背景
的公司作为传统企业有着庞大的服务器基数,我们平时针对的生产环境维护,对于准生产和开发测试,我们一般都是让开发自己区玩耍
病毒发现
前些天发现准生产环境有一台主机被名为lucky的勒索病毒感染了,最直接的表现为一些文件名被篡改为[[email protected]]xxxxxxx(原文件名).7DnGRHxqd86I6Co8.lucky
此病毒表现还算温和,并不会锁定主机命令,所以着让我当时看到一点有可能恢复的希望
处理过程
通过查阅lucky关键字资料发现此病毒被知道创宇404实验室于12月17日得出了解决方案,并进行了分析。
原网址:https://paper.seebug.org/758/
文件种对此病毒做了详细的介绍
加密文件类型包括:
bak,sql,mdf,ldf,myd,myi,dmp,xls,xlsx,docx,pptx,eps, txt,ppt,csv,rtf,pdf,db,vdi,vmdk,vmx,pem,pfx,cer,psd,zip,tar.gz等
为了让系统正常运行,会略过重要文件,如:
Windows: windows, microsoft games, 360rec, windows mail 等等Linux: /bin/, /boot/, /lib/, /usr/bin/ 等等
传播方式:
1.JBoss反序列化漏洞(CVE-2013-4810) 2.JBoss默认配置漏洞(CVE-2010-0738) 3.Tomcat任意文件上传漏洞(CVE-2017-12615) 4.Tomcat web管理后台弱口令爆破 5.Weblogic WLS 组件漏洞(CVE-2017-10271) 6.Windows SMB远程代码执行漏洞MS17-010 7.Apache Struts2远程代码执行漏洞S2-045 8.Apache Struts2远程代码执行漏洞S2-057
病毒流程图:
预装载器:fast.exe/ft32,文件短小精悍,用于加载加密模块和传播模块 加密模块:cpt.exe/cry32,加密模块,对文件进行加密 传播模块:conn.exe/conn32,传播模块,利用多个应用程序漏洞进行传播感染 挖矿模块:mn32.exe/mn32,挖矿模块,连接自建矿池地址 服务模块:srv.exe,在 windows 下创建服务,稳定执行
流程图放大:
以上信息均来自知道创宇404实验室,若想获得更多信息,更全面的了解此病毒,请戳上方链接。
解码程序
下载https://github.com/knownsec/Decrypt-ransomware/archive/master.zip
解包后阅读README.md文件,即可了解解密过程
注意一点,解密程序依赖的py3环境,所以需要安装py3,py3安装请参考《ansible简易安装》
因为是测试环境,数据并不重要,所以此次直接清理掉了这些数据,并没有做完整的恢复,不过亲测可用。