服务器中勒索病毒该怎么解密处理

有天下午5点多,我们SINE安全突然接到一个客户的电话,说他们的服务器中了一个叫“勒索病毒”的病毒,已经把中毒的服务器关了,监管部门也来了,可是他们自己的IT团队处理不了,客户感觉这个事非常紧急,可能会影响了整个业务的运行。可是,这个客户并没有跟我们SINE安全签约过。但是,这个事件非常紧急,我们考虑到以后可能还会有合作的机会,所以决定帮忙。

我们电话里询问客户,了解到有两个紧急问题需要解决:

640.jpg

1.客户需要知道其他服务器是否也受到影响,如何处理中毒的服务器,同时尽快恢复业务正常运行。

2.监管部门需要我们找到相邻的IP,大致时间和勒索病毒触发方式等相关的信息。

因此,我们SINE安全制定了以下的紧急方案:

A. 客户位于即墨,我们需要从市里赶往即墨,大约路程1个多小时,在路上我们SINE安全联系了监管部门,安排一位懂得核心交换机配置的技术人员到现场协助,对内网的流量镜像进行详细的数据安全分析。同时我们借给了他们一台流量监控设备,这个时候是非常有用的,可以看出到底那台服务器在传播这个勒索病毒。

B. 我们要求客户拍下勒索病毒的文件名和后缀,并发送一个加密的样本。根据勒索病毒的后缀等特征,我们SINE安全去查询公开的勒索病毒库,看看是否能够直接解密。通过这样的应急方案,我们能够帮助客户尽快的恢复业务正常,同时向监管部门提供必要的信息,让他们更好地了解这个病毒的情况。

接下来就要实干了!

咱SINE安全要去客户现场处理勒索病毒,得准备干啥呢?

一,要有人到被感染的服务器上看看,有没有留下日志啥的,能不能追踪到病毒从哪儿来,还有没有其他服务器也被感染了。

二,还要插一个流量监控设备,看看网络里有没有勒索病毒在内网里乱搞,乱爬.

要处理感染的服务器,咱们得走这两步:

a) 得看看这服务器上还有没有勒索病毒在作怪。

怎么看呢?得先建几个文件,比如exe、docx、pptx格式的空文件,再新建个文本文件,改个后缀也行。然后看看服务器的CPU占用率高不高,再看看新建的文件有没有被加密。如果占用率很低,而新建的文件也没被加密,那基本可以判断勒索病毒已经跑了或者已经自己删除了。

b) 再得用咱们的U盘代入工具来查看一下。

要是担心U盘也被勒索病毒加密了,那就把需要的软件压缩成ISO格式,设置成只读模式后再插到客户端。

c) 最后得查看一下进程和日志。

一般情况下,日志文件都在C:\Windows\System32\winevt\Logs里。但很多入侵者会删除日志,这时咱们得了解一下还有没有其他没被删除的日志。还可以用个软件,叫Lastactivityview,可以看到近期软件执行情况,没日志的时候也能作为佐证哦。

640 (1).jpg

最后该如何防范勒索病毒?

咱们客户啊,这次被病毒攻击了,咱得及时整改防止以后再出事。首先,咱得把网络入口关掉,把核心交换机和重要路由器的 135 445 139 TCP 网络访问都给关掉。然后,升级系统补丁,优先处理重要的服务器。特别是那些 server 服务,得给它们全部禁用关掉启动。接着,咱得加强运维安全。得加一个专业的VPN或者堡垒机,而且带有溯源录像功能。这样,就能限制服务器只能从堡垒机进行运维,还得有手机验证码验证身份。对了,咱得安装一个终端防护软件,比如说EDR。别用免费软件啊,有可能漏杀病毒的。咱还得加强日常安全运维管理。经常扫描漏洞,及时更新补丁。如果是微软已经不维护的系统,咱得升级换成新的。还得加强内网管控和安全区域划分。不然,外网防御没用啊,内网防不住攻击怎么办。最后,还得加强技术人员安全意识的培训。这样,咱们才能更好地保护客户的信息安全,避免再次出现被攻击的情况。

分享: