DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

服务器高防_棋牌高防服务器_怎么防

06-24 CC防护

服务器高防_棋牌高防服务器_怎么防

在网络上定位勒索软件的来源

以下案例研究来自实际的客户端网络,因此一些信息在屏幕截图中被屏蔽。用于定位勒索软件来源的方法可以在任何规模的网络上使用。

客户联系我们,帮助他们对事件做出反应,以追踪客户机上感染的新CTB Locker勒索软件(Curve Tor Bitcoin Locker)又名Critroni,该勒索软件在感染时没有任何可用的签名此变体。

LANGuardian包括一个文件共享活动监控模块,该模块对勒索软件及其路径进行了非常详细的取证分析,以加密客户端系统以及与之连接的文件服务器,最初的感染源于在电子邮件中打开附件。

CTB Locker通常通过垃圾邮件发送,根据此分析,除了从备份中恢复数据或支付赎金外,无法取回数据。

"CTB Locker和网络共享–只有当网络共享映射为受感染计算机上的驱动器号时,CTB Locker才会加密网络共享上的数据文件。如果未映射为驱动器号,则CTB Locker不会加密网络共享上的任何文件。

强烈建议您只允许对必要的用户组或经过身份验证的用户进行可写访问,以保护所有打开的共享。这是一项重要的安全原则,负载均衡可以防御ddos吗,无论CTB Locker等感染如何,都应始终使用它。"

使用LANGuardian法医仪表板,防御ddos的公司,将重点放在特定IP地址(X.X.81.61)上,进行cc攻击防御,以便进行调查,我们检测到一些奇怪的文件共享流量。如果您有LANGuardian,您可以通过以下步骤自己完成此操作:

转到LANGuardian搜索页面(GUI左上角的搜索按钮)。在取证搜索面板中输入IP地址(X.X.81.61)。

加载下一页后,将时间和日期更改为事件的正确日期和时间。

然后,您将看到取证页面,其中包含大量有用信息,最明显的是在此期间,IDS发现的SMB流量峰值,基于内容的应用程序识别(CBAR)和Windows文件共享::顶级文件服务器报告:

看得更近一点,可以看到名为"laaaaaa.tmp"的随机文件,因此我们决定再深入一点,看看隐藏在表面下的是什么,发现它当时正在联系文件服务器X.X.1.182,这也可以在上面的仪表板上看到。

仔细看一下正在发生的事情,我们发现文件共享上的文件已被感染,然后被加密:

为了在网络上检查可能已感染的任何其他系统,我们再次返回搜索页面,并使用文件搜索来跟踪任何其他系统网络上的进一步感染。

仔细观察并使用特定文件名的搜索字段,ddos防御安全用智能,似乎只有相关机器"X.X.81.61"受到感染,但这也感染了文件服务器上的大量文件,这些文件必须在感染和加密过程之前从备份中恢复。

这对于持续监控可疑的文件共享活动并发出警报,例如,创建与恶意软件相关的文件名或在短时间内重命名大量文件。如果有东西进入您的网络,您需要快速查找和断开源,防御各类cc攻击,否则在您还原文件时,它将继续加密文件。

如果您需要任何帮助来检测网络上的勒索软件,请随时与我们联系。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/70215.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9289364访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X