你知道我是怎么被勒索软件攻击的吗？

几天前，我们的客户报告我们的 Solarwinds 网站瘫痪了。于是我连接远程桌面进行检查，结果发现它是一个全屏的 html 界面，只能使用鼠标通过界面按钮进行输入。

全屏 html 类界面

我们团队的首要行动是将集群与网络隔离，然后本地连接到现场的每个成员，查看是否所有成员都遭到劫持。令我们惊讶的是，4 个集群中的所有服务器都遭到了入侵。

我开始对我们的 Web 和 DB 服务器进行测试，而我的队友正在格式化集群中最不重要的成员，例如轮询服务器，它几乎不保存对操作至关重要的数据。

通过从 Fedora 实时 CD/USB 启动并访问 Windows 的文件系统（当然它没有像他们声称的那样加密），我能够从 DB 和 Web 服务器中恢复我们的所有数据，然后进入 System32 文件夹并找到他们的脚本，然后更改其主文件夹名称，以便它崩溃（我决定只更改名称，以便稍后尝试分析它并从中收集一些信息）。

我花了几个小时研究它，但大多数代码都被编译成了 .exe（他们还使用了一些 .bat 和 .ps1 脚本，所以那些我已经看过了）。我以纯文本形式打开了 .exe，发现它似乎是来自库的 Python 注释和一些其他文本（包括类似 html 的界面消息）我认为代码是用 Cython 编写的，然后编译了 cython 安装文件抛出的 .c 文件，但我不确定我是否正确，或者是否有可能的方法对其进行反编译并获取尽可能多的代码。

我不知道是否有可能的另一件事是看看他们是如何进入服务器的，比如使用哪种协议，我有一些他们在 Windows 任务计划程序中创建任务的日期，我还检查了事件查看器登录，但无法理解，因为有很多登录。我对 Windows 不是很熟练，我的编程技能是中等水平，也许你知道我可以在服务器中检查的其他东西，这些东西可以提供有价值的信息。如果你需要我附上包含黑客放入我们服务器的大部分内容的 .zip，请告诉我，因为我需要提供一些说明，以便你防止自己感染。顺便说一句，我们有 Windows Server 2016。

更新 1：首先，感谢你们的帮助和建议。我在一家组织非常混乱的公司工作，这些服务器甚至没有启用 Windows 防火墙。该公司没有任何保险、程序或政策来应对这种情况，可能是因为他们很幸运以前没有发生过这种情况。

组织结构图中的这些人狼吞虎咽，第一条指示就是不要说真正发生的事情，如果有人问起，回答要尽可能含糊。

当然，我老板的第一反应是告诉我们需要尽快恢复服务。所以当我在努力寻找并破解黑客在网络和数据库服务器中的勒索脚本时，两名工程师正在格式化前两台轮询服务器。当我找到解决方案时已经太晚了，两台服务器的数据已经丢失。我说服老板让网络服务器保持原样，这样我就可以检查所有可用的日志、代码和我能找到的任何其他东西。

现在我已经仔细检查了 Web 服务器中的所有日志（花了我 2 天时间）和可读的脚本片段（非编译代码），我意识到我带回家的那台服务器并不是黑客的入口点，我只能看到之前被入侵的集群其他成员的会话，所以我无法确定黑客最初是如何进入服务器的，也无法确定哪台服务器首先被入侵。我能够假设他通过某种文件传输协议获得了访问权限，因为我后来发现黑客手动安装了 PsExec 应用程序。

另外，我没有想到要复制一份然后格式化，下次我会记住这一点以保留所有证据。