JM 发表于 2024-1-3 14:27
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了
talent 发表于 2024-3-1 11:46
  
谢谢楼主分享,学习一下!
江南岸别离 发表于 2024-5-21 07:40
  
打卡学习,感谢大佬分享!
guhui 发表于 2024-6-2 09:58
  
每天坚持打卡学习签到!!
新手370587 发表于 2024-6-5 10:39
  
打卡学习,感谢大佬分享!
FuJun 发表于 2024-8-19 12:34
  
非常好的实践教程,谢谢分享
#每日一记#Phobos勒索病毒处置
  

adds 131919人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2022-6-16 10:12 编辑

                        今天是端午小长假第1天。感谢屈原的牺牲!
   


    1、安全事件情况
    5月12日晚上接到客户电话,说中了勒索病毒,十几台PC+2台服务器,系统版本、业务情况不明。

    2、处置
    2.1   现场情况
     重中之中是找到弹勒索信的电脑,如果找不到,那就说明有影子资产、僵尸资产不在信息部门的管控之中!
    勒索信:
   
    2.2  确认病毒家族
    查看被加密文件后缀:
   
      去深信服网站确认病毒家族。

  1. https://edr.sangfor.com.cn/#/information/ransom_search
复制代码

      
     然后点击“查看报告”,里面就有原理分析。
     
    思路是最重要的,知道了病毒家族,随便去网站搜索处理方法就成。

     2.3  处置
     大体思路:结束病毒进程,删除病毒文件,删除启动项、任务计划和注册表里的病毒信息。
  用到的工具有everything、userassistview、lastactivityview、火绒剑独立版
     1)查找病毒进程
      
      通过查询资料,我们得知phobos勒索病毒家族使用的进程分别为fast.exe和NS.exe,也可以通过手工判断。
      我们先结束掉。
     2)删除病毒文件
     通过进程定位到病毒文件路径,删除。
     
    Ns.exe同样步骤。
    3)删除启动项病毒文件
     路径:
     C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
     C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
     
    4)删除注册表信息
    Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
   
    5)检查任务计划
     没有异常的任务计划
     
     6)查看用户
     没有异常用户
      
     7)使用everything全盘搜索病毒文件
      搜索到之后进行删除
      

    2.4  溯源
    1)使用Userassistview查看勒索病毒文件发生时的电脑动作
     
    2)使用lastactivityview查看
   
    3)通过运行eventvwr.msc查看安全日志。
   
    可以定位到攻击IP。
    4)其他远程登录日志
    Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational
C:\Windows\System32\winevt\Logs
   
    5)系统3389服务端口开放
   
    到此,可以判断出攻击者通过暴破3389端口实施了勒索病毒攻击。
    6)附件是病毒样本和处置思路。   


     3、桌面云虚拟机故障排查
      版本:5.4.5 R1
     3.1   故障现象:
     鼠标无反应,鼠标插入aDesk后,在进入虚拟机前,鼠标可用;在进入虚拟机后,鼠标不可用。
     3.2   处置思路
     1) 在更换2个aDesk后,虚拟机依旧不可用
     2) 虚拟机的agent状态正常。
     3) 虚拟机在其他客户端登录正常。
     3.3  故障原因
      鼠标映射到了虚拟机里。
     3.4   处置
     通过在VDC配置USB黑名单觖决。
     3.5   疑问:
     之前都正常使用,有一段时间关机没有用,再用就出了问题。


     4、注意
     4.1  《沃伦》
     4.2   《达拉斯买家俱乐部
     4.3  cron  计时程序;spool  卷轴;线轴
     4.4  quote  引用;摘引。
     4.5 《恭诵左公西行甘棠》  
     大将筹边尚未还,湖湘子弟满天山。新栽杨柳三千里,引得春风度玉关。
     4.6   杨根思三个“不相信”战斗宣言:不相信有完不成的任务,不相信有克服不了的困难,不相信有战胜不了的敌人。
     4.7  几千年过去了,什么都在变,饮食变了,技术变了,衣服变了,但是最里面的那一套还是没有变,该杀的人还是要杀,该犯的错还是要犯,岳飞会死,袁崇焕会死,再过一千年,还是会死。
     

bingdu.rar

161.53 KB, 下载次数: 16

勒索病毒处置.rar

302.68 KB, 下载次数: 61

打赏鼓励作者,期待更多好文!

打赏
75人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
技术笔记
干货满满
【 社区to talk】
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
功能体验
自助服务平台操作指引
秒懂零信任
安装部署配置
原创分享
通用技术
技术晨报
每周精选
信服课堂视频
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人