1.背景

1.1事件背景

2025年8月7日，某高端制造业客户多台服务器遭遇勒索攻击，出现系统停摆与大量数据被加密不可读。经排查，确认为“888”勒索家族所致。事件初期，攻击者在收到客户提交的加密样本后，以“专业验证与解密”为名启动邮件沟通，提出300,000 USD（约人民币两百余万元）赎金，并承诺付款后提供“解密工具 + 安全报告 + 入侵路径说明”等所谓增值服务，属于典型的专业化、定向化勒索话术。

邮箱正文翻译：

“Your file attached.”

（已附上你的文件。）

Your next steps are:

你的下一步需要这样做：

1.purchase Bitcoin, the amount is 300 000 USD;

购买比特币，金额为 300,000 美元；

2.send this amount to the Bitcoin Wallet. We will give the bitcoin wallet address when you are ready to make a transaction.

将这笔金额转到比特币钱包。当你准备好进行交易时，我们会提供比特币钱包**地址**。

After you complete your steps, we will:

当你完成上述步骤后，我们将：

• send you decryption tool. You will decrypt your files, system, computers;

向你提供解密工具。你将自行解密你的文件、系统、计算机；

• send you the IT Security Report of "how we did the attack and what should be done to upgrade your IT system protection" and assist you on "how to build a invincible IT protection”

向你提供信息安全报告，内容包括“我们如何实施这次攻击、你应如何升级IT防护”，并协助你“如何构建无懈可击的IT防护”；

• Information about the 1-day vulnerability that helped us move through your network and instructions how to fix it

提供帮助我们在你网络中横行的‘1-day’漏洞的信息，以及修复指引；

• Information about the employee account, IP address and time at which we were allowed into the network through the launch of payload

提供我们通过投递载荷进入你网络时涉及的员工账号、IP**地址与具体时间**等信息。

基于过往处置经验（含我们公众号已披露案例：交付赎金后遭二次加价或直接失联、所谓“解密工具”存在 Bug 导致无法完整修复等），我们强烈建议客户不支付赎金，并立即转入“数据优先、快速回归”的免赎金处置路径。

【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析

【病毒分析】交了巨额赎金依旧无法解密？最新LockBit4.0解密器分析

8月9日至8月24日，我司线上线下累计投入12人次，用时近15天左右，围绕数据修复、离线备份、网络排查与溯源分析协同推进；安全实验室提供加密器逆向、日志溯源与数据库恢复等技术支撑，工具链与方法论同步落地。最终按客户既定目标实现业务与数据的分步回归，并完成阶段性交付。

这次的勒索谈判记录，我们也同步梳理进了我们的勒索威胁情报平台。不同组织的套路并不相同：有人先抬价后打折，有人用“样本解密+安全报告”来做可信度包装，还有人靠时限和失联施压。把这些真实话术与节奏归档起来，能在极端情况下提供可参考的谈判策略与节奏控制，同时为后续取证、追踪和合规留痕。

谈判记录功能展示

勒索组织功能展示

1.2处理结果

对受影响的环境开展溯源后，我们定位并获取了加密器样本。经逆向分析，确认其对虚拟化磁盘/业务数据的加密实现存在可技术修复的切入点。在完成小样本验证后，我们随即按“数据优先”路径推进：批量提取被加密的数据库与关键业务数据，运用专用恢复技术修复了大部分核心数据并推动相关业务回归。 同时，结合溯源结论与现有网络架构暴露的问题，我们同步实施安全建设与运营：上架必要的安全产品与 SAR 防勒索设备，并由7×24 小时安全运营团队（MDR/SOC）接管巡检监测与告警处置。客户在短时间内恢复正常生产；截至目前，整体运行稳定且安全可控。

1.3交付验收与客户致谢

我们按期交付了恢复后的文件。客户验收显示：数据完整、可正常导入、功能运行稳定，未见缺漏。经溯源分析，攻击链自初始入侵至最终加密历时约半年，期间多次运用多款黑客工具与TTP（如弱口令/漏洞打点、域内枚举与凭据抓取、隧道回连、WebShell持续化、数据窃密），体现出强专业性、长期耐心与高度隐蔽性。后续文章将简要介绍逆向分析、入侵全流程溯源与已实施的加固措施，供读者参考。出于合规与保密要求，文中所有证据、时间线与“攻击路线图”将进行脱敏仿真处理（含 IP/域名/账户/文件名/业务表等敏感字段）。 客户对我方日夜应急投入与专业能力给予高度肯定，并特赠锦旗表示感谢。此次服务不仅完成了应急响应处置与关键数据恢复，还同步推进网络问题排查与整改、体系化安全建设与运营落地，形成“处置—恢复—加固—运营”的闭环，切实保障业务连续性与长期稳态安全。

2.逆向分析

以下内容为该加密器逆向分析的重点摘要，更多详细信息请参考完整文章内容【病毒分析】888勒索家族再出手！幕后加密器深度剖析

2.1加密器特征

这里的Ping是为了起到延时的作用，等程序结束后它更好延时结束，再做自删除就能成功。

加密器启动后运行的命令行指令

在成功加密后，桌面上会生成名为“!RESTORE_FILES!.txt”的勒索信，要求受害者将信内ID发到下方的邮箱中，以取得初步联系获得赎金报价。

勒索信

被加密后的目录

2.2程序执行流程

3.客户环境调研与搭建

3.1 网络架构描述

客户以边界防火墙作为唯一出口，开启 SSL-VPN 并与域控通过 LDAP 集成；所有办公终端加入 AD 统一管理。内网按 VLAN 划分为办公区与服务器区；为提升工控安全，工控网络独立管理。因跨域文件传输需求，部署一台双网卡文件中转服务器，承担办公网与工控网间的文件交换。

3.2 网络架构评估

在对受灾企业的网络架构深入评估后发现，其仅部署边界防火墙，未配置 EDR/IPS/邮件安全/日志审计等安全设备，更缺乏安全运营（SOC/MDR）体系与流程。长期忽视安全治理使得攻击者得以实施勒索加密，最终导致业务大面积中断。通过取证分析，我们确认攻击链中出现了多类黑客工具与手段：键盘记录、数据窃取工具 AzCopy、DFIR 工具滥用、AD 域枚举/扫描以及后渗透工具 mimikatz（“猕猴桃”）等。后续溯源章节将逐一对应说明其使用位置与证据链。

为保护客户敏感信息，本文将以脱敏仿真方式重建与客户环境近似的拓扑，复刻可能的入侵路径与关键步骤：从最初突破、横向移动、权限提升到数据加密与外传，并结合可操作的检测与加固要点进行讲解。我们希望通过这一可复盘、可落地的溯源过程，为同行提供警示与实践参考，助力尽早补齐安全短板，避免类似事件再发生。

4.溯源分析

4.1黑客攻击链路总结

利用 Fortinet 防火墙已知漏洞获取防火墙管理员权限，进而通过其配置的 LDAP/AD 集成枚举并获取域控关键信息与凭据；随后接管 DC / AD，借助域内互信关系与远程登录能力（RDP/WMI/SMB）反向扫描并横向进入客户端。基于客户端使用痕迹定位到 FileServer，因权限与共享策略配置错误实现直接入侵并提权至 SYSTEM；以文件服务器为跳板扫描到工控终端，实施加密破坏，最终导致 IT/OT 多网段业务同时受影响，整体业务停摆。

4.2黑客攻击路线图

4.3溯源

攻击者先利用 FortiGate 边界设备获得进入内网的初始访问，在防火墙获取域内高权限用户凭据登录域控并在域控建立持久化控制后，利用键盘记录器获得更多口令并对文件服务器实施爆破，随后以被控文件服务器为跳板将敏感数据外传（使用 azcopy 上传到 Azure）、执行内网扫描（fscan），发现并利用 MS17-010 漏洞渗透工控段，最终部署勒索/加密程序，导致工控服务器被加密、流水线停产。

1.Fortigate 防火墙异常账户

• 在 Fortigate 设备中发现新增账户 “Fortiadmin”。

• 经客户确认，除默认 admin 外无其他合法账户，研判为攻击者手动创建。

• 经客户确认，admin账户口令强度极高，不存在弱口令，并且该防火墙版本存在公开漏洞，推测攻击者利用了FortiGate前台任意添加用户漏洞进行了攻击，关于漏洞复现细节可参考文章进行了解CVE-2024-21762 FortiOS RCE 复现与分析

2.异常 VPN / RDP 行为

• VPN 日志显示 LDAP 账户 “lianxie” 自 2025/08/17 10:39 起频繁通过 RDP 登录域控。

• 域控日志中无该账户爆破记录，且通过左边编辑可以看到密文密码，且检查DC验证日志没有发现针对lianxie用户的爆破痕迹，推测攻击者已掌握合法凭据或通过 Fortigate 获取 AD 认证信息。

3.域控留存恶意工具

• 在 C:\$Recycle.Bin\ 中发现黑客残留工具 Velociraptor，近期常被用于持久化与后门控制。

4.组策略（GPO）被篡改

• 发现两项恶意计划任务新增于 GPO 中。

• 日志显示黑客于 10月1日凌晨 修改策略，并设置 3天后延时触发攻击。

5.键盘记录器

• 在员工办公终端上部署了窃密工具，直至排查时期仍然在运行

对独联体加白部分和已知redline相同

通过特征分析 该窃密软件为redline，可自定义的文件抓取器，使攻击者能够从 Web 浏览器、加密货币钱包和应用程序收集凭据，并且同时拥有键盘记录的功能

6.弱口令入侵文件服务器

• 结合第5点推测黑客通过键盘记录器获取了口令，并将口令加入密码本，爆破成功登录 非域文件服务器

7.窃密工具 AzCopy 上传数据至 Azure

在文件服务器中发现 azcopy.exe，该工具用于在本地存储和 Azure 存储之间高效地 上传、下载和同步文件/目录，从配置文件中可以看出攻击者将 D 盘大量文件上传至 Azure 云端。

8.横向扫描与漏洞利用

• 攻击者以文件服务器为跳板，使用 fscan 进行内网扫描。

• 检测到工控网络存在 MS17-010 永恒之蓝漏洞，并据此攻陷工控服务器。

9.部署勒索加密程序

• 在已获得权限的服务器部署勒索软件，并且手动加密工控服务器，最终导致流水线中断。

本次事件属于 有组织、针对性极强的持续攻击（APT）行为。攻击者具备对 Fortigate、AD 域环境、工控网络的精确攻击流程，从数据窃取到系统加密，过程完整、步骤专业。 及时响应阻断了进一步破坏，但造成生产停工与数据泄露风险，需引以为鉴，全面提升防御体系。

5.安全建议

1. 防火墙安全加固

• 定期更新固件：及时安装Fortinet防火墙安全补丁，建立漏洞管理流程

• 最小权限原则：防火墙管理员账户使用强密码+多因子认证，定期轮换

• 网络分段：将防火墙管理接口与业务网络物理隔离

• 监控审计：启用防火墙配置变更日志，实时监控异常登录

2. LDAP/AD集成安全

• 专用服务账户：LDAP联动必须使用专用低权限账户，禁止使用域管理员权限

• 最小权限配置：仅授予必要的读取权限，禁止写入和修改权限

• 定期审计：监控LDAP查询日志，检测异常查询行为

• 账户隔离：服务账户与管理员账户完全分离，使用不同的密码策略

3. 域控安全防护

• 特权账户保护：域管理员账户启用PAM（特权访问管理）系统

• 网络隔离：域控服务器部署在独立安全域，限制网络访问

• 多因子认证：所有域管理员账户强制启用MFA

• 定期备份：建立域控配置和数据的自动化备份机制

4. 网络分段与隔离

• 精确访问控制：办公区和服务区之间实施严格的ACL策略

• 微分段：在服务区内进一步细分，限制横向移动

• 工控网隔离：IT/OT网络物理隔离，禁止直接通信

• 流量监控：部署网络流量分析工具，检测异常通信模式

5. 文件服务器安全

• 权限最小化：文件共享权限按需分配，定期审查

• 访问控制：实施基于角色的访问控制（RBAC）

• 数据分类：对敏感数据进行分类标记和加密保护

• 定期审计：监控文件访问日志，检测异常访问行为

6. 工控系统保护

• 物理隔离：工控网络与IT网络完全物理隔离

• 专用设备：工控终端使用专用操作系统和安全配置

• 介质管控：严格限制移动介质在工控网络的使用

• 备份恢复：建立工控系统的离线备份和快速恢复机制

7. 移动介质管理

• 策略制定：建立严格的移动介质使用策略和审批流程

• 技术控制：部署USB端口管控和介质加密工具

• 审计跟踪：记录所有移动介质的使用情况

• 定期检查：对移动介质进行安全扫描和病毒检测

8. 整体安全监控

• SIEM部署：建立安全信息与事件管理系统

• 威胁检测：部署EDR/XDR解决方案，实时检测威胁

• 应急响应：建立安全事件应急响应流程

• 定期演练：开展红蓝对抗演练，验证安全防护效果

6.关于我们

思而听长期深耕能源、教育、医疗、金融、政府等重点行业，基于"内生安全运营"核心理念，构建了覆盖本地/驻场/远程/海外等多场景的一体化安全运营体系。通过深度整合SIEM、EDR、NDR、WAF、蜜罐等安全产品与威胁情报平台，实现7×24小时持续监测、智能预警与自动化闭环处置，为客户提供全方位的安全防护服务。

核心能力介绍

海外油田项目成功实践：在海外某大型油田项目中，思而听以SIEM平台为安全运营中枢，完成本地化部署并与远程安全专家团队实现协同联动。该项目显著提升了攻防态势的可视化水平，将安全事件响应时间缩短60%，有效保障了关键基础设施的安全稳定运行。

详情可参考文章：【一文了解思而听】核心能力全景解读：技术+实战+平台全面赋能

专业应急响应能力

作为思而听重点打造的技术核心，Solar应急响应团队长期专注于勒索病毒处置、数据恢复、入侵溯源、安全加固等场景，具备覆盖全国的高效响应能力与实战处置体系：

深度样本分析：定期开展勒索病毒家族全链路样本分析与溯源研究，建立完善的恶意软件知识库【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！

快速响应处置：在勒索事件中能够快速提取加密器样本并进行逆向分析，开发专用数据恢复工具【工具分享】全网首发！LOL勒索病毒解密教程：无需赎金，手动破解与恢复工具全解析

数据完整恢复：通过自主研发的恢复算法，确保客户数据完整恢复率达到99%以上【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

攻击路径溯源：结合专业溯源工具与日志深度分析，精准还原攻击链路，为客户提供科学的处置依据【成功案例】RDP暴露引发的蝴蝶效应：10余台服务器被LockBit组织入侵

产品平台介绍

AI自动化取证平台

平台是一款集成化自动化取证平台，专为应对网络安全事件设计。本平台旨在为安全运营、应急响应、取证分析、事件回溯、深度溯源调查等场景提供高效、自动化、结构化的终端数据采集与分析服务。通过一键式操作，自动采集系统及用户行为相关的关键信息，帮助快速还原攻击链，精准锁定威胁源头，极大提升取证效率与数据完整性。

防勒索病毒模拟演练平台

针对勒索病毒攻击，我们打造了防勒索模拟演练平台，通过还原真实攻击链条，帮助企业在安全可控的环境下， 全面验证防护效果，提升应急能力。

相关文章可参考

【实战】某海外能源巨头勒索模拟演练全流程复盘-上

【实战】某海外能源巨头勒索模拟演练全流程复盘-下

平台主要功能包括：

• 钓鱼攻击模拟：支持自定义钓鱼邮件配置，检验员工社工防范意识。

• 仿真病毒投放：定制化下发仿真病毒，验证终端与安全设备的检测与响应能力。

• 加解密行为复现：模拟勒索病毒加解密全过程，辅助检测拦截效果。

• AI谈判训练：复刻真实赎金谈判流程，锻炼企业应急处置能力。

• 数据可视化与报告生成：全过程数据实时展示，自动生成演练报告，助力复盘优化。

• 病毒库丰富：内置超100种主流勒索病毒样本，覆盖 Windows、Linux、NAS 等多种环境，涵盖 Lockbit、RansomHub、Mallox、Weaxor、Makop、Babyk 等家族。

• 通过实战化演练，企业可在事前查漏补缺，事中高效响应，事后科学复盘，全面提升防勒索能力。

SAR 智能勒索防护产品

防勒索AI疫苗SAR是一款面向企业级用户的综合性安全解决产品，专注于预防、检测、响应和恢复勒索病毒攻击。系统通过实时监控终端设备状态、动态分析威胁行为、自动化备份加密密钥，并结合全球威胁情报，构建了覆盖事前防护、事中拦截、事后恢复的全生命周期防护体系。其核心模块包括威胁态势总览、终端安全管理、智能威胁分析、数据恢复管理及可视化报表生成，可有效抵御勒索软件、加密劫持、木马后门等复杂威胁。

同时，公司还构建了以“防勒索AI疫苗SAR”为核心的防勒索护城河，以“7×24小时多维度检测与响应(MDR) + SOC安全运营团队”为支撑，通过“勒索模拟演练+沙箱+蜜罐”技术进行勒索行为预测，确保“预测预警+实时拦截+密钥捕获+瞬时恢复”的全方位防护。最终，通过“防勒索保险”为可能的经济损失提供保障，形成了一个完整的防护闭环。在ISC·AI 2025数字安全创新沙盒大赛中，该产品及勒索防护闭环荣获总冠军，充分展现了公司的卓越实力。

平台优势：

• AI驱动的行为分析和深度学习模型，能够在勒索病毒入侵之前实时识别并阻断；

• 瞬时恢复技术可以在 30分钟内自动解密数据，几乎达到零损失；

• 通过沙箱、蜜罐等技术不断捕获并分析；

• 数据泄露预防功能，自动防止勒索软件从受害者网络中窃取敏感数据。