1.起因
22日早上8点半收到现场报告ERP系统无法正常使用,遂登录ERP服务器查看服务运行情况。登录服务器后发现桌面大部分文件被加以Dragon4444扩展名,初步怀疑为勒索病毒中毒。查看其余三台服务器,发现文件服务器、wms数据库服务器大部分文件均被加以Dragon4444扩展名。erp-wms对接数据库服务器打开窗口显示为Dragon4444.exe文件 以及进程查看器等常用小工具。将文件扩展名恢复为正常后双击打开文件报错,提交Dragon4444文件给腾讯安全相关人员,收到反馈,确认为勒索病毒Globelmposter3.0最新变种。文件已无还原可能。
2.紧急处置
发现服务器疑似遭受勒索病毒攻击后,立即关闭防火墙以及交换机,切断网络,防止病毒扩散。先将360卫士企业版安装到中毒服务器上进行测试发现能够查杀到勒索病毒,然后将每台电脑部署360安全卫士企业版,进行全盘杀毒。杀毒完成后确认除用于定时播放音乐的的PC未能幸免外其余设备均正常。随即恢复网络,将中毒服务器和PC隔离。
3.中毒设备的处置
将服务器进行简单格式化以后重做系统后发现新的文件再次被加密,可见该病毒的感染能力比较强,只能将硬盘全盘进行低级格式化处理。处理完成后重装系统,并未发现有文件被再次加密,将剩余服务器进行相同操作。
4.业务的恢复
在服务器上安装vm,将之前异地备份的虚拟机文件拷贝的服务器上,挂载到vm软件上,启动虚拟机,将虚拟机内相关业务的服务开启。经过测试,erp、wms、pda等关键业务恢复运行。
5.事件原因分析以及损失统计
通过查看查看防火墙记录发现,一台对外开放端口的虚拟机上传下载流量异常,使用了61179端口访问了445端口,且在该虚拟机上发现了病毒文件,基本可以确定病毒是由此而入。
经最后统计,南通分公司病毒波及范围为:erp服务器、wms服务器、文件服务器、erp-wms对接服务器、音乐定时播放PC。erp、wms数据库全部被加密,文件服务器上所有备份数据被加密,erp-wms对接服务器发现病毒,并未有文件被加密。经过异地备份还原,erp数据库丢失3天数据,文件服务器内6月份以后的备份全部丢失。
6.针对此次病毒感染事件的改进措施。
1.防火墙增设vpn管制条例,禁止使用445、3389、135、137、138、139端口。
2.取消防火墙虚拟服务器上对外开放的端口。
3.局域网内所有PC设备加装360安全卫士企业版,使用NSA免疫工具,防御勒索病毒
4.更改所有需要提供远程服务的虚拟机的远程服务端口号,增加密码复杂程度。
5.更改服务器远程访问端口,并利用服务器安全狗生成远程访问白名单,未经授权的PC不得远程访问服务器并且增加服务器密码复杂程度。
6.针对文件服务器使用域控,关键文档一周一备份。
7.针对erp数据库,备份次数增加为三天一备份。