记一次Windows勒索病毒应急响应实战

查看本地用户，未发现异常：

打开任务管理器，发现可疑进程F.exe：

利用wmi查看进程信息，发现其位置在开始菜单启动项中：

C:\Users\gy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

同时，通过任务管理器，发现windows临时文件夹中也有该程序

通过测试可知F.exe为勒索病毒程序：

查看网络状态，除向日葵远控客户端外，未发现其余异常：

检查注册表，发现病毒文件被设置为开机启动

文件加密时间为20点29分

查看安全日志，发现从20点8分到32分有一串来自同网段kali（10.10.10.3）远程爆破记录

但并未发现爆破成功的日志（4624，类型3）

查看对应时间段应用日志，未发现远程桌面使用报告，但有大量跟系统安全相关的认证日志：

查看对应时间段系统日志，发现向日葵使用痕迹：

加密发生前五分钟，向日葵服务被安装

查看当天的向日葵日志：

发现在加密前五分钟启用了向日葵连接

发现向日葵RCE测试payload，攻击端为10.10.10.7，勒索病毒来源为10.10.10.3

总结：

攻击者先拿下了同网段的两台主机（10.10.10.3和10.10.10.7），先使用10.10.10.3对受害机（10.10.10.11）进行了爆破，未成功。然后通过端口扫描发现了受害机上的向日葵服务，并通过向日葵RCE控制受害主机下载并运行了存放在10.10.10.3上的勒索病毒。