客户反馈内网主机中了勒索病毒,找到市场之后,市场反馈给技术
上门前需要做的事情
1.确定有多少台终端或者是服务器中了勒索病毒
2.中了病毒的机器需要紧急断网,把网线拔掉,防止内网扩散。
3.确定中病毒的类型 根据病毒类型,大致可以判断通过何种方式进来的,根据不同的加密后缀 可以判断出是什么类型。这个我后期会更新介绍
4.剩下的就是确定联系人 地址什么的
病毒处理过程思路
1.确定是什么类型的勒索病毒
2.确定那台主机是最先被勒索的。可以通过工具进行筛选
3.例如是通过3389爆破进来的,可以查看主机日志,某一时间段会有大量的登录失败的日志,然后接着会有登录成功的日志,查看系统进程 查看是否开放了威胁端口等
4.根据这个日志 查看登录主机地址 ,然后根据日志登录的时间,来对比最早被勒索加密时间 基本就能判断是那台主机登录传播的
5.然后在去这个主机去查看 很快就能溯源成功。
病毒处置后
备注:不提供解密服务
1.打补丁
2.封端口
3.安装防护软件
建议管理员做如下处置:
1. 重新安装操作系统。
2. 利用NSA免疫工具关闭135,137,139,445等端口。
3. 重装服务器之后修改管理员密码,确保密码复杂度,建议使用VPN登录3389远程登录。
4. 安装终端杀毒软件。
5. 数据备份,对重要的数据文件定期进行非本地备份
6. 安全意识宣传,不使用不明来历的U盘、移动硬盘等存储设备;不要点击来源不明的邮件以及附件;不接入公共网络也不允许内部网络接入来历不明外网PC。
7. 建议部署安全感知平台(可以发现内网哪些主机感染勒索病毒以及勒索病毒变种)发现更多威胁。
病毒处理见附件