提到勒索病毒，总能和巨额赎金、信息泄露等等重大安全隐患事件联系起来。比如近期发生的勒索攻击致美国半个能源系统停摆的事情。

但不是所有的勒索病毒都能成功入侵。

最近，深信服终端安全团队就发现了这样一起“勒索未遂”的故事——勒索病毒在用户开启 RDP 服务时入侵，利用暴力破解手段试图入侵破坏企业数据，被深信服 EDR 安全团队发现及时排查清除。

那么，该勒索病毒的具体入侵路径究竟是怎样的呢？

我们一起来看下。

反勒索病毒入侵全纪录

发现威胁

首先，代入一下场景。

某天，深信服终端安全专家君哥正在通过深信服EDR 云端查杀数据分析监控着世界各地的病毒去向。

突然，深信服终端安全专家发现用户的客户端收到了一条告警提醒，仔细一看事情不妙，马上开始排查。

按照规矩，深信服终端安全专家立刻用云端日志展开了远程“调查”，通过安全云脑威胁情报获取到对应的样本文件，安全专家在本地进行了行为分析，证实确实为勒索病毒，该勒索病毒分别名为 Makop、Milleni500。

不过，大家也不必担心，这个过程不会涉及任何敏感信息。

云端数据只上传病毒查杀日志，包括设备 ID、查杀时间、病毒文件哈希、查杀路径，但不会上传用户文件，未告警的正常文件也不会上传任何信息，不会造成敏感信息泄露。附勒索病毒详细信息：

1、Makop 勒索病毒的勒索信息如下：

2、Milleni500 勒索病毒的勒索信息如下：

于是，安全专家联系到对应的用户对 EDR 管理平台和告警终端进行详细排查。

如何入侵

那么，这个病毒究竟是如何入侵的？

我们一步步往下看。

首先，通过对 EDR 管理平台检测日志的分析，发现产生告警的来源于一台监控服务器，该服务器对外网开启了 RDP 服务。其中，静态文件检测进行了告警，并对勒索病毒文件进行了自动处置：

紧接着，深信服终端安全专家对该勒索病毒进行了更深层次的溯源发现，该用户终端一直在遭受持续的暴力破解攻击。

根据 EDR 日志告警的勒索病毒上传目录，与该勒索病毒一同检出的还有大量黑客工具：包括 NS（用于内网扫描）、everything（正常的文件搜索工具，没有实际威胁）、ClearLock（一款锁屏软件）、bat 脚本（用于删除备份卷影）。

但通过 everything 排查主机上的EXE文件，未发现其他可疑情况，排查 asp、aspx、jsp、php 等后缀的文件，未发现异常。

此外，由于服务器系统日志保留时间较短，无法查到入侵时间点的日志信息，且排查未发现 WebShell 和明显入侵途径，入侵方式暂不明确，因此无法溯源到最初的入侵 IP。

不过，好在该用户开启了 EDR 文件实时监控、勒索病毒防护实时监控以及自动处置策略，成功拦截了本次事件中上传的勒索病毒，避免了一次“惨剧”发生。

深信服终端安全团队来给您提个醒

虽然这一次该用户“逃过一劫”，但对付勒索病毒除了依靠深信服 EDR 实时监测外，更需要平时的自我防护，才能让勒索病毒无可乘之机。