企业
ENTERPRISE
上海某制造业勒索病毒应急响应案例
一、项目配景
? ? ? ?22年10月,该客户紧迫联系esb世博网信息,客户网络内部泛起勒索病毒事务,请esb世博网协调清静专家、清静装备紧迫支持,找出被熏染的缘故原由,评估被熏染的规模,锁定病毒,保障。
二、应急响应历程
? ??
- ? ?10月17日14时20分,esb世博网安服职员收到客户通知,XX系统发生了勒索病毒清静事务,需要前往现场协助应急。
- ???10月17日16时,现场应急事情随即睁开,目的以营业恢复优先。
- ???10月17日-10月24日,esb世博网信息紧迫睁开应急响应,内容包罗攻击取证系统漏扫、补丁加固,清静产物暂时加固(APT、EDR、日志审计)等相关内容。在此时代,通过APT装备监测到区域网段中均存在大量的恶意域名回连情形,EDR装备扫描出数十个终端存在恶意文件,病毒查杀。
- ? ?10月24日 2:00,勒索邮件约准时间阻止,未发生因勒索病毒造成的二次攻击事务,应急事情暂告一段落。
三、事务复盘
? ? ? ?由于现场不具备应急溯源的条件。凭证已知线索,推测攻击者的攻击路径如下:攻击者通过web误差攻击,拿下分支机构网络,通过使用EXSI通用误差对内网中的其他机械举行攻击,获取服务器权限,实验勒索。进一步渗透至总部数据中央,最终对全海内部网络造成影响。
勒索病毒通用应急处置赏罚要领