秋天的第一个勒索病毒

“困难就像弹簧,看你强不强,你强它就弱,你弱它就强”

龚明敏
资深运维工程师
丰富的IT运维实战经验，做事用心、严谨、精细，主要负责龙华、龙岗区代维客户。

一、运维灾难降临，总是有迹可循。

作为一名“资深”运维人员，在我们的工作生涯中，惊喜从不存在，惊吓从不意外。我们身上自带“不详征兆”，然而并没有~~为携带者增加额外的“物理防御”和“最大生命值”~~。

9.23号早上9点上班发现金蝶无法启动，在IT报障群内呼叫我们，并给出故障报错截图。
从截图和描述来看，桌面部分快捷方式后缀被改为了C1H，通过仔细排查其他盘符，均发现有类似情况，大有全盘感染趋势，我们初步断定：是勒索病毒。

图1：故障现象

图2：磁盘情况

又是勒索病毒，是近两年来比较流行的病毒类型，具有“魔鬼”和“天使”两面性的定向病毒。面对这种情况，我只能引用星爷《功夫》经典语录：

二、冷静，不要憎恨你的“敌人”。

《教父》中有句让我记忆犹新的语录：“不要憎恨你的敌人，那会影响你的判断力 ”。每次运维中遇到了困难，排斥及放弃总是脑子里的第一个想法。冷静下来时想想，生命-生存-生活，没有什么是简单的。

看着这张大黄图，确定以及肯定目前是无法解密的。通过缴纳赎金尝试解密的行为是不可取的，因为我们没法去和一个强盗谈契约精神。

图3：勒索病毒留言

三、广而告之，亡羊补牢，犹未为晚。

图4：安全机构建议

通过网络资料和相关安全机构了解到病毒的感染方式和传播途径，我们一如既往发布了预警公告（看官们可以瞟一下，技多不压身^_^~~）：

1、尚未感染，预防风险

a) 常备份数据，目前病毒样本未有安全机构有可行预防措施，建议人工备份方式对数据进行全备份，并养成备份好重要文件的习惯；
b) 安装防病毒软件，Windows服务器上安装必要的防病毒软件，并确保更新杀毒软件病毒库，以便能检测到该勒索病毒。
c) 加强电子邮件安全管理,不要轻易点击不明附件,尤其是exe、bat等格式的附件。
e) 禁止下载安装非官方软件，所有软件下载后经防病毒软件进行鉴定为安全后再安装。
f) 升级操作系统，如您的系统仍为XP或者较老版本的Win7，建议您升级Win10，XP系统强烈建议升级，因该系统已经停止更新，存在极多漏洞风险。
g) 如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

2、已被感染，应急措施

a) 如发现同事已感染病毒，请立刻关闭拔掉网线，防止病毒在局域网传播蔓延。
b) 已中病毒的不要急于支付赎金，思考是否有备用数据（即便支付也不一定能解锁）。
c) 我们安排现场工程师上门处理后给与相关事后应对处理方案。

3、 服务提醒

a) 因数据备份需要大量时间与人力，建议用户先自行备份数据（拷贝至U盘），我方提供技术指导0755-89489880；
b) 对服务器自行管理的用户，请及时联系负责工程师或连接远程至二线支持QQ：2881799554、2881799556；
c) 事件最新进展、补丁、应对方法“帮助中心help.greenadmin.cn“将及时发布，对任何疑问与问题及时与我们联系。

四、种下"善因"，结出"善果"。

通过和客户沟通了解，再结合客户的上网习惯。我们在应用层发现了一些蛛丝马迹，在网络层发现漏洞。应用虚拟化通过端口映射实现对金蝶服务器上面的程序多并发登陆，AR虚拟化软件是多年前买断的，基本上没有更新过补丁，且存在弱密码缺陷等多重因素，致使勒索病毒有机可乘（凌晨4点27分开始入侵感染）。