【勒索病毒应急响应流程】

概述

不同应急事件响应方式不同，建议大家阅读以下案例，解决自己当前的困扰，当然也可以根据自己的经验对文章进行补充和修正，欢迎在评论区留言。

案例1

事件概述

某安服团队接到某政府部门的远程应急响应求助，要求对被勒索服务器进行排查分析并溯源。

排查溯源

1、应急人员对被感染的服务器进行排查分析，通过加密文件确认感染了VoidCrypt勒索病毒。

2、对服务器A（IP：x.x.x.6）进行日志分析，发现该日志中存在大量用户名口令爆破痕迹，通过登陆行为分析发现，内网服务器B（IP：x.x.x.4），于一天前成功远程登录服务器A，新建账户Administrat0r，并上传黑客工具，对内网进行扫描。

3、对服务器B进行日志分析发现，服务器B的日志中存在大量来自服务器C(IP: x.x.x.24)的暴力破解记录，爆破成功后服务器C远程登录服务器B, 并新建账户Administrat0r，上传黑客工具，再次对内网进行扫描。

4、对服务器C进行日志分析发现，该日志中存在大量来自公网IP的暴力破解行为和爆破成功的记录，查看主机进程发现存在FRP代理程序，询问该运维管理员得知，运维人员为了方便运维管理，将3389远程桌面端口代理到了公网。

经过一系列排查分析，最终确认攻击者首先利用服务器C对外开放的3389端口对用户名和密码进行暴力破解，并成功获取服务器C的控制权，进而以服务器C作为跳板，对内网进行小规模扫描爆破获取服