勒索病毒处置（实验案例）

1、事件确认

确定发生勒索事件，并且桌面上的文件被加密。

 

查看加密文件，发现统一的加密文件后缀为eking

 

通过深信服edr官网查询，该后缀是属于Phobos家族的变种

 

查看火绒日志，病毒已经被隔离，如果病毒没有被清理可以先结束病毒进程

 

2、病毒处置

使用微步进行病毒检测，了解病毒相关的信息

 

将病毒文件删除，防止继续传播

3、追踪溯源

记录文件被加密的时间2021年11月4日，11:46:38

 

利用UserAssistView查找该时间段进程的日志信息

 

推测，在2021年11月4日，11:29:28左右，黑客执行了processhacker关掉了火绒的进程，在2021年11月4日，11:33:53左右，执行了后门程序artifact.exe，在2021年11月4日，11:34:21左右，执行了勒索病毒程序

使用LastActivityView查看更详细的操作信息。进一步验证了猜想

 

通过火绒发现，在前一天，10.110.8.4曾通过RDP爆破过该主机，推测这是黑客通过RDP爆破登录了该主机

 

使用cmd的命令eventvwr打开windows10的事件查看器，在2021年11月4日，11:49:22左右，发现了日志删除记录，推测是黑客在此之前操作的删除了日志

 

继续检查日志，通过查询远程登录日志Microsoft-Windows-TerminalServices-RemoteConnectionManager，从2021年11月3日16:09:02-17:24:31，从2021年11月4日11:20:47-11:49:30，出现了大量的远程登录日志

 

 

继续查看日志，发现在2021年11月3日17:24:30，黑客成功登录了这台主机，从2021年11月4日从开始，黑客就直接登录了该主机。

 

 

发现在2021年11月3日，16:53:17左右，本机存在访问其他主机共享的记录。

 

4、事件还原

在2021年11月3日。从16:09:02开始，黑客主机10.100.8.4开始通过RDP爆破10.100.8.5的3389端口，并且成功获取账号密码，在此期间，黑客通过访问10.100.8.4的共享文件夹上传了需要用的工具，在17:23:37时因为暴力破解RDP被火绒记录，之后在17:24:31下线。

一天以后，也就是2021年11月4日。11:20:47，黑客使用前一天获取的账号密码登录了该主机，11:29:28左右，黑客执行了processhacker关掉了火绒的进程，在11:33:53左右，执行了后门程序artifact.exe，在11:34:21左右，执行了勒索病毒程序1.exe，并且黑客在11:49:23删除了windows安全的日志记录，此后，黑客在11:49:30下线。

以前写的东西，能提供一下处置思路