2024年2月26日 某集团服务器遭受勒索病毒袭击，找寻我司协助恢复，我司排查后发现是一个勒索组织的入侵，利用弱口令爆破对客户公司服务器植入病毒，致使客户服务器数据无法读取，导致重要系统被锁无法使用。

　　经过分析，该病毒家族为Phobos，我司解密专家通过多种技术手段成功将加密文件全部恢复，负责人确认该恢复文件内容无误。

　　pg模拟器

　　在2024年2月27日至2024年3月5日期间，我司线人次对该集团受害服务器进行应急响应、数据备份、溯源分析、漏洞修复、网络排查修复等多项工作，更是投入公司网络安全实验室多位安全专家参与病毒的逆向分析、日志的溯源分析和解密工作，并都出色完成各项任务，达成客户要求指标。

　　最初确定入侵时间为2024/2/8 03:05:29，密码爆破成功，通过跳板机登陆并修改Administrator管理员的密码进行RDP远程桌面连接

　　2.2软件运行分析详情病毒分析内容可见【病毒分析】phobos家族2700变种加密器分析报告

　　Solar团队第一时间对受害机器的相关情况进行了排查，最终成功解密和恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

　　完成解密后，Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查，并对隐患项提出了安全加固建议，确保不存在遗留后门，并对服务器进行快照及备份处理。下表为安全加固排查总表：

　　1. 风险消减措施资产梳理排查目标:根据实际情况，对内外网资产进行分时期排查

　　服务方式:调研访谈、现场勘查、工具扫描服务关键内容：流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查

　　通过对安全现状的梳理和分析，识别安全策略上的不足，结合目标防御、权限最小化、缩小攻击面等一系列参考原则，对设备的相关配置策略进行改进调优，一方面，减低无效或低效规则的出现频次；另一方面，对缺失或遗漏的规则进行补充，实现将安全设备防护能力最优化。

　　网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。

　　1.提供相关的安全意识培训材料，由上而下分发学习2.组织相关人员线上开会学习。线上培训模式。

　　勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

　　团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系