近日，某企業(yè)在試用“火絨終端安全管理系統(tǒng)”（以下簡稱“火絨企業(yè)版”）期間，發(fā)現(xiàn)勒索病毒攻擊。火絨工程師現(xiàn)場調(diào)查發(fā)現(xiàn)，該企業(yè)網(wǎng)絡(luò)中竟然有兩種勒索病毒流竄感染，整體情況查明后，堪稱企業(yè)網(wǎng)絡(luò)染毒的典型案例。

一、GlobeImposter病毒

通過郵件傳播，主要針對企業(yè)，會加密共享文件夾和本地文件夾，索取贖金。解決方法：1、全網(wǎng)部署合格的企業(yè)版安全軟件。2、全網(wǎng)查殺。

收到該企業(yè)求助后，火絨工程師通過遠程查看被感染的服務(wù)器，發(fā)現(xiàn)只有共享文件夾內(nèi)文件被加密，本地其他文件則未被加密，不符合勒索病毒全盤加密文件的特征，因此初步排除本機感染勒索病毒的可能（該服務(wù)器已安裝火絨企業(yè)版）。

圖：服務(wù)器共享文件夾被加密的文件

隨后，火絨工程師從該服務(wù)器中找到勒索病毒留下的信息，通過接收贖金的郵箱和加密文件的后綴名，推斷該勒索病毒為GlobeImposter（或變種）。GlobeImposter勒索家族主要以垃圾郵件方式進行傳播，是目前比較流行的勒索病毒之一。

圖：勒索病毒GlobeImposter留下的html信息

根據(jù)該企業(yè)運維人員描述，這臺服務(wù)器電腦一直沒有接收郵件、下載運行可疑文件的操作；再加上服務(wù)器本地文件未被加密，不符合勒索病毒的特征，火絨工程師進一步判斷這臺服務(wù)器非病毒作案的第一現(xiàn)場。

經(jīng)詢問后得知，該企業(yè)并非所有的電腦終端都部署了火絨企業(yè)版，極有可能是某臺未安裝安全軟件的電腦，運行了攜帶勒索病毒GlobeImposter（或變種）的郵件，導致中毒，并被加密了共享文件夾。由于同一個局域網(wǎng)內(nèi)的電腦都可以對共享文件夾進行任意操作，所以上述服務(wù)器雖然沒有感染勒索病毒，但其共享文件夾文件依舊被加密。

二、Wannacry病毒

“蠕蟲式”勒索病毒，通過“永恒之藍”漏洞在局域網(wǎng)內(nèi)橫向傳播，屢殺不絕，加密全盤文件。解決辦法：1、全網(wǎng)部署火絨企業(yè)版。2通過管理中心日志記錄的攻擊者IP，找到感染源。3、對感染源全盤查殺。

除了GlobeImposter病毒，該企業(yè)人員還表示，電腦中經(jīng)常出現(xiàn)大量其他病毒的攻擊，并且屢殺不止。通過火絨攔截查殺的日志發(fā)現(xiàn)，這些病毒為勒索病毒wannacry，在傳播過程中，已經(jīng)被“火絨企業(yè)版”的“漏洞攻擊攔截”阻止，并留下相關(guān)記錄。

圖：火絨攔截查殺到的wannacry勒索病毒

針對上述情況，火絨工程師遠程指導該企業(yè)人員操作“火絨企業(yè)版”的控制中心，打開“事件日志”→“網(wǎng)絡(luò)防御”，在“黑客攔截入侵”功能日志中，找到攻擊源的IP地址，發(fā)現(xiàn)該感染源電腦同樣沒有安裝火絨企業(yè)版，因此在感染W(wǎng)annacry病毒后，不斷在網(wǎng)絡(luò)中，向其他電腦傳播（只向有“永恒之藍”漏洞的電腦傳播）。

通過給該感染源電腦安裝“火絨企業(yè)版”，并全盤查殺，清除了病毒，相關(guān)電腦也不再提示被Wannacry病毒攻擊。

圖：火絨“漏洞攻擊攔截”功能幫助找到攻擊源IP

總結(jié)：

該企業(yè)辦公網(wǎng)絡(luò)有上千臺電腦終端，在試用“火絨企業(yè)版”期間，僅部署了100多臺，其他電腦終端有的裸奔，有的安裝其他安全軟件，因此導致如下情況。1、未被GlobeImposter病毒感染的某臺服務(wù)器（已安裝“火絨企業(yè)版”），共享文件夾被加密。2、部分電腦（有“永恒之藍”漏洞，但是安裝了“火絨企業(yè)版”）反復攔截到Wannacry病毒攻擊。

該企業(yè)立即采取行動，給公司所有電腦終端全部安裝“火絨企業(yè)版”，并進行全網(wǎng)查殺之后，上述兩種勒索病毒感染的情況未再復現(xiàn)。

針對此案例火絨工程師建議，企業(yè)網(wǎng)絡(luò)應(yīng)該全網(wǎng)部署合格的企業(yè)安全軟件，并盡量修補漏洞，如果不能保證所有電腦的終端都及時修補漏洞，則需要使用安全軟件的“漏洞攻擊攔截”功能及相關(guān)日志，尋找、處理感染源。