记一次勒索病毒应急响应

客户内网多台主机感染勒索病毒，所以需要根据勒索病毒家族分析判断病毒内网传播方式。勒索信息如下:

加密文件后缀如下：

   经对加密的主机后缀及勒索信息进行分析后，得知此勒索病毒为 CryptON勒索病毒。

首先检查被加密主机xx.xx.xx.180，发现文件被加密事件为11号2点11分，在系统安全日志中发现有大量审核失败的爆破记录，而且被IP为xx.xx.xx.226和xx.xx.xx.178的主机在凌晨0点51分和凌晨1点多登陆过。调查的对象就转向了xx.xx.xx.226和xx.xx.xx.178。

在xx.xx.xx.226机器上发现黑客用于攻击的黑客工具，通过安全日志分析到xx.xx.xx.178登录该主机。

黑客的武器发现了，那接下来排查黑客是怎么进来的。对于xx.xx.xx.178的安全日志进行分析发现黑客删除了日志。

                                                               

虽然黑客做了日志清除，但是还是再安全日志中发现了黑客的攻击地址。

                                                                 

  由此可得出结论，xx.xx.xx.178主机首先被攻破，然后攻击者以xx.xx.xx.178主机为跳板攻击了客户内网弱口令主机。

排版好看，图文并茂，谢谢楼主的分享紧急处理勒索病毒的事件，get到了~期待楼主有更多好文的分享~

多谢楼主的分享。我关心的是对已经中招的机器如何处理？

好帖，点赞

感谢分享，那么后续这些中毒的机器是如何处理的？发现了此次攻击后，在安全防护方面做了哪些调整吗？

谢谢分享，可以说下后续是怎么处理的吗？

为楼主打call

楼主分享挺好的，做为勒索病毒或者挖矿病毒等这类使用暴力破解扩散的病毒可以用于查找溯源，若使用永恒之蓝的就没有这些日志了，可以考虑多给客户推荐SIP产品（当然要在事件发生之前就有部署），可以再发几个贴说明一下如何处置和安全加固。

收藏慢慢学

不错的文章，条理清晰