背景

的公司作为传统企业有着庞大的服务器基数,我们平时针对的生产环境维护,对于准生产和开发测试,我们一般都是让开发自己区玩耍


病毒发现

前些天发现准生产环境有一台主机被名为lucky的勒索病毒感染了,最直接的表现为一些文件名被篡改为[[email protected]]xxxxxxx(原文件名).7DnGRHxqd86I6Co8.lucky

此病毒表现还算温和,并不会锁定主机命令,所以着让我当时看到一点有可能恢复的希望


处理过程

通过查阅lucky关键字资料发现此病毒被知道创宇404实验室于12月17日得出了解决方案,并进行了分析。

原网址:https://paper.seebug.org/758/

文中对此病毒做了详细的介绍。

加密文件类型包括:

bak,sql,mdf,ldf,myd,myi,dmp,xls,xlsx,docx,pptx,eps,
txt,ppt,csv,rtf,pdf,db,vdi,vmdk,vmx,pem,pfx,cer,psd,zip,tar.gz等

为了让系统正常运行,会略过重要文件,如:

Windows: windows, microsoft games, 360rec, windows mail 等等
Linux: /bin/, /boot/, /lib/, /usr/bin/ 等等

传播方式:

1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss默认配置漏洞(CVE-2010-0738)
3.Tomcat任意文件上传漏洞(CVE-2017-12615)
4.Tomcat web管理后台弱口令爆破
5.Weblogic WLS 组件漏洞(CVE-2017-10271)
6.Windows SMB远程代码执行漏洞MS17-010
7.Apache Struts2远程代码执行漏洞S2-045
8.Apache Struts2远程代码执行漏洞S2-057

病毒流程图:

预装载器:fast.exe/ft32,文件短小精悍,用于加载加密模块和传播模块
加密模块:cpt.exe/cry32,加密模块,对文件进行加密
传播模块:conn.exe/conn32,传播模块,利用多个应用程序漏洞进行传播感染
挖矿模块:mn32.exe/mn32,挖矿模块,连接自建矿池地址
服务模块:srv.exe,在 windows 下创建服务,稳定执行

流程图放大:


记一次快乐(并不)的勒索清理之旅_第1张图片


以上信息均来自知道创宇404实验室,若想获得更多信息,更全面的了解此病毒,请戳上方链接。


解码程序

下载https://github.com/knownsec/Decrypt-ransomware/archive/master.zip

解包后阅读README.md文件,即可了解解密过程

注意一点,解密程序依赖的py3环境,所以需要安装py3,py3安装请参考《ansible简易安装》


因为是测试环境,数据并不重要,所以此次直接清理掉了这些数据,并没有做完整的恢复,不过亲测可用。