• 本地提權后，使用mimikatz抓取主機密碼，在此過程中，黑客寫了自動化腳本launch.vbs來簡化抓取密碼的步驟。

• 黑客將抓取到的密碼加入后續的爆破字典中，原因是管理員一般會將多個服務器的密碼設置成相同的，將本機密碼加入字典，可以增大爆破的成功率。

• 使用端口掃描器掃描內網中存活的IP，并篩選開放了445和3389端口的主機。

• 對于開放了3389端口的主機，黑客直接使用NLBrute進行爆破用戶名和密碼。

• 對于只開放了445端口的主機，黑客通過爆破的方式獲取主機的賬號密碼。

• 然后使用psexec上傳腳本至目標主機并運行，開啟RDP服務。

• 獲取到以上爆破成功的主機后，使用rdp_con工具進行批量連接。

RDP連接到受害主機后，黑客會上傳一系列反殺軟工具，kill殺毒軟件，最后運行勒索病毒進行勒索，至此，整個勒索入侵的流程完成。

勒索病毒詳細分析

• 勒索病毒文件使用UPX加殼，運行后首先調用了Winexec執行命令行刪除磁盤卷影，用于防止用戶恢復數據

• 關閉如下服務，避免影響加密

• 遍歷進程，結束下列進程，防止進程占用文件影響加密

• 生成密鑰，使用RSA算法加密AES密鑰，再使用AES算法加密文件

• 在桌面創建一個勒索信息TXT文件，然后通過遍歷在每個加密文件的根目錄下釋放一個勒索信息TXT文件

• 遍歷磁盤進行加密，并且對C盤下的目錄單獨進行判斷，跳過系統目錄

• 加密完成后進行自刪除

解決方案

針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施，防范該病毒家族的勒索攻擊。

病毒檢測查殺

• 深信服終端檢測響應平臺（EDR）、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品用戶可進行病毒檢測

• 深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺

病毒防御

• 及時給電腦打補丁，修復漏洞；

• 對重要的數據文件定期進行非本地備份；

• 不要點擊來源不明的郵件附件，不從不明網站下載軟件；

• 盡量關閉不必要的文件共享權限；

• 更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

• 如果業務上無需使用RDP的，建議關閉RDP；

• 當出現此類事件時，推薦使用深信服下一代防火墻，或者EDR的微隔離功能對3389等端口進行封堵，防止擴散；

• 深信服下一代防火墻、EDR均有防爆破功能，下一代防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御；

• 深信服下一代防火墻用戶，建議升級到AF805版本，并開啟SAVE安全智能檢測引擎，以達到最好的防御效果；

• 深信服EDR支持識別市面上大多數的流行黑客工具，并具備主動攔截和禁止運行功能。深信服EDR用戶，建議開啟勒索防護功能，精準攔截勒索病毒；

• 使用深信服安全產品，接入安全云腦，使用云查服務可以即時檢測防御新威脅；

• 深信服推出安全運營服務，通過以“人機共智”的服務模式幫助用戶快速擴展安全能力，針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防范此類威脅。

最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+下一代防火墻+EDR，對內網進行感知、查殺和防護。