近日，深信服安全團隊發現一款合法的磁碟加密軟體BestCrypt Volume Encryption被黑客利用作為勒索工具。黑客通過RDP暴破等方式遠端登入目標伺服器後，人工執行BestCrypt Volume Encryption進行勒索加密。由於用於加密的是正規軟體而非病毒，通過檔案查殺的方式通常無法防禦。

現象描述

深信服安全團隊近日收到一起特殊的勒索求助。不同於通常的勒索病毒對檔案進行加密並修改檔案字尾，而是直接對磁碟進行了加密，加密後的磁碟無法開啟，如下圖所示：

並在桌面等目錄存在如下勒索資訊txt檔案：

排查過程

通過對系統近期建立檔案進行排查，發現C盤根目錄近期被放入了一個可疑程式“best.exe”，如下：

經驗證，“best.exe”是一個合法的商用加密軟體BestCrypt Volume Encryption，主介面如下：

可以使用該軟體加密並解除安裝磁碟，如下：

另外在主機中還發現了一個bat指令碼，用於將勒索資訊txt檔案複製到桌面以及開機啟動目錄並關機，如下：

結合上述線索，初步懷疑本次勒索事件是黑客遠端登入了受害主機並人工執行了加密軟體進行了勒索加密，通過分析事件日誌，果然發現了在加密軟體”best.exe”放入前有異常遠端桌面登入，如下：

因此我們可以還原出此次勒索攻擊的場景：

1. 黑客通過RDP暴力破解等方式遠端登入了目標主機；

2. 上傳合法加密軟體BestCrypt Volume Encryption、勒索資訊檔案Readme unlock.txt以及指令碼檔案copys.bat；

3. 人工執行BestCrypt Volume Encryption對磁碟進行加密解除安裝，然後執行copys.bat複製勒索資訊檔案到指定目錄並關機。

整個過程不存在病毒檔案，無法通過檔案查殺的方式進行防禦。

解決方案

深信服安全團隊通過海量勒索病毒攻擊事件溯源分析，構建出不同場景勒索病毒攻擊畫像，其中遠端桌面登入是勒索病毒攻擊最常用的手段，通常具有以下特點：

1、攻擊者通過RDP暴力破解，登入目標主機，登入時段通常為凌晨或節假日等不易被運維人員察覺異常的業務空閒期；

2、通過目標主機進行內網滲透，使用黑客工具對防毒軟體進行安全對抗，即使內網部署了安全軟體，也不能確保能夠防護攻擊者的人工對抗；

3、投放勒索病毒進行加密勒索，勒索病毒可能會做免殺處理，或者同本文案例一樣使用合法工具進行磁碟加密，進行安全軟體繞過。

由於在成功入侵後攻擊者便具有隨意操作的自由，因此遠端桌面登入防護顯得尤為重要。深信服EDR針對遠端桌面登入的勒索病毒攻擊場景新增遠端登入保護功能，開啟後可以配置遠端登入保護敏感時間段，在該時間段遠端訪問伺服器需要二次驗證：

即使黑客遠端桌面登入了伺服器，依然需要在如下視窗輸入正確的二次驗證密碼才能進行操作，從源頭阻斷勒索病毒攻擊，有效防禦通過遠端桌面實施的攻擊：

病毒防禦

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份。

3、不要點選來源不明的郵件附件，不從不明網站下載軟體。

4、儘量關閉不必要的檔案共享許可權。

5、更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

6、如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火牆，或者終端檢測響應平臺（EDR）的微隔離功能對3389等埠進行封堵，防止擴散！

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。