<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>数据恢复 on Zero Day Notes</title>
        <link>https://blog.5772447.xyz/tags/%E6%95%B0%E6%8D%AE%E6%81%A2%E5%A4%8D/</link>
        <description>Recent content in 数据恢复 on Zero Day Notes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh</language>
        <lastBuildDate>Fri, 17 Jul 2026 07:00:00 +0800</lastBuildDate><atom:link href="https://blog.5772447.xyz/tags/%E6%95%B0%E6%8D%AE%E6%81%A2%E5%A4%8D/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>清除勒索软件：一次 Windows 文件服务器共享目录遭加密的入侵路径还原与恢复复盘</title>
            <link>https://blog.5772447.xyz/posts/45ad24c7/</link>
            <pubDate>Fri, 17 Jul 2026 07:00:00 +0800</pubDate>
            <guid>https://blog.5772447.xyz/posts/45ad24c7/</guid>
            <description>&lt;h1 id=&#34;清除勒索软件一次-windows-文件服务器共享目录遭加密的入侵路径还原与恢复复盘&#34;&gt;&lt;a href=&#34;#%e6%b8%85%e9%99%a4%e5%8b%92%e7%b4%a2%e8%bd%af%e4%bb%b6%e4%b8%80%e6%ac%a1-windows-%e6%96%87%e4%bb%b6%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%85%b1%e4%ba%ab%e7%9b%ae%e5%bd%95%e9%81%ad%e5%8a%a0%e5%af%86%e7%9a%84%e5%85%a5%e4%be%b5%e8%b7%af%e5%be%84%e8%bf%98%e5%8e%9f%e4%b8%8e%e6%81%a2%e5%a4%8d%e5%a4%8d%e7%9b%98&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;清除勒索软件：一次 Windows 文件服务器共享目录遭加密的入侵路径还原与恢复复盘&#xD;&#xA;&lt;/h1&gt;&lt;h2 id=&#34;一问题背景&#34;&gt;&lt;a href=&#34;#%e4%b8%80%e9%97%ae%e9%a2%98%e8%83%8c%e6%99%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;一、问题背景&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;公司核心文件服务器 FS01 是一台加入域的 Windows Server 2019，承载设计部与财务部共用的 SMB 共享目录，约 4 TB 资料，包含合同、图纸与月度结算表。该服务器原本只对内网开放 445 端口，但因一次临时远程运维需求，运维同事将 3389（RDP）通过边界防火墙映射到了公网并设置了弱口令，事后未及时回收。这台机器长期处于&amp;quot;能连就行&amp;quot;的灰色状态，直到某个周一早上被业务电话叫醒——共享目录里几乎所有文件都打不开了。&lt;/p&gt;&#xA;&lt;h2 id=&#34;二故障现象&#34;&gt;&lt;a href=&#34;#%e4%ba%8c%e6%95%85%e9%9a%9c%e7%8e%b0%e8%b1%a1&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;二、故障现象&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;周一 08:20，多名同事反馈无法打开共享文件，双击文档提示&amp;quot;文件已损坏&amp;quot;或&amp;quot;拒绝访问&amp;quot;。登录服务器后发现：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;大量文件的扩展名被改写为 &lt;code&gt;.locked&lt;/code&gt;（如 &lt;code&gt;合同2026.docx.locked&lt;/code&gt;），共计约 3.7 TB 文件受影响；&lt;/li&gt;&#xA;&lt;li&gt;每个目录下都多出一个 &lt;code&gt;README_RESTORE.txt&lt;/code&gt;，内容是勒索信，要求以比特币支付赎金换取解密密钥；&lt;/li&gt;&#xA;&lt;li&gt;系统的卷影副本（Shadow Copy）被清空——&lt;code&gt;vssadmin list shadows&lt;/code&gt; 返回&amp;quot;没有卷影副本&amp;quot;，说明攻击者删除了备份快照；&lt;/li&gt;&#xA;&lt;li&gt;服务器 CPU 与磁盘 IO 在凌晨 02:00-03:10 出现一段异常的持续高位，之后恢复正常；&lt;/li&gt;&#xA;&lt;li&gt;部分用户报告登录域账号时偶发缓慢，但并未报错。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;p&gt;初步判断：这是一次典型的勒索软件（Ransomware）加密事件，且攻击者已经拿到服务器的较高权限并清除了本地恢复点。&lt;/p&gt;&#xA;&lt;h2 id=&#34;三排查过程&#34;&gt;&lt;a href=&#34;#%e4%b8%89%e6%8e%92%e6%9f%a5%e8%bf%87%e7%a8%8b&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;三、排查过程&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;1. 止血与隔离。&lt;/strong&gt; 第一动作不是解密，而是隔离。立即在交换机上把 FS01 的端口 shutdown，断开其所有网络访问，避免加密进程横向扩散到其他主机或继续加密。同时保留内存现场（不重启，便于后续取证）。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;2. 定位加密进程。&lt;/strong&gt; 既然攻击发生在凌晨且已经结束，现场进程里大概率看不到加密程序。转而从 Windows 事件日志与文件系统时间线入手：用 &lt;code&gt;wevtutil&lt;/code&gt; 导出 &lt;code&gt;Microsoft-Windows-PowerShell/Operational&lt;/code&gt; 与 &lt;code&gt;System&lt;/code&gt; 日志，发现凌晨 02:05 有一条可疑的 &lt;code&gt;powershell.exe -enc &amp;lt;Base64&amp;gt;&lt;/code&gt; 执行记录；&lt;code&gt;vssadmin delete shadows /all /quiet&lt;/code&gt; 的调用时间与此吻合。结合文件 MFT 修改时间，最早一批被加密的文件集中在 02:07，逐目录向外扩散，符合单进程遍历加密的特征。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;3. 还原初始入侵入口。&lt;/strong&gt; 勒索软件本身不是入口，它只是&amp;quot;载荷&amp;quot;。真正的入口要从认证日志找。筛选 &lt;code&gt;Security&lt;/code&gt; 日志事件 ID 4625（登录失败），统计发现 07-15 深夜起出现来自同一境外 IP 的高频失败记录，峰值每分钟 40+ 次，持续约 90 分钟，随后出现一条 4624（登录成功）——这正是公网映射出去的 RDP 弱口令被暴力破解。该成功会话的账户为 &lt;code&gt;admin_local&lt;/code&gt;，随后以此为跳板，通过 &lt;code&gt;net use&lt;/code&gt; 挂载其他共享、并启用 RDP 端口转发做横向移动。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;4. 确认横向范围。&lt;/strong&gt; 用域控上的登录日志（4624 + 4768 Kerberos TGT 请求）反查 &lt;code&gt;admin_local&lt;/code&gt; 这个账号在失陷窗口内的所有登录主机，确认其仅触达 FS01 与一台跳板机，尚未拿到域管权限，未对域控本身造成破坏——这是不幸中的万幸。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;5. 样本与 IOC 提取。&lt;/strong&gt; 从 &lt;code&gt;C:\Windows\Temp\&lt;/code&gt; 与回收站残留中找到了加密母体（一个伪装成 &lt;code&gt;svchost.exe&lt;/code&gt; 的二进制）和其释放的批量脚本，计算哈希并上传到威胁情报平台比对，确认为某已知勒索家族的变种，IOC（C2 域名、互斥量名）被登记进防火墙封禁列表。&lt;/p&gt;&#xA;&lt;h2 id=&#34;四解决方案&#34;&gt;&lt;a href=&#34;#%e5%9b%9b%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;四、解决方案&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;1. 数据恢复（不付赎金）。&lt;/strong&gt; 由于卷影被删、无有效本地备份，最终恢复依赖两点：一是磁带/异地备份——庆幸财务部每周日的全量备份在隔离前已完成且未被加密，从备份恢复到干净环境；二是对少数无备份的目录，尝试用文件恢复工具扫描磁盘未覆盖扇区，挽回了约 60% 的最近修改文件。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;2. 清除载荷。&lt;/strong&gt; 在断网单机环境下，删除 &lt;code&gt;C:\Windows\Temp&lt;/code&gt; 下的母体与启动项（检查 &lt;code&gt;HKLM\Software\Microsoft\Windows\CurrentVersion\Run&lt;/code&gt; 与任务计划程序里新增的恶意条目），用杀毒软件全盘扫描确认无残留。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;3. 回收公网暴露面。&lt;/strong&gt; 立即在防火墙上删除 3389 的公网映射，RDP 仅允许从堡垒机网段访问；为 &lt;code&gt;admin_local&lt;/code&gt; 设置强口令并加入账户锁定策略（5 次失败锁定 30 分钟）。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;4. 重建与加固。&lt;/strong&gt; FS01 从干净镜像重装系统、重新加域，共享权限按&amp;quot;最小权限&amp;quot;重新划分，并开启文件服务器审计（对象访问审计策略），对关键目录的改名/删除做日志留存。&lt;/p&gt;&#xA;&lt;h2 id=&#34;五根因分析&#34;&gt;&lt;a href=&#34;#%e4%ba%94%e6%a0%b9%e5%9b%a0%e5%88%86%e6%9e%90&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;五、根因分析&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;这次事件的根因不是&amp;quot;勒索软件太强&amp;quot;，而是&lt;strong&gt;暴露面管理失职 + 凭据薄弱 + 恢复点缺失&lt;/strong&gt;的叠加：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;公网 RDP 映射配了弱口令且长期未回收，给攻击者敞开了第一道门；&lt;/li&gt;&#xA;&lt;li&gt;服务器没有启用网络级身份验证（NLA）强制与多因素认证（MFA），暴力破解成本低；&lt;/li&gt;&#xA;&lt;li&gt;备份只在本机卷影与同网段存储，加密者一句话就能清空，缺乏异地/离线副本，导致几乎无险可守；&lt;/li&gt;&#xA;&lt;li&gt;缺乏对外暴露服务的资产台账与定期回收机制，临时开口变成永久后门。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;六预防措施&#34;&gt;&lt;a href=&#34;#%e5%85%ad%e9%a2%84%e9%98%b2%e6%8e%aa%e6%96%bd&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;六、预防措施&#xD;&#xA;&lt;/h2&gt;&lt;ul&gt;&#xA;&lt;li&gt;&lt;strong&gt;收敛暴露面&lt;/strong&gt;：公网只放必要服务，RDP/SSH 一律走堡垒机或 VPN，禁止直接映射；建立&amp;quot;临时开口登记 + 到期自动提醒回收&amp;quot;流程。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;强化认证&lt;/strong&gt;：所有对外远程入口强制 MFA，启用账户锁定与登录失败告警；禁用弱口令，定期用密码审计工具扫描。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;备份三二一&lt;/strong&gt;：至少一份离线/异地备份，且定期做恢复演练验证可用性；关键系统开启不可变备份（immutable backup）或对象存储版本锁，让勒索软件删不掉。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;监控与告警&lt;/strong&gt;：对 4625 暴破、vssadmin 调用、非常规时段大量文件改名等异常行为配置 SIEM 告警；终端部署 EDR 实现进程级行为检测。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;最小权限与分段&lt;/strong&gt;：共享目录按角色授权，服务器网段与普通办公网隔离，限制失陷后的横向移动半径。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;七总结&#34;&gt;&lt;a href=&#34;#%e4%b8%83%e6%80%bb%e7%bb%93&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;七、总结&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;勒索软件不是天灾，而是运维疏忽的放大器。本次事件里，攻击者真正利用的只是一个被遗忘的公网弱口令 RDP，而真正的代价来自没有离线备份与暴露面失控。排查的关键节奏是&amp;quot;先隔离止血、再还原入口、最后谈恢复&amp;quot;——永远不要急于解密而放跑现场。对运维来说，最便宜的安全投入是&lt;strong&gt;关掉不该开的端口&lt;/strong&gt;和&lt;strong&gt;留一份删不掉的备份&lt;/strong&gt;。&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
