勒索病毒遭遇战

---

近期公司数据中心遭遇到勒索病毒的袭击，涉及到至少3个数据中心，经过大家的抢修，目前善后工作已经进行到尾声，在此做下简要记录，算是做个总结回顾

1. 遭遇

• 首先是在周一，做自动化测试的同事发现有机器出了问题，调查后发现是勒索病毒，出现了一堆以.eking结尾的被加密了的数据并且进行勒索。如下图:
  eking_picture.png
• 同时由于我们的环境是开发测试环境，并没有机密文件，所以此次病毒事件在整体看来不会造成很大的影响。

2.处理

• 事情发生后，因消息没有散布开，当天并没有引起所有人的注意，主要是对那几台中毒的机器安装杀毒软件，扫描全盘。
• 第二天开始，我们自己team内部就开始组织处理此次病毒问题。
  a. 首先采取断网措施，掐断所有网线，防止病毒进一步扩散。
  b. 对已经感染的机器，一律采用格式化硬盘的方式。
  c. 对未感染的机器，windows安装统一的杀毒软件，linux全盘扫描eking文件。
  d. 对老的机器，不记得密码，开不了机的等一律采取拔硬盘，统一格式化的处理方式。
  e. 对处理好的硬盘统一分类，然后承包到个人，首先紧急恢复最重要的一批自动化编译机器。
  f. 后续在需要使用的时候，在由个人自己根据安全文档来搭建OS环境。

3.问题

• 问题a: 一共拔掉了200多块硬盘等待格式化，并不能以U盘一样即插即用的方式去格式化，同时硬盘中有配置Raid，即便是热插拔后，OS也识别不到该硬盘。
  a. 首先统一在BMC中删除Raid信息。
  b. 在实践中走出两条(windows/linux)格式化硬盘的方案。
  1. 在windows启动盘进行到磁盘分区时，按shift+F10进入到命令行模式， 然后使用命令来进行格式化。可以把下列命令(diskpart 除外)写成脚本，使用diskpart /s script_file 来调用。

  > diskpart                  # 此命令进入到diskpart交互界面
  list disk                   # 列出所有的磁盘
  select disk n               # 选择要处理的磁盘
  CLEAN                       # 如果free 为0，可以用clean删除数据。
  create partition primary    # 创建primary分区
  format fs=NTFS quick        # 格式化硬盘
  exit                        # 退出diskpart
  

  2. 使用linux来格式化磁盘，启动centos镜像，在其开启shell窗口后，按ctrl+del+f1进入shell终端，然后采用下面命令格式化分区。可以写成自动化脚本。

  >                                   # run in terminal
  ls /dev/sd*                         # 列出所有的硬盘
  echo -e "d\n\n\nw\n"  | fdisk sda1  # 删除sda1
  echo -e "G\n\nn\n\nw\n" | fdisk sda # 创建sda1
  mkfs.ext4 sda1                      # 格式化硬盘
  

  c. 脚本化上述程序，插满服务器的硬盘插槽，可以每次格式化16块硬盘,大大加快了任务进度。
• 问题b: 在重新恢复环境的时候，IT部门不允许使用U盘做启动镜像，严防病毒通过U盘四处传播的可能。
  a. 打算采用移动光驱的方式，实践中发现，1.是光驱太少，2.需要dvd盘，3.刻录好的镜像安装中老出错。最终没有采取光驱的方式。
  b. 采用采用有只读功能的U盘，把镜像做进U盘，然后关闭读写功能。实践中发现关闭读写功能后，U盘根本装不了系统，因为系统需要在里面写入部分临时文件，U盘只读的话，会报错。故舍弃之。
  c. 最终使用BMC的mount功能，远程mount启动盘镜像，安装好后，使用只读的U盘，把杀毒软件拷贝进OS里面查杀。

4. 分析

• 根据感染的病毒的机器分析
  1. 机器采用简单密码。
  2. 有很多机器共享密码。
  3. 为了调试方便，关闭了防火墙。
  4. 没有安装公司要求的杀毒软件。
  5. 关闭了windows的升级功能。
  6. 密码到期几乎不去修改密码。
• 接下来我会组织一次brainstorming，来组内讨论我们team内部机房的安全管理措施，大体上会从端口，密码，网络等方面考虑下一步的行动。