查看本地用户,未发现异常:

打开任务管理器,发现可疑进程F.exe:

利用wmi查看进程信息,发现其位置在开始菜单启动项中:

C:\Users\gy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

同时,通过任务管理器,发现windows临时文件夹中也有该程序

通过测试可知F.exe为勒索病毒程序:

查看网络状态,除向日葵远控客户端外,未发现其余异常:

检查注册表,发现病毒文件被设置为开机启动

文件加密时间为20点29分

查看安全日志,发现从20点8分到32分有一串来自同网段kali(10.10.10.3)远程爆破记录

但并未发现爆破成功的日志(4624,类型3)

查看对应时间段应用日志,未发现远程桌面使用报告,但有大量跟系统安全相关的认证日志:

查看对应时间段系统日志,发现向日葵使用痕迹:

加密发生前五分钟,向日葵服务被安装

查看当天的向日葵日志:

发现在加密前五分钟启用了向日葵连接

发现向日葵RCE测试payload,攻击端为10.10.10.7,勒索病毒来源为10.10.10.3

总结:

攻击者先拿下了同网段的两台主机(10.10.10.3和10.10.10.7),先使用10.10.10.3对受害机(10.10.10.11)进行了爆破,未成功。然后通过端口扫描发现了受害机上的向日葵服务,并通过向日葵RCE控制受害主机下载并运行了存放在10.10.10.3上的勒索病毒。

记一次Windows勒索病毒应急响应实战相关推荐

  1. 某某客户的一次勒索病毒应急响应

    Lockbit勒索病毒应急响应 背景 1.应急处理排查 2.勒索病毒来源分析 3.勒索病毒分析 4.勒索病毒解密 5.主机分析分析 6.后续安全加固和改进措施 结论 背景 美好的周六刚开始,眼睛一睁, ...

  2. 勒索病毒应急响应及防护

    一.勒索病毒类型 1.加密勒索软件 它使个人文件和文件夹(文档.电子表格.图片和视频)被加密. 受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件. ...

  3. 勒索病毒应急响应指导手册

    目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...

  4. 勒索病毒应急响应指南

    勒索病毒应急响应指南 1.勒索病毒的攻击特点 2.隔离被感染的服务器/主机 3.排查业务系统 4.确定勒索病毒种类,进行溯源分析 5.恢复数据和业务 6.清除加固 7.勒索病毒的防御方法 个人终端防御 ...

  5. 运维圣经:勒索病毒应急响应指南

    目录 勒索病毒简介 常见勒索病毒种类 WannaCry Globelmposter Crysis/ Dharma 攻击特点 应急响应方法指南 一. 隔离被感染的服务器/主机 二. 排查业务系统 三.  ...

  6. 网络安全应急响应----5、勒索病毒应急响应

    文章目录 一.勒索病毒简介 二.常见勒索病毒 三.勒索病毒常见利用漏洞 四.勒索病毒的解密 4.1.常见的可解密勒索家族类型 4.2.处理勒索病毒常用工具 五.勒索病毒的攻击 5.1.勒索病毒的攻击方 ...

  7. 网络安全之勒索病毒应急响应方案

    处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电:访问控制主要是指对访问网络资源的权限进行严格的认证和控制. 1. ...

  8. 记·Windows挖矿病毒应急响应

    一.事件概述 有台服务器的风扇一直很响,并且操作十分卡顿.重启过程也十分缓慢,打开任务管理器一看,cpu直接拉满了,资源占用严重,猜测中了挖矿木马. 二.痕迹挖掘 1.查看可疑进程 发现system. ...

  9. 记一次盖茨木马应急响应

    前言:​ 这是一篇两年前的应急响应了,今天拿出来给大家分享一下排查思路 客户阐述 客户说服务器中病毒了,不占用CPU和带宽,但是影响业务:有两拨人去清除过了,但是每次都是没多久就又出来了,形容的比较模 ...

最新文章

  1. 如何构建虚拟护士应用程序?
  2. 5G NGC — PCC 策略与计费控制框架
  3. MediaSource 缓存
  4. Kendo UI开发教程(8): Kendo UI 特效概述
  5. requests发送http请求
  6. 天池 在线编程 最大得分(DP)
  7. 七、Python第七课——有关列表的二三事(切片、切片的遍历和复制)
  8. Java之static的内容
  9. 统计一行文本的单词个数_NLP中的文本表示方法
  10. UML类图几种关系的总结,泛化 = 实现 组合 聚合 关联 依赖
  11. AI和计算机会议,CCF推荐人工智能领域的会议和期刊
  12. mysql 地理空间数据库_地理空间数据库
  13. 贝叶斯(Bayes)决策理论
  14. Android APP隐藏图标、无启动界面、进程隐藏的方法
  15. 笔记本无线网卡开启wifi方法
  16. Python---文件操作
  17. python——正则表达式(re模块)详解
  18. 中文zh描述规则,原来中文下除了cmn外还有14种扩展
  19. python使用urllib发送post请求_python使用urllib2提交http post请求的方法
  20. 如何把android系统升级,安卓系统是怎么升级的

热门文章

  1. Lytro Illum光场图像分解的白图像
  2. unity 3分钟理解 批处理和drawcall有什么区别
  3. Java万字长文基础知识总结
  4. 做“网站SEO”的你懂得分析搜索方向的大势吗?
  5. 信号与系统学习笔记 第三章
  6. 2022年中国医疗设备电源市场现状研究分析与发展前景预测报告
  7. Realsense D455/435内参标定以及手眼标定
  8. 如何不再成为压力祭品?
  9. OCR手机证件扫描光学字符识别
  10. 怎么屏蔽还有照片_华为手机中老是出现不明照片?这些功能一定要注意,尽量将其关闭...