×

记一次勒索病毒应急响应
  

落寞 27891人觉得有帮助

{{ttag.title}}
客户内网多台主机感染勒索病毒,所以需要根据勒索病毒家族分析判断病毒内网传播方式。勒索信息如下:
加密文件后缀如下:

   经对加密的主机后缀及勒索信息进行分析后,得知此勒索病毒为 CryptON勒索病毒。
首先检查被加密主机xx.xx.xx.180,发现文件被加密事件为11号2点11分,在系统安全日志中发现有大量审核失败的爆破记录,而且被IP为xx.xx.xx.226和xx.xx.xx.178的主机在凌晨0点51分和凌晨1点多登陆过。调查的对象就转向了xx.xx.xx.226和xx.xx.xx.178。
在xx.xx.xx.226机器上发现黑客用于攻击的黑客工具,通过安全日志分析到xx.xx.xx.178登录该主机。
黑客的武器发现了,那接下来排查黑客是怎么进来的。对于xx.xx.xx.178的安全日志进行分析发现黑客删除了日志。
                                                               
虽然黑客做了日志清除,但是还是再安全日志中发现了黑客的攻击地址。
                                                                 
  由此可得出结论,xx.xx.xx.178主机首先被攻破,然后攻击者以xx.xx.xx.178主机为跳板攻击了客户内网弱口令主机。

210965de5cfdec4cc5.png (84.56 KB, 下载次数: 112)

210965de5cfdec4cc5.png

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

新手011353 发表于 2019-12-3 15:09
  
排版好看,图文并茂,谢谢楼主的分享紧急处理勒索病毒的事件,get到了~期待楼主有更多好文的分享~
平凡的小网工 发表于 2019-12-3 19:19
  
多谢楼主的分享。我关心的是对已经中招的机器如何处理?
头像被屏蔽
新手031815 发表于 2019-12-4 13:46
  
提示: 作者被禁止或删除 内容自动屏蔽
Sangfor_闪电回_朱丽 发表于 2019-12-5 09:37
  
感谢分享,那么后续这些中毒的机器是如何处理的?发现了此次攻击后,在安全防护方面做了哪些调整吗?
令人发指 发表于 2019-12-5 17:05
  
谢谢分享,可以说下后续是怎么处理的吗?
头像被屏蔽
新手780102 发表于 2019-12-5 20:03
  
提示: 作者被禁止或删除 内容自动屏蔽
sangfor45733 发表于 2019-12-17 14:59
  
楼主分享挺好的,做为勒索病毒或者挖矿病毒等这类使用暴力破解扩散的病毒可以用于查找溯源,若使用永恒之蓝的就没有这些日志了,可以考虑多给客户推荐SIP产品(当然要在事件发生之前就有部署),可以再发几个贴说明一下如何处置和安全加固。
新手589624 发表于 2020-2-19 09:03
  
收藏慢慢学
新手325719 发表于 2020-2-20 12:30
  
不错的文章,条理清晰
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人