包头稀土高新区一家软件公司上周三早上上班时,发现服务器文件全部被加密成.encrypted扩展名,桌面留下勒索信,要求0.5个BTC赎金(约合人民币25万元)。这家公司之前没有任何网络安全防护,靠VPN连进来远程办公,结果被攻击者通过VPN弱口令直接打了进来。我们接案后48小时内完成应急处置,下面详细说明过程。
一、应急响应第一步:隔离感染主机
接到电话后第一时间让客户断网。步骤:
1. 拔掉服务器网线(物理断网比软件断网更可靠)
2. 关闭所有共享文件夹服务
3. 记录被加密文件列表(勒索病毒通常有日志记录)
4. 保存勒索信内容(通常为HTML或TXT格式)
二、确认病毒类型
通过勒索信内容判断,这次感染的是Phobos勒索病毒家族(.encrypted后缀变种)。Phobos通过RDP暴力破解和VPN漏洞传播,加密算法使用RSA+AES混合。
上传勒索信到ID Ransomware(nomoreransom.org项目)做病毒家族识别,确认是Phobos v2.3。
三、被感染服务器检查
服务器配置:CPU E3-1230V5 / 32GB RAM / 2×2TB RAID1
检查发现:
- Administrator账户密码为123456,被RDP端口3389暴露在公网
- 防火墙仅开启3389和80端口,没有任何入侵检测
- 服务器未安装任何杀毒软件(Windows Server 2016裸奔)
- Veeam备份软件的备份盘与系统盘在同一RAID阵列(备份也被加密)
四、数据恢复
被感染数据约1.8TB,其中约1.2TB有近7天内其他备份介质(客户手动备份到外接USB硬盘的计划任务)。我们从外接USB硬盘恢复了约1.2TB数据,剩余约600GB(含近7天新增数据)通过内存取证尝试恢复。
Phobos在内存中保留了部分未加密的文件缓存,工程师用WinHex dump出内存页面文件,找到并恢复了约180GB未加密文件。最终数据损失率约23%。
五、系统重装与数据恢复
由于Phobos会持久化攻击,重装是唯一干净方案:
1. 格式化所有硬盘,重新安装Windows Server 2019
2. 用近7天备份恢复业务数据
3. 通过邮件往来记录补录缺失的业务文档
4. 重置所有账户密码
六、安全加固方案
整改后部署:
- ESET Endpoint Security(服务器版)+ ESET Secure Authentication
- pfSense防火墙做VPN网关,替换原直接暴露3389方案
- Veeam备份改为3-2-1原则:3份副本,2种介质,1份异地
- 内网部署OSSEC主机入侵检测系统
- 所有服务器加入域控,统一组策略管理
七、包头网络安全加固服务
- 渗透测试(白帽授权):Web应用、API接口、内网主机
- 等保2.0合规整改:技术测评+管理整改+报告编写
- 防火墙/IDS/IPS部署与策略优化
- 员工网络安全意识培训(钓鱼邮件演练)
- VPN/零信任网络架构设计
网络安全热线:17704868686
【不舍昼夜技术 · 包头IT一站式服务】
- 电脑/服务器:重装系统、硬件升级、服务器Linux/Windows环境部署
- 数据安全:硬盘/U盘/数据库数据恢复、网络安全加固、病毒清理
- 弱电安防:监控安装、机房建设、综合布线、门禁人脸识别
- 办公耗材:打印机维修、硒鼓墨盒配送、复印机租赁
- 软件开发:企业官网、小程序开发、APP定制、ERP系统
服务单位:内蒙古不舍昼夜技术有限公司
业务涵盖:电脑维修/系统重装/数据恢复/监控安防/弱电布线/打印耗材
技术热线:17704868686(包头本地团队,随叫随到!)