案例分享丨关于企业勒索病毒的电子数据司法鉴定案例
近年来,勒索病毒攻击已成为当前国内计算机面临的最大安全威胁之一。根据360互联网安全中心发布的《2018年勒索病毒疫情分析报告》显示,2018全年共监测到受勒索病毒攻击的计算机超过430万台,平均每天有约1.2万台国内计算机遭受勒索病毒的攻击。其中,企业是2018年度勒索病毒最为热衷的攻击对象。
今年初,四川神琥司法鉴定所接受一起关于企业遭遇勒索病毒攻击的鉴定委托。在对送检的服务器硬盘进行深入的数据分析后,鉴定人通过技术手段成功破解了被病毒加密的文件,为受害企业避免了更多损失。以下为此次企业勒索病毒鉴定案例的具体内容。
一、基本案情
2019年1月,XX房屋开发有限公司发现用友软件不能登录,进行了电脑重启,仍然不能登录。随后通过用友工程师检查,发现用友服务器文件被加密,导致无法使用。经过IT人员的进一步检查,发现公司服务器所有文档均已被加密,每个文件夹里都附带了一个勒索文件(RTLIDL-DECRYPT.txt),要求下载一个解密工具并付款后才能取得文件的密钥。
图-检材照片
二、鉴定过程
1. 检材预检
在准备好鉴定环境后,神琥司法鉴定人对送检的服务器进行拆卸,发现两块3.5寸机械硬盘,硬盘容量均为2TB,分别命名为JC-01、JC-02。通过硬盘预检发现,JC-01能够在取证专用计算机上正常运转和读取数据,JC-02则因硬盘异常无法读取数据。
2. 硬盘镜像制作
将JC-01通过只读接口接入到取证专用计算机,使用召雨DS For PC(计算机及存储介质取证分析系统)的磁盘拷贝功能,对JC-01按照位对位的模式制作硬盘镜像,将生成的硬盘镜像文件命名为“2019-008-01.img”。
图-JC-01硬盘制作硬盘镜像
3. 硬盘镜像文件加载
在取证专用计算机上,使用Winhex软件加载JC-01的硬盘镜像文件“2019-008-01.img”,查看镜像文件的基本情况。
4. 硬盘镜像文件数据恢复
使用RStudio数据恢复软件打开JC-01的硬盘镜像文件“2019-008-01.img”,并全盘扫描磁盘的文件系统和各类文档、视频、音频等文件,扫描结果显示JC-01共有5个分区。神琥司法鉴定人对其中的系统分区和数据分区进行了深入分析。
图-RStudio扫描结果
4.1 文件相关信息分析
对系统和数据分区的文件名和文件内容进行分析,发现两个分区中存在大量文件名为“RTLIDL-DECRYPT.txt”的文本文件。后缀名为rar、zip、doc、docx、ppt、xlsx、pptx、html等的文件均被加密,加密后的文件名以“.rtlidl”为后缀,文件内容则显示为乱码。
图-文件加密内容
通过对两个分区的“RTLIDL-DECRYPT.txt”文件和“.rtlidl”后缀文件进行时间线分析,取得文件的加密时间。由于加密后的文件创建时间比其修改时间要早,且各不相同,通过深度扫描未发现被加密文件原始文件的删除文件。因此,可以确定这些加密文件是在源文件基础上进行加密再修改原始文件名而得来的。
图-文件被加密数量和加密时间信息
4.2 日志分析
通过提取恢复系统分区“windows\system32\ winevt\Logs”文件夹下的所有文件及目录,找到“Security.evtx”文件并使用windows操作系统自带的事件管理器打开,进行安全日志分析。
windows操作系统的“安全日志”从“2019/1/9 8:36:35”开始到“2019/1/19 17:06:28”结束。在此期间,通过网络进行远程交互登录,成功登录服务器的信息如下:
根据安全日志可知,服务器从“2019/1/9 8:36:35”开始到“2019/1/18 17:03:16”存在有40047条通过网络登录失败的安全日志;在系统日志中记录了168条和远程连接相关的错误日志,其中有4条日志记录了产生错误时的IP地址。
图-系统日志
图-错误日志的记录时间、IP及归属地
4.3 用户操作行为分析
将对系统分区的所有文件及目录进行恢复提取,然后使用召雨DS For PC加载恢复的目录分区,并提取计算机的基本信息,可以发现该计算机中有15个用户。
图-基本信息提取
结合前文的登陆日志可知该计算机暴露在公网中,并且持续遭受外界破解用户名和密码的攻击。通过对文件创建时间、USB相关使用记录、远程连接记录信息、IE浏览器记录等用户操作行为进行分析,可以发现该服务器被远程控制后的多次登陆和操作情况。
“2019/1/18 2:26:33”,计算机用户名为“*COM” 的账号被破解并进行网络登录(通过网络连接到共享文件夹、打印机等非远程交互登录),登录的源工作站为“****-SERVER”;
“2019/1/18 2:26:53”使用用户名为“*COM”的账号进行远程交互登录(通过终端服务、远程桌面或者远程协助访问计算机),登录的IP为“116.236. ****”,登录的端口为1455;
“2019/1/18 2:27:23”使用IE 浏览器下载了一些工具文件(相关下载记录已被删除),存储于“User\ Administrator\Downloads”文件下的job文件夹中,job文件夹中部分文件被删除;
“2019/1/18 2:27:36”启用windows的“power shell” 程序;
“2019/1/18 2:32:30”注销账户“*COM”登录;
“2019/1/18 2:33:03”使用账号“Administrator”账号进行远程交互登录,登录IP为“116.236.****”,登录端口为1812;
“2019/1/18 2:34:33”注销账户“Administrator”登录。
4.“RTLIDL-DECRYPT.txt”文件分析
硬盘中所有“RTLIDL-DECRYPT.txt”文件的内容均一样,用sublime Text3打开提取出的该文件。文件内容为:“你所有的文档、照片、数据库和其它重要文件均已被加密,加密后的文件名后缀为.RTLIDL。你只能通过购买一个私有Key才能解密你的文件,购买步骤是首先下载一个‘tor’浏览器;安装‘tor’浏览器;打开‘tor’浏览器,访问网页‘http://gandcrabmfe****’,然后按照网页指令进行操作。”
图- RTLIDL-DECRYPT.txt文件内容
鉴定人发现,文件中所提网页在2019年3月11日已无法访问,通过windows操作系统的“cmd”命令行窗口进行ping域名和DNS查询,提示找不到相应的主机和域名。
5. 加密文件解密分析
通过对加密文件的内容以及“RTLIDL-DECRYPT. txt”文件中的key进行分析,文件采用rsa加密方式进行加密。提取系统分区“Users\Admini strator\Desktop”目录下的加密文件“用友数据采集工具.rar.rtlidl”和“RTLIDL-DECRYPT.txt”,尝试对其进行解密操作。分析发现,可以通过技术手段正常解密被加密的文件。
图-解密操作后的文件
三、鉴定结论
神琥司法鉴定所,通过上述一系列的数据分析,找到了攻击者的IP,还原出此次勒索病毒的攻击方式和过程。攻击者通过系统漏洞进入企业网络,在破解用户名和密码后远程登录并控制了该公司的服务器,随后利用对原文件直接加密的方式,对服务器的系统盘和数据盘共计45722个文件进行了rsa加密操作,并留下勒索信息。
同时,鉴定所通过技术手段进行解密,为受害企业恢复提取出了被病毒加密的相关文件和数据,并出具了司法鉴定意见书,为案件侦办提供了有力的电子证据。
四、神琥观点
2017年5月,WannaCry勒索病毒席卷全球150多个国家,造成高达80亿美元的经济损失。时隔两年,以加密用户数据为手段勒索赎金的勒索病毒愈演愈烈,对企业及个人用户的文档和数据安全造成了严重威胁。
我们应该如何防范勒索病毒呢?一是及时更新杀毒软件,目前市场上的主流反病毒软件都已支持勒索病毒防护;二是养成良好的电脑使用习惯,不轻易点击不明邮件、链接、广告等;三是定期在不同介质上备份重要数据和文件,做到有备无患。
如果遭遇了勒索病毒,不必急着付款,请立即报警。同时,个人用户可以使用360、腾讯等网络安全公司提供的解密工具尝试自行解密。企业用户则有必要寻求专业电子数据司法鉴定机构的技术支持。电子数据司法鉴定可以更有针对性地对可解密的勒索病毒进行数据恢复和文件还原,同时还能利用回溯分析还原出勒索病毒的攻击过程,为案件侦办和后续司法诉讼提供电子证据支撑,从而更好地维护受害企业的合法权益。
【推荐阅读】