勒索病毒自救指南

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 勒索病毒自救指南

工具介绍

FireKylin – 收集操作系统各项痕迹

LogParser  -  日志分析工具

主机异常

在被勒索后的主机,通常存在三种特征

文件后缀异常,文件颜色全部为白色,使用记事本打开全部为乱码

使用快捷键 win + e 打开文件管理器

640.png

桌面提示勒索信,桌面背景被更改英文背景。

640.png

业务系统无法访问

检测阶段

使用FireKylin agent里的win 客户端 复制对应的文件到勒索主机上收集信息

收集后 生成系统需要的日志文件 打开gui程序 导入数据

640.png

点击操作 加载数据文件 fkld后缀

640.png

此工具可以把相关的信息提取并展示,无需使用繁琐的cmd命令去查找。

抑制阶段

断网,拔掉相关网线;

禁止U盘 移动硬盘插入;

关闭3389 445 139等高危端口;

更改账户密码。

溯源阶段

用户排查

在用户功能里,获取了最后登录的时间,需和管理人员确定 是人为正常登录还是非正常。(这是的时间是上传勒索文件的异常登录)

点击guest 用户 查看是否被启用

日志排查

登录时间为非正常,转到系统日志排查 日志类型选择安全

640.png

查找登录记录 发现大量的登陆错误 一秒钟很多次 不可能是人为操作

然后依次排查 进程,启动项,服务,网络,计划任务。

进程排查

在进程中,发现了病毒样本 以及所在位置

左侧是文件名称,后面是 病毒文件所在路径,下面是病毒释放的一些dll文件

启动项排查:

启动项无异常,(在实际业务中,启动项可能较多,需要结合业务进行判断)

服务排查:

服务无异常 (不同的病毒 有不同的攻击方式)

计划任务排查:

无异常 (可忽略)

详细日志分析(参考工具和相关命令)

导出勒索主机的 安全日志

将LogParser安装目录添加至环境变量

LogParser.exe -i:EVT –o:DATAGRID  "SELECT  recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ')  as Loginip  FROM .\Security1.evtx where  EventID=4624"

提取登录成功的用户名和IP:

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624"

登录失败的所有事件:

LogParser.exe -i:EVT –o:DATAGRID  "SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625"


提取登录失败用户名进行聚合统计:

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message"

根除阶段

上面可知,勒索病毒,通过爆破登录到服务器,然后投毒,并在system32文件下 释放了一些dll文件

1.  修改系统密码,禁止弱口令

2.  任务列表杀掉勒索程序 ,删除相关dll文件

(根据实际情况,进行操作,如 删除计划任务,启动项,恶意服务等)

观察文件加密的后缀,复制后缀,或者上传加密的文件到解密网站参考附件内容

若能解密,则下载对应的解密程序,不能解密需要恢复快照或者恢复备份数据。

预防处置

定期修改密码

及时更新补丁

定期进行数据备份

关闭高危端口 如139 445 3389


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
安全 数据库 数据安全/隐私保护
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
131 0
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
|
安全 区块链 数据安全/隐私保护
|
安全 区块链 数据安全/隐私保护