1、事件確認(rèn)

確定發(fā)生勒索事件，并且桌面上的文件被加密。

?

查看加密文件，發(fā)現(xiàn)統(tǒng)一的加密文件后綴為eking

?

通過(guò)深信服edr官網(wǎng)查詢，該后綴是屬于Phobos家族的變種

?

查看火絨日志，病毒已經(jīng)被隔離，如果病毒沒(méi)有被清理可以先結(jié)束病毒進(jìn)程

?

2、病毒處置

使用微步進(jìn)行病毒檢測(cè)，了解病毒相關(guān)的信息

?

將病毒文件刪除，防止繼續(xù)傳播

3、追蹤溯源

記錄文件被加密的時(shí)間2021年11月4日，11:46:38

?

利用UserAssistView查找該時(shí)間段進(jìn)程的日志信息

?

推測(cè)，在2021年11月4日，11:29:28左右，黑客執(zhí)行了processhacker關(guān)掉了火絨的進(jìn)程，在2021年11月4日，11:33:53左右，執(zhí)行了后門(mén)程序artifact.exe，在2021年11月4日，11:34:21左右，執(zhí)行了勒索病毒程序

使用LastActivityView查看更詳細(xì)的操作信息。進(jìn)一步驗(yàn)證了猜想

?

通過(guò)火絨發(fā)現(xiàn)，在前一天，10.110.8.4曾通過(guò)RDP爆破過(guò)該主機(jī)，推測(cè)這是黑客通過(guò)RDP爆破登錄了該主機(jī)

?

使用cmd的命令eventvwr打開(kāi)windows10的事件查看器，在2021年11月4日，11:49:22左右，發(fā)現(xiàn)了日志刪除記錄，推測(cè)是黑客在此之前操作的刪除了日志

?

繼續(xù)檢查日志，通過(guò)查詢遠(yuǎn)程登錄日志Microsoft-Windows-TerminalServices-RemoteConnectionManager，從2021年11月3日16:09:02-17:24:31，從2021年11月4日11:20:47-11:49:30，出現(xiàn)了大量的遠(yuǎn)程登錄日志

?

?

繼續(xù)查看日志，發(fā)現(xiàn)在2021年11月3日17:24:30，黑客成功登錄了這臺(tái)主機(jī)，從2021年11月4日從開(kāi)始，黑客就直接登錄了該主機(jī)。

?

?

發(fā)現(xiàn)在2021年11月3日，16:53:17左右，本機(jī)存在訪問(wèn)其他主機(jī)共享的記錄。

?

4、事件還原

在2021年11月3日。從16:09:02開(kāi)始，黑客主機(jī)10.100.8.4開(kāi)始通過(guò)RDP爆破10.100.8.5的3389端口，并且成功獲取賬號(hào)密碼，在此期間，黑客通過(guò)訪問(wèn)10.100.8.4的共享文件夾上傳了需要用的工具，在17:23:37時(shí)因?yàn)楸┝ζ平釸DP被火絨記錄，之后在17:24:31下線。

一天以后，也就是2021年11月4日。11:20:47，黑客使用前一天獲取的賬號(hào)密碼登錄了該主機(jī)，11:29:28左右，黑客執(zhí)行了processhacker關(guān)掉了火絨的進(jìn)程，在11:33:53左右，執(zhí)行了后門(mén)程序artifact.exe，在11:34:21左右，執(zhí)行了勒索病毒程序1.exe，并且黑客在11:49:23刪除了windows安全的日志記錄，此后，黑客在11:49:30下線。

以前寫(xiě)的東西，能提供一下處置思路