某企业被勒索120万，我如何帮他们省下114万

点击蓝字

关注我们

大家好，我是作者Phobos~

某天，某企业联系到微步在线应急响应团队，说是大量系统文件被篡改无法使用。经初步分析是被勒索加密，我们随即给出了勒索病毒应急响应指南并派遣应急响应工程师奔赴现场进行分析处置，到现场后通过和客户交流的到如下信息：

1. 中毒机器已经全部物理断网

2. 有部分机器已经杀毒关机导致无法进入系统

3. 初步检查大概有8台设备被加密，其中包括3台PC、2台服务器、2台NAS、1台磁盘阵列

4. 无任何安全设备及防火墙，上网直接通过交换机、路由器

5. 客户联系了第三方解密公司，每台加密设备解密需要6万人民币

6. 确定是Phobos家族

Phobos勒索家族是活跃了很多年且一直危害很大的勒索家族，是自2016年开始出现的烈性勒索病毒，加密算法目前尚未被破解，本文简述Phobos家族历史和灾后止损处置手段。

00 一些关于Phobos勒索家族的信息

Phobos这个名字很可能是受希腊神的启发，他被认为是恐惧和恐慌的化身，Phobos勒索软件通过加密系统文件来勒索虚拟货币。

说起Phobos也许它还有几个其他名字Dharma和CrySiS，Dharma勒索软件最早在 2016 年初被发现，其传播方式主要为 RDP 暴力破解和钓鱼邮件，其中通过RDP暴力破解占比高达百分之九十五以上。

经研究发现现Phobos勒索软件和CrySiS勒索软件与Dharma勒索软件有许多相似之处，故怀疑这几款勒索软件的作者可能是同一组织。

Phobos勒索软件和其他勒索软件一样，也通过勒索软件即服务（RaaS）软件包在地下出售。这意味着，即使几乎没有专业技术知识的犯罪分子也可以借助工具包来创建自己的勒索软件，并针对他们的目标进行攻击。

01 展开应急

1、首先要及时止损：

客户在联系微步之前自己把中毒的机器做了物理隔离，这一点还是值得夸赞的，但是在不了解的情况下对被勒索的机器进行杀毒开关机操作导致机器无法正常进入系统，对后续排查增加了难度。

2、确定影响范围及溯源分析：

通过搜索加密后缀来确定设备是否被加密。经过检查确定有20台设备被加密，其中包括11台PC、3台服务器、5台NAS、1台磁盘阵列，且一定时间内无新增设备，也说明断网及时止损达到了预期效果。

按照前文讲到的每台6万元的解密费用，需要120万才能解密。

通过对中毒的机器排查发现：其中10台PC、3台服务器、5台NAS和1台磁盘阵列均无被攻击迹象，且以上19台设备只是部分文件或文件夹被加密，并非全盘加密。

通过分析发现被加密的文件或文件夹均设置了对外磁盘或文件共享且无权限或者弱口令，于是乎把所有的焦点放在最后一台被加密的PC上，但是这台PC被杀毒和开关机导致无法进入系统了，所以只能通过PE进入系统。

通过PE进入系统后发现该PC全部磁盘被加密，而且该PC日常会通过共享磁盘文件的方式访问其他19台设备。

在该PC上发现了执行加密的样本程序，fast.exe和用来对抗杀毒软件的Process Hacker 2。

注：这里的图是事后截的自己测试环境的，并非真实环境。当时真实环境显示的盘符应该是D盘，因为C盘是PE的启动盘，D盘才是被勒索的系统盘。

分析日志发现存在大量rdp爆破，且存在爆破成功记录。通过和客户沟通确定该设备为了方便远程办公开通了rdp，且密码为弱口令。

通过综合分析基本确定攻击者通过windowsRDP爆破进入然后释放勒索，由于该设备还连接内外其他设备的共享磁盘文件，于是在加密的过程中也加密了其他设备的文件。

3、网络恢复：

通过溯源分析基本确定0号PC为源头，且已经被物理隔离，随即展开网络恢复。

在恢复前客户对自己的网络环境还是不放心，担心发生二次勒索。于是建议客户增加了TDP流量检测设备。通过TDP对网络环境的监测并进行逐步恢复网络。

4、数据恢复&解密：

原本客户以为是中了几十台，需要花几十台的价格去解密。

通过分析最终确定其实只有1台设备被加密的，其他设备都是因为开了磁盘或文件共享而导致被加密的，加密的时候是从PC0上开始的，勒索软件会把这些共享的文件都判断为PC0的文件。所以解密时可以从PC0解密，只解密一台就可以了。在这里再提一句，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

02 Phobos家族应急小tips

1、如何确定是不是Phobos家族：

查看文件是不是被修改为如下格式，如1goo63jbq5amyzg.mov.id[CC5D85EE-3327].[[email protected]].Devos，所有的文件后缀都是.id[八位随机字母数字-四位随机数字].[邮箱].随机后缀。

查看每个目录下是否存在info.hta，而且打开后是如下格式：

千万不要用过单个特征来判断是不是Phobos家族哦！

比如说通过后缀Devos来判断不是非常准确的做法哦，因为很多勒索可以自定义后缀的。

2、确定后的处理步骤：

（1）及时止损：

物理隔离，最好是直接拔网线，云环境及时修改安全组策略，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染（这里不要偷懒哦，别认为断了外网就完事大吉了，病毒自己会内网继续加密哦）。

如果被勒索的机器和未被勒索的机器存在相同的登陆口令，及时修改未感染机器的登陆口令，如：远程连接的登陆账号密码口令相同。

一定不要破坏被勒索的服务器环境，禁止杀毒/关机/重启/修改后缀等操作，最好保持原封不动，在不了解的情况下，任何动作都可能导致无法分析和数据永远无法恢复。

及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）。

对未感染的重要服务器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空），这里后面的案例会说为什么不要在不了解的请下去联系解密。

（2）确定影响范围及溯源分析：

逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过网络区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

溯源分析的目的：查找到勒索入侵的源头，即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。

对于内部攻击路径溯源，需依托于网络、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。

通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀。

（3）网络恢复：

制定网络恢复计划，优先对非重要区域的终端进行网络恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部网络恢复。

（4）数据恢复&解密：

目前绝大多数勒索病毒均无法解密，通常有如下几种选择：

如有数据备份，则可以直接通过数据备份进行恢复。

部分数据库可以通过底层技术恢复一部分数据。

如数据不重要，可以放弃

- END -

微步在线应急响应团队为企业客户提供应急响应服务。当企业遭遇突发重大安全事件（APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等），微步在线可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务，帮助企业信息系统在最短时间内恢复正常工作，将事件影响降到最低。

如果发生安全事件，可联系微步在线应急响应团队，联系方式：4000301051

转发，点赞，在看，安排一下？

1. 内容转载，请微信后台留言：转载+转载平台

2. 内容引用，请注明出处：以上内容引自公众号“微步在线应急响应团队”

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

ZhouSa.com