发表时间: 2021-06-18 09:19:52
浏览:
五月三十日,国瑞安全客服人员接到山西某国有大型化工集团来电,生产车间被黑客攻击,所有服务器和数据采集PC均被勒索病毒加密,被加密的文件扩展名是.Dragon,病毒留下了!!!READ_ME_FIRST!!!.txt文本文件,国瑞安全通过远程数据分析以及客户使用情况沟通了解,判断这是一起voyager病毒变种的攻击事件,国瑞专业技术人员于第二天抵达现场开展相关技术工作。
通过溯源工作,基本判断出黑客攻击线路图,首先通过RDP爆破获取一台可连接外网的服务器,然后通过0day利用,横向渗透内网老旧的系统和主机,最后释放病毒、删除备份、加密所有数据库和指定文件、然后删除系统日志,结束攻击。
在分析完整个事件后,被加密文件采用了数据库有损修复+文件数据恢复等方式,将被攻击业务系统和被加密数据恢复到90%以上,及时的恢复了企业的车间生产,圆满完成此次应急响应服务。
接着客户和我们又签订安全加固合作协议,对整个生产环境进行安全评估,根据实际情况做出整套安全加固方案、对相关人员进行IT安全培训以及安全操作管理体系建设,六月十五日安全加固合作顺利完成,本次合作得到客户的高度认可和满意的评价。