事件过程起初:
在2022.08.29的早晨,一个阳光明媚的早晨,当时约了客户,约定上门给人做培训,起了大早感觉整个人特清醒,但是平时没有这种感觉,感觉有什么重要的事情就要发生、、、
在到达客户公司的楼下的时候,手机来了一个客户的信息,我擅抖着手急促的喘息,定睛一看,上面写着紧急,着急,附属图片如下:
我当时还在以为,只是个简单的小问题,可能是服务没启动,或者是文件丢失了,等等小情况,让客户试着重启一下电脑, 重新手动配置一下T+的所有服务务。
我正想看看我公司部署的Crm系统里面这个客户的外网地址是多少,结果我的客户管理系统竟然报错了,哎关键时刻竟然打不开,好些资料都无法立即查询,正心塞中。。。
客户告诉我,这些操作已经做过了,我就心想有点棘手啊,我这还外出了远程查看的话现在又弄不了。。。头疼。
经我翻看各种技术群的聊天记录,发现里面已经爆了,全是这种截图的,还有服务起不来的,各种报错的都有,我心想完了,畅捷通爆了?炸了?什么情况?
正好我也有个外网的T+,我也试试我的能登录不,然后。。。你懂得,我的也不行了。我就突然想起来。。。
我的crm和T+在同一个服务器,我估计是出现了漏洞了,有什么东西进入了我的电脑,篡改了我的数据或者删除了我的文件,导致我的两个系统都上不去。。。
这情况,应该是从入侵进来的。只要是个明白人,就懂什么意思了。各种截图如下:服务无法启动,打开各种报错。这情况就是很多的插件dll文件等不对应了,找不到了就会这样。
看到这些,人都麻了。典型的勒索病毒锁了各种文件。。。。
简直是 爆了,我的T+坏了,客户的T+坏了,我们都有一个相同的情况是,我们都是暴露的公网ip。但是我的外网远程3389从来不开,密码和用户名都更改了,是强密码,
不应该是微软漏洞,而且也装了火绒,当时我就敢说,绝对不是我的问题,所以,哈哈哈哈笑笑。
事件过程中:
当然总部的工程师也不闲着,毕竟群里的各种技术售后,铺天盖地的发各种截图,各种抱怨,还有各种懵逼中的,种种。
大致意思就是,今天反馈了很多中了勒索病毒,病毒多了的猖獗,犹如洪水猛兽般的,把你们的各种财务软件的数据锁的干干净净。
啊?所有财务软件。哈哈,噢噢噢。明白了解。。那赶紧要做的工作是哪些呢?当务之急是,查看本地的软件数据是否被锁定,被加密后缀是否有变更!
所有的物理数据,如果后缀还在没加密,赶紧复制拷贝出来,本地一定要先断网,在没有其他解决方案的时候,就一定要先拷贝出来还没有加密的数据!
另外看看有没有已经备份好的帐套备份文件,有的话,立刻马上拷贝出来,一定要快,加密是一直持续在做的,刻不容缓!
所以我让我的客户,赶紧看看,有没有备份好的帐套文件,客户说有,我很庆幸,做了自动备份啊(虽然是做了备份工作,但是没有加密这个包我觉得是因为这个压缩包文件太大了
病毒还没来得及压缩加密它。所以就逃过一劫!)拷贝下来以后,找个相同的配置环境,恢复升级了帐套,发现数据一切都在,而且还是昨天晚上的,简直了
天佑我啊,咳咳,天佑我客户啊!奈斯的很,告诉客户,数据无误,直接云服务器格盘重装,一定要格盘,清理干净后,为其重新部署软件,恢复数据。
并且我关闭了直接的IP访问,使用了第三方的解析域名,例如花生壳,快解析等待第三方的域名解析方案,至少目前不会扫描这种域名地址的T+
(什么?没有备份?那么只能凉凉,淘宝直接搜索勒索病毒,会有介绍人代购比特币,帮你完成交易,签合同等流程一套一套的,说不定是和勒索作者“抢抢练手”)
赎金的话,勒索病毒的作者说是0.2比特币。直接百度去换算吧。
当然大家会想到一个问题,既然这个 毒这么凶,我再装上部署上会不会还是会中毒呢?答案是:会的。
那么怎么解决?不要担心,我装了火绒,所以,直接把病毒样本,环境,让火绒团队直接分析一波,他们很卡就给出了结果,告诉你什么文件什么地方入侵的
什么时候共计的,等等一切信息,并且这个时候咱们畅捷通的工程师也差不多了解到严重性了,也找到了一些更新安全加固的小工具和应急方案等等~
这个时候不做任何其他处理的话,我们装上软件,就等于是任人宰割的羔羊,随时都会有入侵的风险!
好在经过漫长的一天的等待。。。我们迎来了一些稍微靠谱的解决方案:
1.这个说的很有道理,也是当时透露出来最早最早的一个截图,那么直接删掉这个路径下的这个文件,也是重中之重!先干掉再说不影响使用!
2.畅捷通出过一个安全加固工具,可以值得一试地址:畅捷通安全检测工具(自动对TPlus加固) 点击直达
但是要注意,这个工具畅捷通的工程师说,严格来说,该工具支持17.0,因为16.0及以下打了的话,会导致有些小bug,例如导入数据不能导入!但是也顾不了那么多哈,
能先加固,就先加固,其他能用就行!后期打完新补丁,再取消加固就好了。
3.在2022.08.30 的凌晨的时候,我发现畅捷通总部的官网上就出了补丁了。大概介绍如下(其他的版本也没有放弃,也有对应补丁,自行下载):
2022-08-30 00:40:45 17.000.000.0098针对低版本iis和nginx可能存在的安全隐患进行产品安全加固 2022-08-31 03:18:39 17.000.000.0100补丁说明:增强安全拦截 2022-09-01 06:59:21 17.000.000.0101补丁说明:解决反序列化安全加固 4.后来畅捷通总部给客户发了信息,内容如下: 【畅捷通】尊敬的客户,感谢您使用畅捷通系列产品与服务。 近期勒索病毒猖獗,已通过各种方式对部分服务器电脑进行攻击入侵,导致计算机内的数据文件等信息被加密上锁。 请您务必予以重视,加强安全防范措施。 强烈建议您加紧采取以下防护措施: 一、软件部署本地服务器电脑上,加紧时间尽快备份账套数据,做好多重备份,异机保存; 二、软件部署在云服务器电脑上的,请立刻进行镜像备份; 三、务必将软件更新至最新补丁环境。 下载链接:https://www.chanjetvip.com/product/goods 四、紧急情况无法更新补丁情况下,将/tplus/SM/SetupAccount/Upload.aspx文件直接删除; 五、请安装并更新阿里云安骑士或火绒杀毒软件; 若您的电脑已不幸感染勒索病毒,请尽量查找备份文件,在windows2016 IIS10.0系统中恢复, 若无备份文件,建议您联系当地数据恢复公司进行恢复 注意:重中之重就是打最新的补丁,备份数据,而且做好异机备份!!!VPN组网还是相对安全一些,不是直接暴露公网的,避免天天受打击! 要备份定期备份,再强的防火墙中一次你也遭不住啊,毕竟也不是人人都有0.2个比特币。 还在担心我的数据?您可放心吧,谢谢您的关心,我有备份啊,所以我还在这里愉快的写着帖子。当前下午回公司我就直接全盘重新分区了,后来直接外网的T+我就不开了, 我也打了最新的补丁,做好了异地备份,自动上传到 云盘的方案!不用操心我,我好滴很! 要备份啊,大佬们,家人们。要备份啊,大佬们,家人们。要备份啊,大佬们,家人们。 国家信息安全漏洞共享平台:https://www.cnvd.org.cn/webinfo/show/8056 另外提一句,感谢火绒团队,他们已经做好了最新版,当时是第二天就做好了,能直接检测病毒,全套直接带走,有漏洞的那个文件直接干爆(不是解密喔,数据锁了目前不付费就解密不了!) 不感谢360团队,是因为他们在8月初就发现了某软件的0day()漏洞,但是也没有公布,不吭声,大家的问题出现了才马后炮的行为,真的不是太厚道,(当然我也是个人觉得,自在人心) 360我从来都是见一个卸载一个,体积大占内存,广告一堆全家桶,装上你用到电脑退休的那天你都还没卸载它,一直用火绒,安静,放心,无广告。硬啊! 我还在这里等你,期待你与你相遇,那注定是今生最美好的一天了。