记一次勒索病毒攻击事件的处理过程

最新推荐文章于 2024-07-27 13:46:56 发布
最新推荐文章于 2024-07-27 13:46:56 发布
阅读量2.4k 收藏 4
点赞数 1
分类专栏: 安全 文章标签: 安全事件 应急响应 勒索病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40111182/article/details/98216862
版权

记一次勒索病毒攻击事件的处理过程

******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本

记一次勒索病毒攻击事件的处理过程

11时13分收到同事反馈,其电脑防病毒软件检测到勒索病毒或变种的攻击事件,攻击源:192.168.111.222
在这里插入图片描述

告知被攻击用户动作

紧急关闭445端口

查找攻击源使用人

根据IP-MAC记录表及上网行为管理AC上用户管理-IP-MAC绑定未查到攻击源ip。确定该用户为研发人员,禁止上网
利用nmap查看攻击源信息
在这里插入图片描述
发现主机名 及开放的端口 操作系统,确定为个人终端电脑,主机名未暴露使用人迹象。
根据交换机arp表项,查找MAC
在这里插入图片描述
根据MAC查找ip-mac记录表,找到该用户
该用户私自更改IP导致根据ip未查到该用户

攻击源用户动作

通知攻击源用户,
1、核实IP,确认后通知其先断网
2、关闭135/137/138/139/445等危险端口
3、安装杀毒软件,当时用的卡巴斯基
4、全盘扫描,查杀病毒
5、修复操作系统漏洞

总结

1、分析卡巴斯基扫描报告,查出大量木马,原因:个人电脑从未安装防病毒且操作系统未打补丁
2、管理上内网不上网的用户私自改IP,导致不能及时找到使用人
3、员工安全意识有待提高,危险端口445仍普遍开放,需通知整改

LION-WHY
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应】Windows应急响应手册(勒索病毒篇)
做自己喜欢的事,并将其发挥到极致!
07-19 96
本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
勒索病毒处置经验分享
NewTyun的博客
12-10 1910
新钛云服已为您服务907天近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重安全问题。该情况...
一次网络攻击处理
weixin_30781631的博客
06-09 155
Linux security 网络攻击 首先需要确定是哪一张网卡的带宽跑满,可以通过sar -n DEV 1 5 命令来获取网卡级别的流量图,命令中 1 5 表示每一秒钟取 1 次值,一共取 5 次。 命令执行后会列出每个网卡这 5 次取值的平均数据,根据实际情况来确定带宽跑满的网卡名称,默认情况下 eth0 为内网网卡,eth1 为外网网卡。 使用 iftop 工具排查 服务器内部安装 if...
勒索病毒模拟演练与防御方法
最新发布
qq_27489877的博客
07-27 741
WannaCry是一种勒索软件,于2017年5月对全球范围内的计算机发起了广泛的攻击。它主要通过永恒之蓝漏洞传播,一旦感染,就会加密计算机上的文件,并要求受害者支付比特币赎金以获取解密密钥。
一次黑客入侵(攻击)的应急响应
weixin_39096432的博客
04-04 1061
一次黑客入侵(攻击)溯源分析 管理员说感觉服务器被入侵了,没有特别明显的表象,所以思路比较简单:流量分析–>日志审计–>用户信息–>计划任务、开机启动项–>文件痕迹排查。 拿到的服务器基本情况: 1、没有部署安全设备(waf、IPS、IDS、防火墙以及安全狗等)是裸奔的服务器。 2、windons 2008R2系统 3、有流量监听软件,可获取数据流量。 一、流量分析 1、使用wireshark打开抓取到的数据流量 通过观察数据包发现存在大量的SMB协议流量,因为是windos 20
一次差点被勒索病毒攻击的流程
weixin_38182535的博客
06-28 682
上篇博客提到了“运营商级NAT”,今天打电话让电信关了运营商级NAT,忘了老早之前抽风在路由器开了DMZ主机功能。DMZ主机相当于把所有对路由器的访问全部都转发给某台主机(就是我这台电脑),然后我比较怀旧用的WIN7。上述两个骚操作(关NAT开DMZ)导致我电脑完全暴露在公网(所有端口!),然后还好今天晚上没打游戏,不然我必退杀毒软件。幸好火绒拦截了.... ...
一次真实的被DDoS攻击经历(受到DDoS攻击原理和解决办法 / DDoS防护 / 网络安全)
MFK0131的博客
07-09 911
上周,我们的网站遭到了一次DDoS攻击。虽然我对DDoS的防御还是比较了解,但是真正遇到时依然打了我个措手不及。上个月,我认识的一个朋友公司网站被DDoS攻击了,虽然他们公司之前也做过一些安全防护措施,但是当遇到真正的大流量DDoS攻击时就束手无策了。DDoS攻击方式有很多种,不同的攻击方式防御方法也有所不同,对于这种大流量攻击简单的防火墙是无法防御住的,最后经过多次尝试后还是选择接入了腾讯云的DDoS高防产品才解决了问题 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的Do..
一次群晖中勒索病毒后的应急响应
HBohan的博客
11-16 3698
群晖是一种NAS(网络附属存储)系统,在生活中主要扮演个人私有云角色,可以将文件存储于 NAS,并通过网页浏览器或手机应用程序可实现存储和共享,同时还提供的丰富应用以方便管理应用。借助群晖提供的 QuickConnect 快连服务,无需随身携带存储设备,即可以随时随地访问NAS。因为这些优点,群晖往往被当做是NAS的首选。 但偏偏这次被上勒索病毒了,通过资料查询发现该病毒早在2019年安全专家就已经分析过并已提供预警信息,一旦感染,其中的文件都会被加密,并通过留下的文件索要比特币。经过初步判断是通过web界
搬砖中招勒索病毒,自我拯救电脑系统经历
SH_fengran123的博客
04-12 464
创作立场声明:本文所有物品均为自费购入,所码字为个人分享,观点拙笨在所难免,欢迎拍砖。 【写作说明】:对网络安全了解有限,搬砖过程中被勒索病毒命中,放弃谈判,录下清理电脑重新开始的历程 1.问题出现 因为经常加班搬砖,经常到家后需要登录工作机(如何上车Teamviewer前面的帖子有交待)。2021.03.02晚上还像往常一样,用Teamviewer在家登录远程,突然发现一台机器连不上,一台机器连上去之后显示分辨率严重下降,卡顿的不行。 我的两台机器装的软件差不多,主要也是防止大软件跑飞相互备份的
一次liunx服务器被入侵和删除木马程序的经历
热门推荐
liushangzaibeijing的博客
05-15 5万+
一、背景 之前在腾讯云买了一台云服务器用来自己玩玩,同时也顺手编写了一个程序发布到该服务器上了,之后由于工作的繁忙,无暇顾及该服务的运行状态,最近突然发现原来的程序无法使用显示 无数据显示,登录服务器突然发现服务器特别的卡。 查看程序运行日志发现数据库密码被修改 无法登录,使用top查看进行发现有个程序占用cpu达到91.5%太可怕了,这里不得不吐槽一下腾讯云 挺坑的被当成一...
网络安全事件应急响应实战一
悦分享
09-13 3841
这种划分方法也称PDCERF方法。
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链 病毒勒索五大形式 常见的勒索病毒 勒索病毒攻击手段 勒索病毒中毒特征 勒索病毒自救措施 加强管理制度建设预防勒索病毒 勒索病毒立体防护解决方案 勒索病毒立体防护方案用户收益
勒索病毒应急响应手册.pdf
08-28
勒索病毒应急响应手册
勒索病毒应急处置流程 _ Micr067's blog.pdf
08-11
勒索病毒应急处置流程
勒索病毒防护解决方案.ppt
06-18
勒索病毒防护解决方案
一次勒索病毒漏洞扫描发现过程
weixin_34092370的博客
05-14 456
2017年5月,勒索病毒爆发,主要是通过windows主机相应的漏洞进行感染录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程公网地址已经作废 某单位业务系统漏洞分析报告中青在线5月13日电(中国青年报·中青在线者潘圆)针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫***,今天国家网络与信息安全信息通报中心发布紧急通报。通报称,“我国部分Windows系列操作系统用户...
一次对某境外网络攻击组织的溯源
piaolin_ying的博客
04-13 3万+
境外黑客组织?500分!一次溯源境外黑客组织 全文已做脱敏处理 攻击IP xxx.xxx.xxx.xxx 受害IP xxx.xxx.xxx.xxx 攻击行为 xx 攻击次数 xx 溯源流程 拿到目标后,第一时间对目标进行威胁情报查询,发现此IP已归纳在恶意IP中。 对IP进行初步探测,使用全端口扫描,扫描时可适当提高扫描速率但不能太快,速率太快会导致丢包漏扫。 扫描探测出存在8080端口,且为tomcat应用,尝试访问/manager/html,成功访问
应急响应-勒索病毒典型处置案例
qq_50765147的博客
02-04 1286
服务器感染Globelmposter勒索病毒 事件背景 2020年5月,某公司内外服务器遭遇勒索病毒攻击应急响应工程师在抵达现场后,对包含服务器在内的13太机器进行系统排查和日志分析。 事件处置 勒索病毒初步判定 首先,对其中一台感染勒索病毒的主机A(源地址为192.168.111.129)进行排查,通过勒索信确认为GlobeImposter勒索病毒,如图所示。 在本地桌面及磁盘发现加密文件后缀为.RESERVE,如图所示。 系统排查 主机账号 通过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LION-WHY

嘿,留下一分钱,谢啦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值