前两周某天，突然接到朋友电话，说中勒索病毒了，因为安装了某云的杀软，所以某云先进行了处理，结论是通过Todesk软件入侵的。朋友有些怀疑，所以让我给看看。

中招勒索病毒之后，电脑出现付款解密提示

朋友发来的截图，所有文件都被加密了，并有详细的付款解密提示。从后缀名可以判断是Devos勒索病毒，这是Phobos黑客组织的典型特征。

接下来就是找病毒程序，在C盘的administrator目录下找到了：

在电脑硬盘里面找到勒索病毒程序

这里跟某云得出的结论有矛盾：朋友公司安装了域控服务器，正常都是通过域用户登录到桌面，但勒索病毒却在本地管路员（Administrator）目录下？

那究竟是怎么登录的呢？先看看中招设备的日志。运气不错，黑客居然没有清理日志：

红框中就是RDP远程登录日志

注意截图红框中的登录日志，用本地管理员账户登录，与其他通过域账户登录形成鲜明的对比，并且还是凌晨两点多，从同一网段的另一台设备（172.117.25.15）登录过来的。同一网段都是相同作用的机器，这就好比A和B是同事，通过A电脑远程RDP登录到B电脑上，逻辑上说不通。

那么去172.117.25.15设备上看看日志，依旧未被清除：

另一台机器上的RDP远程登录日志

最早是从4号晚上大约12点登录的，隔了两个小时后开始密集登录，这期间发生了什么？照例先看日志：

黑客入侵后的命令行操作

大约晚上12点18分（上图），黑客执行了netscanold.exe程序，这是黑客常用的弱口令扫描工具之一。仅一分钟多（下图），这个扫描器就找到了一台存在弱口令的机器……

那基本可以确定172.117.25.15这台机器就是0号机了，也就是黑客的入侵点。后来朋友排查，发现这台机器开启了3389端口远程桌面协议（RDP） 连接，并经路由器映射到了互联网上……

这也符合Phobos黑客组织的特征：通过端口 3389 上的开放或不安全的远程桌面协议（RDP） 连接实现入侵。通过暴力破解 RDP 凭据、使用被盗和购买的 RDP 凭据或网络钓鱼来获得账号密码。并且，Phobos还会利用恶意邮件附件、下载链接、补丁程序和软件漏洞等来访问企业的终端与网络。

剩下的事情就是朋友恢复机器去了，还好有备份。不过还是要提醒大家注意防范勒索病毒。Phobos黑客组织是一个非常典型的RDaas（RansomWare as a Service，勒索即服务）勒索组织：Phobos组织本身会对企业进行勒索，同时也出售高度自动化的勒索工具包，这意味着没有任何技术知识的犯罪分子也可以借助于Phobos提供的工具包创建勒索软件变种，并对企业目标发起攻击。

而且，这次勒索事件也是利用的Phobos工具包：晚上12点左右登录进行弱口令扫描的是购买勒索工具包的人，而在凌晨2点多登录的又是另一波人，这波人的技术水平明显高明不少，用工具暴力破解了数十台存在弱口令的设备。这也是当前勒索攻击非常典型的分工协作模式。

提醒一下大家，中招勒索病毒后的处理，千万别病急乱投医：

1、 如果数据还未被加密，立马断网，直接拔网线，但一定不要关机！不要关机！不要关机！（重要事情说三遍）不确定有局域网有多少设备中招情况下，拔交换机电源！

2、 如果数据已经被加密，那基本没法破解的，除非你有量子计算机。所以千万不要相信网上说能解密的广告！免得数据没了，还额外损失钱财！

3、 如果数据有备份，千万记得断开备份，联系网络安全专家找黑客入侵点；

4、 如果没有备份，立马找网络安全专家找黑客入侵点。

中了勒索病毒之后，最重要的是找到入侵点！不然即使恢复了，依旧有继续中招的风险。

写在最后：为什么勒索攻击越来越泛滥？

关于勒索攻击的起源可以说是一个“long story”，目前业内一般认为1989年的PC Cyborg是首款勒索软件，使用对称加密，手法比较粗糙，所以危害性不大。但到2006年，Archiveus木马首次使用了非对称加密，几乎无法破解。

但2010年以前的勒索攻击几乎没什么影响，其主要有三大问题没有解决：

1、 如何交易？不管是现金、银行卡还是pos机交易，都极其容易被抓捕；

2、 僵尸主机有何价值？黑客虽然控制主机，但只能使用算力（内存和CPU），无法提供额外价值；

3、 谁是买主？通过勒索软件加密了数据，因为是随机入侵，黑客很难判断数据的价值，也不知道应该卖给谁……

但是，2010年之后，加密货币出现了！一举解决了两大问题：加密货币通过hash后的交易地址几乎无法被溯源，自然也就找不到黑客；并且，黑客控制的僵尸主机还可以用来“挖矿”！

并且，黑客也不用费心找数据“买主”，因为最大的“买主”就是被勒索攻击的企业。数据不恢复，业务就无法正常运行，找不到入侵点就永远有风险。

到2015年，RDaaS这种新型运营模式诞生，攻击者的技术门槛越来越低。2017年，WannaCry席卷全球，勒索攻击大规模爆发。2021年，双重勒索（数据加密+数据窃取）成为主流，比如英伟达被勒索，数据泄露。据有关数据统计，全球平均每14秒就会遭受一次勒索攻击，而2022年最新的数据是，每12秒就会受到一次勒索攻击！

不要以为勒索攻击只针对大型企业，勒索攻击已经越来越接近你！前段时间，黑客利用某公司的ERP软件漏洞入侵并勒索，而这款软件主要面向的是中小型企业。

可见，RDaaS的兴起，连勒索攻击都越来越卷了……这也意味着勒索攻击的成本越来越低了，哪怕中小企业都不愿放过！

所以，朋友们，做好安全防御措施吧，不要掉以轻心！

搜索“企业IT观察”，欢迎关注，接收最新IT资讯