 提起封建恶俗,很...

​羌族人的“春节”—羌年

​羌族人的“春节”—羌年

167

羌族人的“春节”—羌年 大部分中国人每年过一次年,就是春节。但也有一些少数民族,在过春节的同时,还保留着自己民族特色的“年”,每年会过两次“年”。羌族就是这样,除了...