成功处理一起Dragon扩展名勒索病毒加密数据库事件

五月三十日，国瑞安全客服人员接到山西某国有大型化工集团来电，生产车间被黑客攻击，所有服务器和数据采集PC均被勒索病毒加密，被加密的文件扩展名是.Dragon，病毒留下了!!!READ_ME_FIRST!!!.txt文本文件，国瑞安全通过远程数据分析以及客户使用情况沟通了解，判断这是一起voyager病毒变种的攻击事件，国瑞专业技术人员于第二天抵达现场开展相关技术工作。

通过溯源工作，基本判断出黑客攻击线路图，首先通过RDP爆破获取一台可连接外网的服务器，然后通过0day利用，横向渗透内网老旧的系统和主机，最后释放病毒、删除备份、加密所有数据库和指定文件、然后删除系统日志，结束攻击。

在分析完整个事件后，被加密文件采用了数据库有损修复+文件数据恢复等方式，将被攻击业务系统和被加密数据恢复到90%以上，及时的恢复了企业的车间生产，圆满完成此次应急响应服务。

接着客户和我们又签订安全加固合作协议，对整个生产环境进行安全评估，根据实际情况做出整套安全加固方案、对相关人员进行IT安全培训以及安全操作管理体系建设，六月十五日安全加固合作顺利完成，本次合作得到客户的高度认可和满意的评价。