实战|记某公司应急响应过程

1 应急响应事件结论中招主机被植入的勒索病毒为 Devos 勒索病毒，暂时没有密钥进行解密。资源服务器被入 侵的时间为 2021 年 9 月 19 号凌晨 2:49:37。造成被入侵的原因是该主机被通过 RDP 爆破成功并 于 2:56:06 植入勒索病毒。经过检测该主机还存在严重系统漏洞补丁未打——永恒之蓝漏洞。2 应急现场概述2.1 网络拓扑信息无2.2 攻击现场环境操作系统：Windows 主机 IP：192.168.200.166 主要用途：学习网站 现象表现：被加密的文件名后缀为 Devos已有的防护措施：改主机前端有国外某厂商的防火墙（早已失去维护）2.3 事件处置结果此次勒索病毒为 Phobos 家族重点 Devos，目前已完成母体的清除和注册表的删除。但因为确实 日志且没有全流量审计安全设备未溯源到主机。3 事件排查过 ………………………………