某某客户的一次勒索病毒应急响应
Lockbit勒索病毒应急响应
- 背景
- 1、应急处理排查
- 2、勒索病毒来源分析
- 3、勒索病毒分析
- 4、勒索病毒解密
- 5、主机分析分析
- 6、后续安全加固和改进措施
- 结论
背景
美好的周六刚开始,眼睛一睁,领导就发消息,说某客户中了勒索病毒,特别着急,让我赶过去,于是就有了这篇文章
于是火急火燎的跑过去,了解了一下现场情况,业务系统已断网,必须去现场机房处理
1、应急处理排查
中勒索病毒主机A,新建文件观察未加密,系统进程、启动项均无异常,判断该病毒已经自我删除,停止活动。
排查三个月内该主机,态势感知无横向记录,可以确定只有该主机被感染,无横向移动感染。
对业务系统主机逐一排查
五台主机排查正常
可以得出结论,只有一台主机中了勒索病毒,且病毒无横向移动
2、勒索病毒来源分析
通过文件加密时间排序,判断勒索病毒最初爆发时间为2023年3月11日4:43
该主机为跳板机,只有一个外网入口,运维人员会在云桌面拷贝文件进该主机,入侵方式为运维人员通过云桌面拷贝捆绑勒索病毒文件方式进入。
3、勒索病毒分析
勒索病毒的加密后缀为.lockbit,属于Lockbit勒索病毒家族详情。
Lockbit在每隔被加密的目录下释放一封勒索信Restore-My-Files.txt,文件全部加密完成后,程序在桌面释放hta文件LockBit-note.hta,并为其创建注册表启动项,然后运行,弹出勒索窗口以提醒用户。
根据公开该勒索病毒家族分析报告,该病毒最后会执行如下命令进行自我删除,自我清除系统日志信息,防止技术逆向分析溯源。
登录主机192.168.16.254发现,系统日志信息已经被清除,如下:
Lastactivityview 它可以看到系统近期软件执行情况,在没有日志情况下可作为佐证,原始病毒文件已自行删除。
4、勒索病毒解密
上公开的勒索病毒解密库,确定无法获取解密,只能重新进行部署设备。
5、主机分析分析
分析排查主机发现135和445勒索病毒利用端口未关闭SERVER服务未关闭。
现场系统为WIN2016操作系统微软停止维护,较多漏洞无法更新。
6、后续安全加固和改进措施
(1)关闭核心交换机以及关键路由的135、445端口;
(2)及时升级更新补丁。将所有windows 服务器当中的server服务进行禁用关闭启动;
(3)加强日常安全运维管理,日常漏洞扫描与补丁更新,对于微软已经停止维护的系统,建议升级更换;
(4)维护人员需使用堡垒机远程运维,禁止使用跳板机获取直接远程维护主机;
(5)加强日常运维人员安全意识培训。
结论
最后,这个机器,只能重装系统了,客户最关心的就是有没有横向移动,入侵的原因是什么,入侵的时间,只要找到这些,基本就能交差,后续我便溜了,现场事情基本完成
某某客户的一次勒索病毒应急响应相关推荐
- 勒索病毒应急响应及防护
一.勒索病毒类型 1.加密勒索软件 它使个人文件和文件夹(文档.电子表格.图片和视频)被加密. 受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件. ...
- 勒索病毒应急响应指导手册
目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...
- 勒索病毒应急响应指南
勒索病毒应急响应指南 1.勒索病毒的攻击特点 2.隔离被感染的服务器/主机 3.排查业务系统 4.确定勒索病毒种类,进行溯源分析 5.恢复数据和业务 6.清除加固 7.勒索病毒的防御方法 个人终端防御 ...
- 运维圣经:勒索病毒应急响应指南
目录 勒索病毒简介 常见勒索病毒种类 WannaCry Globelmposter Crysis/ Dharma 攻击特点 应急响应方法指南 一. 隔离被感染的服务器/主机 二. 排查业务系统 三. ...
- 网络安全应急响应----5、勒索病毒应急响应
文章目录 一.勒索病毒简介 二.常见勒索病毒 三.勒索病毒常见利用漏洞 四.勒索病毒的解密 4.1.常见的可解密勒索家族类型 4.2.处理勒索病毒常用工具 五.勒索病毒的攻击 5.1.勒索病毒的攻击方 ...
- 记一次Windows勒索病毒应急响应实战
查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...
- 网络安全之勒索病毒应急响应方案
处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电:访问控制主要是指对访问网络资源的权限进行严格的认证和控制. 1. ...
- linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
一次 "无文件"."无进程",在系统中 "几乎" 看不到异常的高配挖矿病毒处置实例 . 0x00 正经的内容介绍 本文记录了一次表象是 &q ...
- 记·Windows挖矿病毒应急响应
一.事件概述 有台服务器的风扇一直很响,并且操作十分卡顿.重启过程也十分缓慢,打开任务管理器一看,cpu直接拉满了,资源占用严重,猜测中了挖矿木马. 二.痕迹挖掘 1.查看可疑进程 发现system. ...
最新文章
- SegmentFault 专访 | AlloyTeam 2015 前端技术大会讲师圆桌
- LeetCode Majority Element II(Moore Voting Algorithm即Majority Voting Algorithm)
- [转]MSBuild入门
- IBM开放Watson AI服务增加云服务使用
- 全志a64linux内核编译,Ubuntu16.04编译AndroidM(SoC:Allwinner A64)
- ACM所有算法大全(持续更新)
- 飞鸽传书2012绿色版下载
- 回调机制在 Android 监听用户界面操作中的体现
- FPGA实现CAN接口(SJA1000)
- 从软件工程的角度比较Swift、Go和Julia,我有了这些发现
- 搭建新环境的准备工作
- 如何查看文件md5值
- 网易云音乐 linux x32,网易云音乐UWP版旧版本安装包 拒绝更新Win32转制版
- 一键获取网盘提取码的神器“云盘万能钥匙”
- HTML四季变换图,四季星空图
- 专硕计算机考研英语一还是二,学硕只会考英语一?专硕只会考英语二?
- Mac 使用brew 安装adb
- 商务办公软件应用与实践【1】
- 防火墙之ipsec vpn实验
- app inventor 2022离线版下载使用教程
热门文章
- 谷歌服务,想说爱你不容易
- python画残差图_seaborn回归图---回归模型图Implot、线性回归图regplot、线性回归残差图residplot...
- Spring实现依赖注入的几种方式
- 键盘查询方式的c语言编程,求助大佬简单的单片机键盘c语言编程问题
- ssi 指令 php,SSI使用详解(二)_PHP教程
- could not locate named parameter 的解决方法
- java audit模块实现_Linux安全审计功能的实现——audit详解
- linux 内核源码下载
- 小程序的发布上线流程
- 香港电影中的演员:B字头(持续更新中)