早上7点电话响了,用户工程师说应用系统页面打不开,服务器也进不去提示密码不对,网络都能ping通,再三确认没人修改密码,好几台服务器都这样登录不进去。问题比较严重需要现场应急响应。
赶到现场查看确实是这样的现象,只能通过PE进去系统修改密码。
服务器重启用PE进去后,发现文件格式不正常,均是Devos后缀。有个info.txt,打开后发现是勒索信息,确认是勒索病毒加密了。立即把服务器的网线全部拔掉防止再次扩散。
修改密码后登录到服务器,直接显示所有文件已经被加密并勒索比特币。
打开任务管理器,发现有个FAST和NS-V2的进程异常,先手工关闭,然后安装杀毒软件全盘查杀(这里说明一下,一定要先关闭fast进程,否则U盘插进去马上就被加密了)。
文件被加密了,现在没有专门的工具无法还原,只能看有没有备份文件再恢复。(顺便说一下,devos加密文件外面有些数据恢复公司能提供收费的恢复服务,后面碰到有个客户没有备份的数据(备份的数据也加密了),只能找他们恢复)
溯源检查一下,排查是从什么地方攻击进来的,通过什么方式攻击的。
检查服务器的windows日志信息,通过过滤事件ID发现从昨天晚上11:14开始有大量的登录失败记录,通过查看最后一次成功登录的IP,跟用户沟通,其中一台服务器有双网卡,其中一块网卡连接外单位网络。重点排查这台外联服务器的日志信息,成功定位到了源IP地址,被登录账号显示为administrator,登录类型为为winlogon.exe。
根据IP地址联系到对方,对方说机器也被勒索加密了。整个攻击流程就清晰了。
外单位RDP爆破攻击到外联服务器,外联服务器作为跳板机,然后横向渗透到其它服务器。跟用户沟通过,服务器的密码设置比较简单,并且本次中招的服务器密码都是一样的。应该是通过爆破成功的密码加入到字典文件中,然后横向爆破其它服务器。
先把网络中其它电脑全部扫描一遍均没发现中招,估计是PC机价值不大或者是下班后均没开机。
在服务器中就发现2个文件,FAST和NS-V2文件,
把FAST.exe复制到测试机器中,点击运行就开始疯狂加密,加密文件后缀为“原文件名+[随机数]+[攻击者的EMAIL]+Devos”。
NS-V2是扫描器
总结下:
1、运维第一件事,不要用弱口令。
2、运维第二件事,密码不要相同。
这两件事是运维或者网管最基本的守则,不管你让领导采购了大量的安全设备,这两条你没有遵守,背锅的肯定就是你。你在平时工作中有没有遵守呢?
#IT##运维##勒索病毒#