1.背景

2024年2月26日 某公司服务器遭受勒索病毒袭击，找寻我司协助恢复，我司排查后发现是一个勒索组织的入侵，利用弱口令爆破对客户公司服务器植入病毒，致使客户服务器数据无法读取，导致重要系统被锁无法使用。

经过分析，该病毒家族为Phobos，我司解密专家通过多种技术手段成功将加密文件全部恢复，负责人确认该恢复文件内容无误。

在2024年2月27日至2024年3月5日期间，我司线上组织共计投入6人次对受害服务器进行应急响应、数据备份、溯源分析、漏洞修复、网络排查修复等多项工作，更是投入公司网络安全实验室多位安全专家参与病毒的逆向分析、日志的溯源分析和解密工作，并都出色完成各项任务，达成客户要求指标。

1.1 入侵路线图

1.2 现场排查

2024年2月26日，Solar应急响应团队到达该集团现场，最终情况如下：

统计出的被加密服务器情况：

【详细分析】

1.最初尝试入侵时间为2024/02/07 01:45:22，进行了暴力破解

2、最初确定入侵时间为2024/2/8 03:05:29，密码爆破成功，通过跳板机登陆并修改Administrator管理员的密码进行RDP远程桌面连接

2.样本分析

2.1 文件结构分析

整体文件大小为200+k,把冗余数据去掉,发现仍然可以运行,大小变为56k。与phobos家族的标准一致

2.1.1 勒索信

2.1.2 勒索壁纸

2.1.3 密钥

加密aes256 key(此key用于加密文件)的rsa公钥为

[0xB7,0x0AA,0x5B,0x0CB,0x0EC,0x0B8,0x1C,0x0E8,0x0B0,0x0EE,0x5,0x0D9,0x8E,0x92,0x67,0x8F,0x0B0,0x11,0x0D9,0x0E0,0x42,0x50,0x0C,0x2A,0x0B1,0x65,0x30,0x23,0x8C,0x0D7,0x0E7,0x6F,0x60,0x0,0x0A4,0x0FA,0x77,0x0DE,0x0C6,0x11,0x6B,0x0DF,0x0E5,0x2D,0x94,0x0E4,0x67,0x0D8,0x1E,0x74,0x0A3,0x0F6,0x53,0x0AB,0x0FE,0x0AA,0x0E9,0x0CC,0x2A,0x0BF,0x5,0x4D,0x7E,0x2A,0x18,0x9F,0x34,0x87,0x9,0x99,0x0AB,0x46,0x7D,0x0D8,0x66,0x4D,0x9,0x55,0x2D,0x0C9,0x8E,0x6C,0x90,0x75,0x0B5,0x0ED,0x6C,0x46,0x77,0x55,0x48,0x38,0x70,0x0CC,0x0DC,0x0F3,0x12,0x1B,0x88,0x44,0x24,0x0C,0x0E9,0x6,0x0A0,0x0C0,0x68,0x33,0x0C,0x95,0x0DB,0x0D,0x5D,0x0EC,0x0D8,0x15,0x92,0x0D1,0x3D,0x0D4,0x44,0x0FA,0x2E,0x73,0x1A,0x49,0x0C1,0x0BD]

写入文件的配置中的iv(变化的)后面固定的16字

[0xD,0x0DB,0x95,0x0C,0x33,0x68,0x0C0,0x0A0,0x6,0x0E9,0x0C,0x24,0x44,0x88,0x1B,0x12]

加密字符串的aes128 key

[0xC3,0x70,0x0D7,0x0CC,0x94,0x27,0x77,0x70,0x0DF,0x2,0x0DF,0x0CE,0x0E2,0x0D5,0x32,0x14]

2.1.4 加密文件结构

文件被加密并重命名如下格式1.png.id[8E1EA49A-3524].[``sqlback@memeware.net``].2700

被加密的文件的后8 Byte为固定值。

2.1.5 加密文件样式

2.2 软件运行分析

详情病毒分析内容可见

【病毒分析】phobos家族2700变种加密器分析报告

3.解密恢复

Solar团队第一时间对受害机器的相关情况进行了排查，最终成功解密和恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

解密前

解密后

4.安全加固/后门排查

完成解密后，Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查，并对隐患项提出了安全加固建议，确保不存在遗留后门，并对服务器进行快照及备份处理。下表为安全加固排查总表：