一次勒索病毒溯源

接到客户消息说中勒索病毒了，虽然买的是VPN不是防火墙，但还是要帮他处理一下。

1、首先看到文件被加密了，文件名后缀为bigbosshorse，加密时间为2019/11/23 17:11。

2、Decryption里面就是勒索信息。

3、向客户了解到这台服务器并不对外提供服务，那能入侵的方法就不多了，然后我们用 netstat -ano 看服务器开启了哪些端口，可以看到445，3389这些高危端口都是开放的。

4、再看服务器系统，这是个2008R2的服务器

5、在CMD中输入systeminfo，查看补丁情况，对比MS17-010补丁号，服务器没有打补丁。补丁地址：https://docs.microsoft.com/zh-cn ... etins/2017/ms17-010

6、虽然服务器没有打补丁，我们需要判断服务器是否存在这个漏洞，一个简单的方法就是运行CMD，输入WMIC BIOS get releasedate，检查日期为2017-03-12之后的操作系统已经默认修复了该漏洞不需再覆盖修复，说明被加密的服务器是不存在该漏洞的。

参考自：https://blog.csdn.net/u010050174/article/details/81179097

7、查看服务器安全日志看能不能有什么发现，运行eventvmr.msc打开事件查看器，先看windows日志里的安全日志，这里主要是看登录日志，因为忘了拍照我截了一张自己电脑的图，可以看到审核成功对应的是登录成功的事件ID4624，审核失败对应事件ID4625，如果日志中短时间内有大量登录行为，那么极有可能是有人在爆破服务器密码。

8、即使在日志中发现一个登录成功日志，怎么知道是管理员登录的还是黑客登录的呢？在【应用程序】-【Microsoft-Windows】-【TerminalServices-RemoteConnectionManager】下，打开Operational，筛选当前日志，事件ID1149，可以看到RDP连接的源地址。

9、查看IP对应地区，多为外地登录，说明服务器密码泄露。

10、查看防火墙配置，发现服务器远程桌面被映射到公网，所以说话术并不是忽悠客户的。

感谢楼主分享。
很经典的案例，思路清晰，方法简单直接。

干货满满，感谢楼主，值得学习借鉴

厉害了，又学到了新技能！向楼主学习！

楼主很强大，内容值得参考

值得学习！

学习了，值得借鉴

已关注楼主，分享的经验对我很有帮助！

干货满满，感谢楼主的分享！