本帖最后由 adds 于 2022-6-16 10:12 编辑
今天是端午小长假第1天。感谢屈原的牺牲!
1、安全事件情况 5月12日晚上接到客户电话,说中了勒索病毒,十几台PC+2台服务器,系统版本、业务情况不明。
2、处置 2.1 现场情况 重中之中是找到弹勒索信的电脑,如果找不到,那就说明有影子资产、僵尸资产不在信息部门的管控之中! 勒索信: 2.2 确认病毒家族 查看被加密文件后缀: 去深信服网站确认病毒家族。
- https://edr.sangfor.com.cn/#/information/ransom_search
然后点击“查看报告”,里面就有原理分析。 思路是最重要的,知道了病毒家族,随便去网站搜索处理方法就成。
2.3 处置 大体思路:结束病毒进程,删除病毒文件,删除启动项、任务计划和注册表里的病毒信息。 用到的工具有everything、userassistview、lastactivityview、火绒剑独立版 1)查找病毒进程 通过查询资料,我们得知phobos勒索病毒家族使用的进程分别为fast.exe和NS.exe,也可以通过手工判断。 我们先结束掉。 2)删除病毒文件 通过进程定位到病毒文件路径,删除。 Ns.exe同样步骤。 3)删除启动项病毒文件 路径: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 4)删除注册表信息 Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 5)检查任务计划 没有异常的任务计划 6)查看用户 没有异常用户 7)使用everything全盘搜索病毒文件 搜索到之后进行删除
2.4 溯源 1)使用Userassistview查看勒索病毒文件发生时的电脑动作 2)使用lastactivityview查看 3)通过运行eventvwr.msc查看安全日志。 可以定位到攻击IP。 4)其他远程登录日志 Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational C:\Windows\System32\winevt\Logs 5)系统3389服务端口开放 到此,可以判断出攻击者通过暴破3389端口实施了勒索病毒攻击。 6)附件是病毒样本和处置思路。
3、桌面云虚拟机故障排查 版本:5.4.5 R1 3.1 故障现象: 鼠标无反应,鼠标插入aDesk后,在进入虚拟机前,鼠标可用;在进入虚拟机后,鼠标不可用。 3.2 处置思路 1) 在更换2个aDesk后,虚拟机依旧不可用 2) 虚拟机的agent状态正常。 3) 虚拟机在其他客户端登录正常。 3.3 故障原因 鼠标映射到了虚拟机里。 3.4 处置 通过在VDC配置USB黑名单觖决。 3.5 疑问: 之前都正常使用,有一段时间关机没有用,再用就出了问题。
4、注意 4.1 《沃伦》 4.2 《达拉斯买家俱乐部》 4.3 cron 计时程序;spool 卷轴;线轴 4.4 quote 引用;摘引。 4.5 《恭诵左公西行甘棠》 大将筹边尚未还,湖湘子弟满天山。新栽杨柳三千里,引得春风度玉关。 4.6 杨根思三个“不相信”战斗宣言:不相信有完不成的任务,不相信有克服不了的困难,不相信有战胜不了的敌人。 4.7 几千年过去了,什么都在变,饮食变了,技术变了,衣服变了,但是最里面的那一套还是没有变,该杀的人还是要杀,该犯的错还是要犯,岳飞会死,袁崇焕会死,再过一千年,还是会死。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-6-5 11:58
技术专家3级 
