背景
的公司作爲傳統企業有着龐大的服務器基數,我們平時針對的生產環境維護,對於準生產和開發測試,我們一般都是讓開發自己區玩耍
病毒發現
前些天發現準生產環境有一臺主機被名爲lucky的勒索病毒感染了,最直接的表現爲一些文件名被篡改爲[[email protected]]xxxxxxx(原文件名).7DnGRHxqd86I6Co8.lucky
此病毒表現還算溫和,並不會鎖定主機命令,所以着讓我當時看到一點有可能恢復的希望
處理過程
通過查閱lucky關鍵字資料發現此病毒被知道創宇404實驗室於12月17日得出瞭解決方案,並進行了分析。
原網址:https://paper.seebug.org/758/
文中對此病毒做了詳細的介紹。
加密文件類型包括:
bak,sql,mdf,ldf,myd,myi,dmp,xls,xlsx,docx,pptx,eps, txt,ppt,csv,rtf,pdf,db,vdi,vmdk,vmx,pem,pfx,cer,psd,zip,tar.gz等
爲了讓系統正常運行,會略過重要文件,如:
Windows: windows, microsoft games, 360rec, windows mail 等等 Linux: /bin/, /boot/, /lib/, /usr/bin/ 等等
傳播方式:
1.JBoss反序列化漏洞(CVE-2013-4810) 2.JBoss默認配置漏洞(CVE-2010-0738) 3.Tomcat任意文件上傳漏洞(CVE-2017-12615) 4.Tomcat web管理後臺弱口令爆破 5.Weblogic WLS 組件漏洞(CVE-2017-10271) 6.Windows SMB遠程代碼執行漏洞MS17-010 7.Apache Struts2遠程代碼執行漏洞S2-045 8.Apache Struts2遠程代碼執行漏洞S2-057
病毒流程圖:
預裝載器:fast.exe/ft32,文件短小精悍,用於加載加密模塊和傳播模塊 加密模塊:cpt.exe/cry32,加密模塊,對文件進行加密 傳播模塊:conn.exe/conn32,傳播模塊,利用多個應用程序漏洞進行傳播感染 挖礦模塊:mn32.exe/mn32,挖礦模塊,連接自建礦池地址 服務模塊:srv.exe,在 windows 下創建服務,穩定執行
流程圖放大:
以上信息均來自知道創宇404實驗室,若想獲得更多信息,更全面的瞭解此病毒,請戳上方鏈接。
解碼程序
下載https://github.com/knownsec/Decrypt-ransomware/archive/master.zip
解包後閱讀README.md文件,即可瞭解解密過程
注意一點,解密程序依賴的py3環境,所以需要安裝py3,py3安裝請參考《ansible簡易安裝》
因爲是測試環境,數據並不重要,所以此次直接清理掉了這些數據,並沒有做完整的恢復,不過親測可用。