2026年6月5日,云天数据恢复中心接到山东某科技股份有限公司的紧急求助。该企业多台核心服务器遭到BRZ勒索病毒攻击,包括Oracle数据库服务器、文件共享服务器、CRM及MES系统服务器在内的全部文件被加密,扩展名统一变更为.brz后缀,每个文件夹内均出现黑客留下的information.html勒索信文件,企业核心业务全面瘫痪。
客户不仅需要解密恢复数据,更希望查明入侵途径、彻底封堵安全漏洞以防止再次遭受攻击。云天数据恢复中心工程师团队立即启动应急响应机制,同步开展全网络溯源分析与数据解密恢复两项工作。
BRZ勒索病毒加密特征
BRZ勒索病毒是近年来活跃于企业服务器攻击领域的变种之一,其加密特征十分明显:
- 文件扩展名变更:所有被加密文件的扩展名统一变更为 .brz,原始文件名结构被保留但无法正常打开。即使手动将扩展名修改回原始格式,文件内容仍为加密乱码,无法读取。
- 勒索信特征:感染后在每个文件夹内生成名为 information.html 的勒索信文件,预留黑客联系邮箱为 hunter505@cock.li 和 supp_brz@tutamail.com,要求支付赎金以获取解密工具。
- 加密算法:采用高强度的RSA+AES混合加密算法,文件底层数据结构被完全改写,无法通过简单修改扩展名或常规修复工具恢复。
- 传播方式:主要通过RDP远程桌面暴力破解和系统漏洞植入,入侵后在内网进行横向渗透,重点攻击数据库服务器和文件共享服务器。
▲ 所有文件扩展名均被加密为 .brz 后缀
▲ 文件夹内出现的 information.html 勒索信
全网络溯源分析与数据检测
客户的核心诉求不仅仅是解密数据,更希望从根源上解决问题——查明黑客是如何进来的、漏洞在哪里、如何避免再次被攻击。云天数据恢复中心立即安排安全工程师对整个网络环境进行深度溯源分析。
▲ 工程师对全网进行入侵路径溯源分析
溯源分析结论
经过对网络日志、系统事件记录及进程行为的全面分析,工程师得出以下结论:
- 入侵入口:黑客利用操作系统未修补的高危漏洞结合RDP(远程桌面协议)暴力破解,早在事发前一周就已成功渗透进入企业内网。
- 横向扩展:进入内网后,黑客进行了一周以上的横向渗透攻击,重点对服务器网段进行RDP爆破,陆续获得了多台服务器的管理员权限。
- 安全盲区:在长达一周多的入侵过程中,客户的防火墙和杀毒软件始终未触发任何告警,安全系统形同虚设。这说明传统安全产品对新型勒索病毒的检测能力严重不足。
- 投毒方式:黑客在获得足够权限后,于6月5日凌晨集中投放BRZ勒索病毒,对多台服务器同步执行加密操作,一次性瘫痪企业核心业务系统。
工程师对加密文件进行了底层数据分析。从十六进制层面可以清晰看到,文件数据结构已被完整加密,呈现完全不可读的乱码状态:
▲ 仅修改文件扩展名后打开文件仍然显示乱码
▲ 文件底层十六进制数据显示为加密状态,无法直接读取
⚠ 重要提醒:大部分企业遭受勒索病毒攻击并非被黑客定向打击,而是因为系统漏洞太多,被黑客"广撒网"式扫描发现后轻易突破。现有大部分企业的网络安全防护水平,只要被扫描到,入侵几乎没有太大难度——只是时间早晚的问题。企业务必高度重视数据安全,中毒只是迟早的事。
恢复流程与结果
云天数据恢复中心已处理过多起BRZ勒索病毒攻击案例,对该变种的加密机制和文件结构已有深入研究成果,技术方案成熟可靠。在获得客户授权后,工程师团队立即启动了以下恢复流程:
- 安全隔离——将受感染服务器断网隔离,防止病毒在内网继续扩散。同时在安全环境中制作全盘镜像副本,确保原始数据只读操作,所有恢复工作在镜像上进行。
- Oracle数据库优先解密——作为企业最核心的数据资产,Oracle数据库被列为最高优先级。工程师利用此前多起BRZ案例积累的解密算法研究成果,对数据库文件(.dbf、控制文件、重做日志等)进行全量解密,完成后立即交付客户进行业务功能验证。
- 文件共享服务器解密——对企业内部文件共享服务器中大量被加密的文档、表格、图纸等办公数据进行批量解密,交付客户逐一核对数据完整性。
- CRM及MES系统解密——对客户关系管理系统和生产执行系统进行全量解密与功能验证,确保业务系统恢复正常运行。
- 安全加固——在数据恢复完成后,工程师根据溯源分析结论,为企业提供系统漏洞修补、RDP安全策略加固、防火墙规则优化等安全整改方案,从根本上封堵入侵通道。
▲ 解密后同一个文件正常打开,数据完整无损坏
✔ 最终结果:经24小时连续奋战,Oracle数据库、文件共享服务器、CRM系统及MES系统全部100%完整恢复。客户验收确认所有应用系统功能正常,共享数据完整。同时完成全网络安全加固,消除了再次被攻击的隐患。
💡 技术说明:BRZ勒索病毒,云天数据恢复中心已成功处理多起案例,对该变种的文件加密机制和底层数据结构有深入研究,可实现对加密文件及数据库的完整解密,确保应用系统及各类数据100%恢复至最初状态,且无需向黑客支付任何赎金。
勒索病毒预防建议
本案核心教训
该企业部署了防火墙和杀毒软件,但黑客在长达一周多的入侵过程中,安全系统始终未曾告警。这充分说明:传统单点安全防护手段对新型勒索病毒的检测能力严重不足。企业必须建立多层次纵深防御体系,并定期进行安全巡检和渗透测试,才能有效降低被攻击的风险。
一、数据备份——最硬的最后一道防线,没有之一
如果你手里有一份干干净净、没被加密的备份,黑客就拿你没办法。备份的核心原则是"3-2-1":至少3份备份、2种不同介质(如外接硬盘+云盘)、1份异地存放,绝对不要跟主数据放在同一个物理位置。还有两个最容易踩的坑:备份完成后立即断开连接——把外接硬盘插着不动,等于把备份也送给了勒索病毒;定期测试恢复——别等到真出事才发现备份早就坏了。
二、打补丁——堵住入侵通道
绝大多数勒索病毒不是靠高深技术打进来的,而是钻了你长期没修补的系统漏洞。通俗点说:黑客就像专偷没锁门的人家。开启操作系统的自动更新,别看见"更新提醒"就点"稍后";服务器和常用软件(浏览器、办公套件、Java、PDF阅读器等)定期检查升级,已经停止维护的旧系统(Windows 7、XP等)最好直接淘汰。
三、端口管理——不该开的门坚决关闭
很多勒索病毒走的是RDP远程桌面端口(3389)和SMB网络共享端口(135、139、445等)。如果你不需要这些功能,直接关掉即可。如果必须开远程登录,务必设置IP白名单——只允许特定IP访问,并使用高强度密码+账户锁定策略,暴力破解工具速度惊人,弱密码几分钟就能攻破。
四、杀毒软件、防火墙、EDR——只管开,别关
杀毒软件和防火墙不是你电脑卡顿的原因,而是它能安全运行的保障。安装正规安全软件,确保实时监控和定期全盘扫描都开着;防火墙保持启用状态,别为了省事直接关掉;企业建议部署EDR(高级端点检测与响应),它能比传统杀毒软件更早发现可疑行为;定期检查安全软件是否还在正常工作——很多勒索病毒在入侵后会尝试关闭Windows Defender等防护功能。
五、安全意识——人才是最大的防线
每年这么多企业中招,不是技术不行,是人疏忽了。钓鱼邮件是黑客最常用的敲门砖:伪装成银行通知、快递包裹、发票账单、年会通知等,引诱点击附件或链接。更麻烦的是,AI生成的钓鱼邮件已经可以模仿企业内部用语和格式,普通人很难分辨。记住"四不要":不点击来源不明的邮件(哪怕发件人是"认识的人");不下载不明来源的附件(尤其.exe和Office宏文档);不访问色情、赌博、盗版软件网站;不轻信要求"启用宏""下载插件""更新播放器"的弹窗。企业应定期对全体员工进行网络安全培训。
六、强密码+多因素认证——别把钥匙挂在门口
弱密码有多脆弱?攻击者用自动化的撞库工具,几秒钟就能试出"123456"或"password"这类密码。密码长度至少8位,包含大小写字母、数字、符号,不与设备IP或名称关联;不要多台设备共用同一个密码——一旦一台沦陷,全部暴露;重要系统(邮箱、VPN、云管理后台、核心业务系统)强制开启多因素认证(MFA),即"密码+手机验证/指纹/人脸"双保险;有条件的企业建议部署堡垒机统一管理服务器访问权限。
七、网络隔离与权限控制——降低攻击者的活动半径
一旦没防住让勒索病毒闯进来了,还能怎么办?答案是让它在你的网络里跑不远。网络分段:把核心服务器、办公网络、访客网络分开部署,用防火墙做隔离,核心数据区只允许特定设备访问;最小权限原则:给员工分配最低需要的权限,不是人人都能读写全部文件;VPN只授权访问必要的业务系统,不要一把给整个内网的访问权限;备份服务器的访问权限严格控制,防止勒索病毒把备份也一并加密。
专业数据安全服务
云天科技专注企业数据安全,深耕行业十五年。我们已累计处理超过5000例勒索病毒应急响应事件,深入分析系统漏洞与应用软件漏洞,与国内及国际顶级安全团队保持技术沟通,对各类文件系统及系统底层逆向有深入研究并积累了大量技术成果。
如果您重视数据安全但缺乏相关技术支撑,欢迎联系我司洽谈安全运维服务。
24小时服务热线:18012660223
相关案例推荐:
