图片展示

成功处理一起Dragon扩展名勒索病毒加密数据库事件

发表时间: 2021-06-18 09:19:52

浏览:

五月三十日,国瑞安全客服人员接到山西某国有大型化工集团来电,生产车间被黑客攻击,所有服务器和数据采集PC均被勒索病毒加密,被加密的文件扩展名是.Dragon,病毒留下了!!!READ_ME_FIRST!!!.txt文本文件,国瑞安全通过远程数据分析以及客户使用情况沟通了解,判断这是一起voyager病毒变种的攻击事件,国瑞专业技术人员于第二天抵达现场开展相关技术工作。

通过溯源工作,基本判断出黑客攻击线路图,首先通过RDP爆破获取一台可连接外网的服务器,然后通过0day利用,横向渗透内网老旧的系统和主机,最后释放病毒、删除备份、加密所有数据库和指定文件、然后删除系统日志,结束攻击。

在分析完整个事件后,被加密文件采用了数据库有损修复+文件数据恢复等方式,将被攻击业务系统和被加密数据恢复到90%以上,及时的恢复了企业的车间生产,圆满完成此次应急响应服务。

接着客户和我们又签订安全加固合作协议,对整个生产环境进行安全评估,根据实际情况做出整套安全加固方案、对相关人员进行IT安全培训以及安全操作管理体系建设,六月十五日安全加固合作顺利完成,本次合作得到客户的高度认可和满意的评价。

成功处理一起Dragon扩展名勒索病毒加密数据库事件
山西某国有大型化工集团来电,生产车间被黑客攻击,所有服务器和数据采集PC均被勒索病毒加密,被加密的文件扩展名是.Dragon,病毒留下了!!!READ_ME_FIRST!!!.txt文本文件...
长按图片保存/分享
0
资讯分类
近期爆发

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了