安基网 首页 电脑 杀毒安全 查看内容

一次客户中勒索病毒的经过

2020-3-18 17:41| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 今天,接到客户信息说中勒索病毒了,虽然买的是VPN不是防火墙,但还是希望能帮用户解决问题。到达用户现场,首先看到文件被加密了,文件名后缀为bigbosshorse,加密时间为2019/11/23 17:11。Decryption里面就是勒索信息。向客户了解到这台服务器并不对外提供服务,那能入侵的方法就不多了,然后我们用 ...

今天,接到客户信息说中勒索病毒了,虽然买的是VPN不是防火墙,但还是希望能帮用户解决问题。


到达用户现场,首先看到文件被加密了,文件名后缀为bigbosshorse,加密时间为2019/11/23 17:11。



Decryption里面就是勒索信息。


向客户了解到这台服务器并不对外提供服务,那能入侵的方法就不多了,然后我们用 netstat -ano 看服务器开启了哪些端口,可以看到445,3389这些高危端口都是开放的。


再看服务器系统,这是个2008R2的服务器


在CMD中输入systeminfo,查看补丁情况,对比MS17-010补丁号,服务器没有打补丁。

补丁地址:https://docs.microsoft.com/zh-cn ... etins/2017/ms17-010


虽然服务器没有打补丁,我们需要判断服务器是否存在这个漏洞,一个简单的方法就是运行CMD,输入WMIC BIOS get releasedate,检查日期为2017-03-12之后的操作系统已经默认修复了该漏洞不需再覆盖修复,说明被加密的服务器是不存在该漏洞的。

参考:https://blog。csdn。net/u010050174/article/details/81179097



查看服务器安全日志看能不能有什么发现,运行eventvmr。msc打开事件查看器,先看windows日志里的安全日志,这里主要是看登录日志,因为忘了拍照我截了一张自己电脑的图,可以看到审核成功对应的是登录成功的事件ID4624,审核失败对应事件ID4625,如果日志中短时间内有大量登录行为,那么极有可能是有人在爆破服务器密码。


这时,在日志中发现一个登录成功日志,我们需要查明是管理员登录的还是黑客登录的?

通过【应用程序】-【Microsoft-Windows】-【TerminalServices-RemoteConnectionManager】,打开Operational,筛选当前日志,事件ID1149,可以看到RDP连接的源地址。


查看IP对应地区,多为外地登录,说明服务器密码泄露。


查看防火墙配置,发现服务器远程桌面被映射到公网!

根据以上勒索病毒事件的处理情况来看,约95%的服务器勒索事件是因为开发了3389端口导致的,黑客通过暴力破解服务器登录密码,远程到服务器,之后植入勒索病毒;网络安全设备对3389的暴力破解只能抑制不能封堵,而杀毒软件也会被黑客登录后手动关闭,因此勒索病毒是难以防范的,我们应该更多的去做好预防和检测响应措施,以及备份。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6805475735243850254/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
优优彩票网 湖南快乐十分官网 快3平台 河北快3开奖 快赢彩票 快3娱乐平台 极速赛车资金分配 山东11选5走势 河北快3开奖 金巴黎彩票计划群