×

【2022争霸赛*干货满满】Buran勒索病毒VegaLocker变种勒索病毒处置分享
  

亦迅 101574人觉得有帮助

{{ttag.title}}
问题描述:
客户有31台虚拟机被植入勒索病毒,文件被加密,加密文件的后缀每台都不一样,为随机后缀,客户最重要的存储代码的SVN服务器也被加密了。
处理过程:
1、根据勒索界面和加密后缀判断该勒索病毒为Buran勒索病毒VegaLocker变种勒索病毒,该病毒暂时没有密钥对加密的文件进行解密。
被加密主机界面:
勒索文件信息:
虚拟机的状态运行内存都为100%:
2查看加密文件的生成时间,判断SVN服务器被入侵的时间为 418号凌晨 1:59:46
3通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在 2:18:56时被登录并植入黑客工具:


4通过对客户访问需求的排查,发现客户内网有台服务器直接对公网IP开放了3389远程桌面,外网移动办公的人员可随时通过远程桌面访问进内网服务器,而此勒索病毒的源头也是由这台服务器扩散到其他的主机上的。
5、由SVN服务器扩散到其余30台虚拟机的途径
根因:
1、 造成被入侵的原因是主机被3389远程登陆恶意爆破。
2、一台被爆破成功后,经过内网的SMB共享扩散给了其余30台虚拟主机。
加固建议:
1、系统加固建议
账号安全
1.密码复杂度-最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用 Guest 账号,禁用或删除其他无用账号。
3.禁用 administrator 账号,为跳板机用户专门设置新的账号。
4.设置账号尝试登陆 5 次后将该账号进行封锁半小时不运行登陆的禁令。
系统安全
1.操作系统补丁管理-安装最新的操作系统补丁,安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间-对于远程登陆的账号,设置不活动超过时间 15 分钟自动断开连接。
3.防病毒管理-安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全-禁用 TCP/IP 上的 NetBIOS 协议,可以关闭监听的 UDP 137、UDP 138、以及 TCP 139端口。
5.共享文件夹及访问权限-非域环境中,关闭 Windows 硬盘默认共享。
6.跳板机机器的远程连接端口不对公网进行开放。
2产品加固建议
1.部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。
2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
3病毒防御
1.及时给服务器打补丁,修复漏洞。
2.对重要的数据文件定期进行非本地备份。
3.不要点击来源不明的邮件附件,不从不明网站下载软件。
4.尽量关闭不必要的文件共享权限。
5.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6.如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7.深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8.使用深信服安全产品,接入SAAS-XDR,使用云查服务可以即时检测防御新威胁。
      9.最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全态势感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。

打赏鼓励作者,期待更多好文!

打赏
33人已打赏

339015 发表于 2022-10-9 19:25
  
感谢楼主分享了,文章详尽的介绍了一次主机中勒索的处置与溯源案例,并且结合项目经验给出了相关建议,非常有价值,期待楼主带来更多分享
真男人 发表于 2024-9-28 16:00
  
高效学习,答题奖S豆,赢积分
九天独行侠 发表于 2024-9-24 16:08
  
感谢分下,有助于工资和学习!
guhui 发表于 2024-6-20 09:46
  
感谢分享,学习一下~
新手078326 发表于 2024-5-18 10:47
  
一起来学习,一起来学习
JM 发表于 2024-3-8 18:36
  



每天学习 一点点,每天进步一点点!
lisx 发表于 2023-5-18 17:21
  
也就是剩下溯源了,一旦被勒索,要么花钱恢复,要么系统有备份。
Tough_future 发表于 2023-4-3 14:39
  

打卡学习了,感谢楼主的分享
奔走的公牛 发表于 2023-3-31 09:49
  
感谢分享,学习一下!!!!!!
沙鸥 发表于 2023-2-13 20:19
  
非常好的分享,对后续的项目实施很有帮助
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人