勒索病毒应急响应

几天前接到一家网络教育公司的应急请求，总结下。

症状

服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种，由于CrySiS家族采用AES+RSA的加密方式，目前尚无私钥流出，因此目前无法解密。

涉及到的客户资产

• 主机名：WIN-HOXXXXXIG

• 服务器IP：182.XXX.XXX.119

• 操作系统：Windows Server 2008 R2 Enterprise

过程

由于之前发生过多起勒索+挖矿攻击事件，因此首先对客户机器的状况进行检测

系统状况检查

CPU、内存、网络占用率均为正常水平，无挖矿行为痕迹

系统进程检查

经过wmic 命令获取进程信息及procexp 检查，除自启动勒索信息外，初步判定操作系统无异常进程

系统服务检查

通过对系统服务进行检查，未发现恶意服务

系统启动项检查

对操作系统相关位置进行检查后，除自启动勒索信息外，未发现恶意启动项

注册表

除勒索信息外，注册表无异常启动项

启动项

除勒索信息外，无异常启动项

计划任务

除广告程序外，无异常计划任务

系统文件

除勒索信息外，系统文件无异常，无Crysis家族释放的文件

系统账户检查

在注册表中发现异常账户

网络连接与防火墙配置检查

未发现异常现象

日志分析

通过对操作系统日志进行分析，发现在2019年4月6日下午2点前有大量远程桌面登录失败的日志，判定为暴力破解账号密码植入的勒索病毒，同时发现在2019年4月7日有IP为121.207.227.69（中国福建泉州）的机器对服务器进行了暴力破解账号密码，IP为141.98.252.166（英国伦敦）与59.63.182.243（中国江西南昌）分别于2019年4月5日21时26分和2019年4月5日5时33分成功登录了服务器。

成功登录服务器

同时提取到IP 141.98.252.166在2019/4/5 21:26:18到2019/4/5 22:55:16期间多次登录并注销远程连接

三、发现的问题及处置意见

在应急响应过程中发现多处服务器配置问题，具体如下：

1. 服务器开启了IPC$文件共享服务

2. 服务器管理员账户密码为弱口令

3. 服务器操作系统存在EternalBlue (MS17-010)高危漏洞

处置意见

1. IPC$文件共享服务为高危服务，历史上发生过多起通过该服务入侵的案例，如非必须，建议关闭该服务，如需要该服务，建议进行严格的权限管控。

2. 服务器密码为zxcv!@34，属于键盘顺序弱口令，建议更换。

3. EternalBlue(在微软漏洞编号MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码，微软官方补丁编号KB 4013389，建议立即安装。

4. 鉴于服务器操作已被勒索病毒破坏，系统完整性已缺失，建议进行备份重要文件后重新安装操作系统并执行处置意见中的1~3步。