目錄

一、勒索病毒發(fā)作的特征? ?

二、勒索病毒的應(yīng)急響應(yīng)??

三、勒索病毒預(yù)防與事后加固??

一、勒索病毒發(fā)作的特征? ?

如果發(fā)現(xiàn)大量統(tǒng)一后綴的文件；發(fā)現(xiàn)勒索信在Linux/home、/usr等目錄，在Windows???桌面或者是被加密文件的文件夾下。如果存在以上特征情況，證明感染了勒索病毒并且已經(jīng)發(fā)作。

此時(shí)禁止插入U(xiǎn)盤或者是硬盤等移動(dòng)設(shè)備，因?yàn)椴糠掷账鞑《究赡軙?huì)感染移動(dòng)存儲(chǔ)設(shè)備，盲目插入U(xiǎn)盤或硬盤會(huì)使數(shù)據(jù)被加密，進(jìn)一步擴(kuò)大感染的范圍。

二、勒索病毒的應(yīng)急響應(yīng)??

（一）當(dāng)在確定感染勒索病毒后，我們首先要對(duì)感染的服務(wù)器或終端進(jìn)行斷網(wǎng)隔離處理。采取以下措施：

1.已感染的用戶，禁用網(wǎng)卡，同時(shí)拔掉機(jī)器的物理網(wǎng)線。

（Linux中ifconfig [NIC_NAME] Down或者ifdown [NIC_NAME]來禁用網(wǎng)卡）

?? ?

（Windows以管理員身份執(zhí)行命令行，輸入netsh interface set interface "網(wǎng)絡(luò)連接名字如：Ethernet0" disabled）?? ?

2.如果同一網(wǎng)段有多臺(tái)機(jī)器感染，可通過交換機(jī)進(jìn)行斷網(wǎng)。

3.已感染關(guān)鍵崗位電腦和重要服務(wù)器，立即關(guān)機(jī)，避免勒索病毒進(jìn)一步加密所有文件。

4.專人整理感染機(jī)器列表，供后續(xù)處置。同時(shí)可以通過使用專業(yè)的工具來提取勒索病毒文件名、文件路徑、文件大小、文件簽名、md5值、進(jìn)程路徑和名稱等特征，使用域控、單機(jī)或?qū)I(yè)桌面管理工具等進(jìn)行操作，迅速進(jìn)行全網(wǎng)排查。對(duì)存在感染勒索病毒特征的機(jī)器，進(jìn)行斷網(wǎng)隔離，并刪除勒索病毒文件和進(jìn)程，同時(shí)持續(xù)監(jiān)控是否繼續(xù)感染，防止病毒的感染范圍進(jìn)一步擴(kuò)大。

? ? ? ? ??

（二）針對(duì)勒索病毒的特征，如后綴名，勒索信等指紋特征，嘗試確定勒索病毒所屬家族，并查找是否存在解密的可能性。?? ?

（https://noransom.kaspersky.com/??卡巴斯基勒索病毒恢復(fù)網(wǎng)站）

（https://www.nomoreransom.org/??國(guó)際刑警組織反勒索病毒網(wǎng)站）

? ? ? ? ??

? ? ? ? ??

同時(shí)還有一部分勒索病毒是加密原文件副本再刪除原文件，而原文件有些會(huì)用隨機(jī)數(shù)覆蓋，有些并沒有。原文件沒有被覆蓋的情況我們就可以通過數(shù)據(jù)恢復(fù)的方式進(jìn)行恢復(fù)。除了收費(fèi)的專業(yè)數(shù)據(jù)恢復(fù)可以嘗試使用 DiskGenius 等工具掃描磁盤進(jìn)行數(shù)據(jù)恢復(fù)。

? ? ? ? ???? ?

（三）斷網(wǎng)隔離被感染的機(jī)器，進(jìn)行以下排查工作：

1.查看系統(tǒng)信息：

Linux命令:

?lscpu查看CPU信息

uname -a?查看操作系統(tǒng)的相關(guān)信息

? ? ? ? ??

Windows命令：

在命令行輸入msinfo32?? ?

2.排查CPU的占用情況，檢查是否有異常高占用的進(jìn)程。

Linux命令：

查看CPU占用率命令:top -ef | more???

top -S：累計(jì)顯示進(jìn)程的 CPU 使用時(shí)間。?? ?

?????top -p [PID]:僅顯示指定進(jìn)程ID的信息。

Windows命令：

查看CPU占用率：Win+r進(jìn)入運(yùn)行欄，輸入resmon進(jìn)入資源監(jiān)視器，即可查看CPU占用情況。勒索病毒可能會(huì)占用較多的CPU資源，我們進(jìn)行CPU占用率排查可以幫助我們快速定位。?? ?

? ? ? ? ??

3.排查可疑進(jìn)程：

在成功入侵后，攻擊者可以在計(jì)算機(jī)上開啟專屬的端口來訪問被害主機(jī)或植入病毒，所以通過排查可疑端口能確定主機(jī)是否存在后門、是否被植入挖礦病毒等，再根據(jù)端口的PID對(duì)可疑進(jìn)程對(duì)應(yīng)的程序排查，確定是否為惡意程序。

Linux命令：

ps -ef | more?? ?

Linux的定位進(jìn)程命令ps -ef | grep CMD

? ? ? ? ??

Windows命令：

netstat -ano | find “ESTABLISHED”?? ?

Windows使用如下命令來進(jìn)一步定位:tasklist | find “5175（PID）”

? ? ? ? ??

4.對(duì)檢查到的異常進(jìn)程進(jìn)行停止

Linux命令 ：

殺死進(jìn)程的命令：kill -9 PID

? ? ? ? ??

Windows命令：

殺死進(jìn)程，直接在資源監(jiān)視器結(jié)束進(jìn)程即可。?? ?

5.排查自啟動(dòng)項(xiàng)

自啟動(dòng)項(xiàng)是系統(tǒng)開機(jī)時(shí)在前臺(tái)或者后臺(tái)運(yùn)行的程序，攻擊者有可能通過自啟動(dòng)項(xiàng)使用病毒后門等實(shí)現(xiàn)持久化控制。

Linux命令：

ls -alt/etc/init.d

?? ?

Windows命令：

Win+r進(jìn)入輸入欄，輸入taskschd.msc，即可調(diào)出任務(wù)計(jì)劃程序。

Win+r進(jìn)入輸入欄，輸入powershell，進(jìn)入powershell命令行頁(yè)面，輸入Get-ScheduledTask可以查看計(jì)劃任務(wù)的路徑，名稱，狀態(tài)。?? ?

6.檢查是否存在未知的計(jì)劃任務(wù)

計(jì)劃任務(wù)是攻擊者維持權(quán)限的常用手段。

Linux命令：

查看當(dāng)前的計(jì)劃任務(wù)?crontab -l

Windows命令：

Win+r在運(yùn)行欄中輸入taskschd.msc可以查看任務(wù)的名稱，狀態(tài)，觸發(fā)器等信息。

?? ?

? ? ? ? ??

Win+r輸入Powershell，之后在Powershell命令行輸入Get-ScheduledTask可以查看計(jì)劃任務(wù)的路徑，名稱，狀態(tài)。

? ? ? ? ??

7.檢查是否存在異常服務(wù)

??異常服務(wù)是攻擊者維持權(quán)限的常用手段，我們要重點(diǎn)注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。?? ?

Linux命令：

systemctl list-unit-files

Windows命令：

win+r調(diào)用出運(yùn)行欄輸入services.msc        

? ? ? ? ??

8.檢查異常外鏈行為，檢查是否存在高危端口的鏈接和與國(guó)外IP的鏈接。

Linux命令：

netstat -tunlp

Windows命令：

netstat -ano?? ?

? ? ? ? ??

? ? ? ? ??

9.檢查是否存在未知特權(quán)用戶或者隱藏用戶

Linux命令：

1.查看所有用戶信息?cat /etc/passwd

用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell?? ?

最后顯示的 /bin/bash 表示該用戶可登錄; sbin/nologin不可登錄

2.root賬戶排查

輸入命令?awk -F: '{if($3==0) print $1}' /etc/passwd??可查詢可登錄賬戶 UID 為0的賬戶,root是 UID為0的可登錄賬戶，如果出現(xiàn)其他為 0 的賬戶，就要重點(diǎn)排查

3.查看所有可登錄賬戶?

命令行輸入?cat /etc/passwd | grep '/bin/bash'?

4.查看最后登錄用戶以及相關(guān)日志?? ?

命令行輸入?lastb可查看顯示用戶錯(cuò)誤的登錄列表，包括錯(cuò)誤的登錄方法、IP 地址、時(shí)間等

命令行輸入?lastlog查看最后登錄的日志信息

5.排查空口令賬戶

命令行輸入?awk -F: 'length($2)==0 {print $1}' /etc/shadow

如果有用戶是空口令就會(huì)顯示出來

? ? ? ? ??

Windows命令

wmic useraccount get name,SID查看系統(tǒng)中的用戶信息?? ?

黑客創(chuàng)建的某些隱藏賬戶通過dos指令無法發(fā)現(xiàn)， 但是當(dāng)我們查看注冊(cè)表時(shí)就可以發(fā)現(xiàn)；通過注冊(cè)表檢查是否存在賬戶名為“xxx$”或修改注冊(cè)表創(chuàng)建的隱藏賬戶，再檢查是否存在可疑賬戶，并進(jìn)行禁用。

注冊(cè)表路徑：給SAM目錄添加當(dāng)前用戶可讀寫屬性

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

?? ?

同時(shí)，在此項(xiàng)下導(dǎo)出所有以 00000 開頭的項(xiàng)，將所有導(dǎo)出的項(xiàng)與 000001F4 (該項(xiàng)對(duì)應(yīng)Administrator用戶)導(dǎo)出內(nèi)容做比較，若其中的 F 值相同，則表示可能為克隆賬戶?。?！

10.日志審查

Linux命令：

系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。

日志默認(rèn)存放位置：/var/log/

查看日志配置情況：more /etc/rsyslog.conf

? ? ? ? ??

常用篩選命令：

grep命令詳細(xì)；awk命令詳細(xì)；uniq命令詳細(xì)；sort命令詳細(xì)；正則表達(dá)式詳細(xì)

1.定位有多少IP在爆破主機(jī)的root帳號(hào)：???

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

（從/var/log/secure中篩選文本中包含”Failed password for root”,輸出secure中的第11行，進(jìn)行去重，同時(shí)確認(rèn)出現(xiàn)的次數(shù)。）

? ? ? ? ??

2.定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

? ? ? ? ??

3.爆破用戶名字典是什么：?? ?

?grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

4.登錄成功的IP有哪些：????

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

? ? ? ? ??

5.登錄成功的日期、用戶名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

? ? ? ? ??

Windows命令：

Windows日志包含以下元素：日期/時(shí)間、事件類型、用戶、計(jì)算機(jī)、事件ID、來源、類別、描述、數(shù)據(jù)等信息。

包含三種日志類型

系統(tǒng)日志：記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅(qū)動(dòng)程序、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)丟失錯(cuò)誤等。系統(tǒng)日志中記錄的時(shí)間類型由Windows?NT/2000操作系統(tǒng)預(yù)先定義。

默認(rèn)：%SystemRoot%\System32\Winevt\Logs\System.evtx

? ? ? ? ???? ?

應(yīng)用程序日志：包含由應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運(yùn)行方面的事件，例如數(shù)據(jù)庫(kù)程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤，程序開發(fā)人員可以自行決定監(jiān)視哪些事件。

默認(rèn)：%SystemRoot%\System32\Winevt\Logs\Application.evtx

? ? ? ? ??

安全日志:記錄系統(tǒng)的安全審計(jì)事件，包含各種類型的登錄日志、對(duì)象訪問日志、進(jìn)程追蹤日志、特權(quán)使用、帳號(hào)管理、策略變更、系統(tǒng)事件。安全日志也是調(diào)查取證中最常用到的日志。默認(rèn)設(shè)置下，安全性日志是關(guān)閉的，管理員可以使用組策略來啟動(dòng)安全性日志，或者在注冊(cè)表中設(shè)置審核策略，以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。

默認(rèn)：%SystemRoot%\System32\Winevt\Logs\Security.evtx

常見的安全事件ID號(hào)

? ? ? ? ???? ?

? ? ? ? ??

登錄類型

? ? ? ? ??

其他一些應(yīng)用的日志：

IIS日志位置：

? ? ? ? ??

Apache日志位置：

? ? ? ? ??

Nginx日志位置：

默認(rèn)在 /usr/local/nginx/Togs 目錄下，access.log 代表訪問日志error.log 代表錯(cuò)誤日志。若沒有在默認(rèn)路徑下，則可以到nginx.conf 配置文件中香找。

? ? ? ? ??

Tomcat 日志的位置:

默認(rèn)在 TOMCAT HOME/Logs/ 目錄下，有 catalina.out、catalina.YYYY-MM- DD.og、localhost.YYYY-MM-DD.og.ocalhost access log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.g、manager.YYYY-MM-DD.log 等幾類日志。

? ? ? ? ??

WebLogic日志的位置:?? ? ? ? ?
在默認(rèn)情況下，WebLogic 有三種日志，分別是 access og、server log 和 domain log?? ?

? ? ? ?

11.異常文件檢查

Linux命令：

1、查看敏感目錄，如/tmp目錄下的文件，同時(shí)注意隱藏文件夾，以“..”為名的文件夾具有隱藏屬性

2、查找異常文件，可以使用find命令來查找，如?find /opt -iname "*" -atime 1 -type f?找出 /opt下,一天前訪問過的文件

3、針對(duì)可疑文件可以使用stat filename查看文件的創(chuàng)建修改時(shí)間。

?? ?

Windows命令：

查看最近修改的文件win+r進(jìn)入運(yùn)行欄，輸入recent。

在搜索欄輸入 *.后綴 即可搜索

12.安裝殺毒軟件

Liunx命令：

Clamav下載：http://www.clamav.net/download.html

安裝教程參照如下：

https://blog.csdn.net/oracle_drower/article/details/134421075?? ?

https://blog.csdn.net/qq_39564555/article/details/123300014

Windows命令：

1.病毒分析

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

? ? ? ? ???? ?

2.病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe（推薦理由：綠色版、最新病毒庫(kù)）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫(kù)）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.#/download_center.html

? ? ? ? ??

3.病毒動(dòng)態(tài)

CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn

微步在線威脅情報(bào)社區(qū)：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區(qū)：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

? ? ? ? ???? ?

4.在線病毒掃描網(wǎng)站

http://www.virscan.org?//多引擎在線病毒掃描網(wǎng) v1.02，當(dāng)前支持 41 款殺毒引擎

https://habo.qq.com?//騰訊哈勃分析系統(tǒng)

https://virusscan.jotti.org?//Jotti惡意軟件掃描系統(tǒng)

http://www.scanvir.com?//針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件等進(jìn)行檢測(cè)分析

? ? ? ? ??

三、勒索病毒預(yù)防與事后加固??

（一）勒索病毒的預(yù)防措施：

1.合理的網(wǎng)絡(luò)隔離：

采用合理的網(wǎng)絡(luò)分區(qū)，可以極大的限制勒索病毒的入侵和傳播。如根據(jù)不同業(yè)務(wù)需要將網(wǎng)絡(luò)分為隔離區(qū)、內(nèi)網(wǎng)區(qū)、外來接入?yún)^(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)等，并限制不同分區(qū)間的網(wǎng)絡(luò)訪問。在同一分區(qū)內(nèi)，采用虛擬局域網(wǎng)技術(shù)隔離不同部門資產(chǎn)，降低由于單一設(shè)備感染勒索病毒，導(dǎo)致勒索病毒在內(nèi)部網(wǎng)絡(luò)進(jìn)一步傳播的可能。

? ? ? ? ??

2.嚴(yán)格且精準(zhǔn)的訪問控制：

對(duì)組織關(guān)鍵業(yè)務(wù)系統(tǒng)設(shè)置嚴(yán)格的訪問權(quán)限，如按照權(quán)限最小化原則開放必要的訪問權(quán)限、根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則等。及時(shí)對(duì)訪問控制規(guī)則進(jìn)行更新，刪除多余或無效的訪問控制規(guī)則，如定期對(duì)開放的訪問權(quán)限進(jìn)行梳理，及時(shí)刪除因人員離職、資產(chǎn)IP 變更后存留的訪問權(quán)限。?? ?

? ? ? ? ??

? ? ? ? ??

3.定期進(jìn)行資產(chǎn)梳理：

排查組織資產(chǎn)暴露情況，梳理暴露資產(chǎn)真實(shí)范圍，梳理范圍涵蓋組織分公司、下級(jí)機(jī)構(gòu)等相關(guān)資產(chǎn)，梳理時(shí)間根據(jù)自身實(shí)際情況如每周、月、半年等進(jìn)行資產(chǎn)梳理。按照最小化原則，盡可能減少在資產(chǎn)互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露，同時(shí)對(duì)高危端口使用安全設(shè)備進(jìn)行修改或者限制。

? ? ? ? ??

4.定期漏洞排查：

對(duì)組織資產(chǎn)進(jìn)行漏洞排查，一旦發(fā)現(xiàn)資產(chǎn)存在安全漏洞，及時(shí)進(jìn)行修補(bǔ)。采用漏洞掃描等設(shè)備和產(chǎn)品的，對(duì)漏洞掃描設(shè)備進(jìn)行集中管理，建立完整、持續(xù)的漏洞發(fā)現(xiàn)和管理手段;具備導(dǎo)入第三方漏洞報(bào)告能力，支持導(dǎo)入和分析主流廠家漏洞和配置核查掃描結(jié)果;針對(duì)掃描的漏洞結(jié)果加強(qiáng)漏洞知識(shí)庫(kù)關(guān)聯(lián)，及時(shí)獲取漏洞信息和解決方案等。

? ? ? ? ??

5.身份鑒別:

對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別，如保證身份標(biāo)識(shí)具有唯一性、采用動(dòng)態(tài)口令等兩種或兩種以上身份鑒別、具備防范口令暴力破解的能力、口令等身份鑒別信息符合復(fù)雜度要求并定期更換、推行口令定期強(qiáng)制修改和出廠口令修改等。同時(shí)，通過采用掃描軟硬件對(duì)系統(tǒng)口令定期進(jìn)行安全性評(píng)估，識(shí)別發(fā)現(xiàn)并及時(shí)消除弱口令安全風(fēng)險(xiǎn)。?? ?

? ? ? ? ??

6.軟件管理:

規(guī)范組織內(nèi)部軟件版本管理機(jī)制，避免使用盜版或來路不明的軟件，使用軟件風(fēng)險(xiǎn)評(píng)估系統(tǒng)或工具定期檢測(cè)關(guān)鍵業(yè)務(wù)系統(tǒng)使用的相關(guān)軟件版本，避免由于軟件版本低引發(fā)安全風(fēng)險(xiǎn)。基于網(wǎng)絡(luò)流量對(duì)組織內(nèi)部訪問“風(fēng)險(xiǎn)網(wǎng)站”進(jìn)行檢測(cè)和阻斷，降低由于下載和安裝惡意軟件，導(dǎo)致感染勒索病毒的可能。

? ? ? ? ??

7.供應(yīng)鏈管理:

部署供應(yīng)鏈安全風(fēng)險(xiǎn)防控措施，包括供應(yīng)鏈相關(guān)人員管理、供應(yīng)鏈生命周期管理、采購(gòu)?fù)獍c供應(yīng)商管理。采用的網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、密碼產(chǎn)品等產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定。與選定的供應(yīng)商簽訂協(xié)議，明確供應(yīng)鏈各方履行的安全責(zé)任和義務(wù)，定期審視、評(píng)審和審核供應(yīng)商提供的服務(wù)，對(duì)其變更服務(wù)內(nèi)容加以控制。

? ? ? ? ??

8.部署專業(yè)網(wǎng)絡(luò)安全產(chǎn)品:

在終端側(cè)、網(wǎng)絡(luò)側(cè)等部署網(wǎng)絡(luò)安全產(chǎn)品，并日常排查設(shè)備告警情況。例如，在終端側(cè)，部署殺毒軟件、終端安全管理系統(tǒng)等安全軟件，不隨意退出安全軟件、關(guān)閉防護(hù)功能、執(zhí)行放行操作等，并設(shè)立應(yīng)用軟件白名單，及時(shí)保持白名單的準(zhǔn)確性、完整性、實(shí)時(shí)性;在網(wǎng)絡(luò)側(cè)，部署防火墻，堡壘機(jī)等網(wǎng)絡(luò)安全設(shè)備，限制用戶對(duì)系統(tǒng)的訪問；部署IPS流量監(jiān)測(cè)阻斷設(shè)備，以識(shí)別和阻斷勒索病毒的傳播。?? ?

? ? ? ? ??

9.加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí):

以培訓(xùn)、演練等提高網(wǎng)絡(luò)安全意識(shí)，在員工層面切斷勒索病毒傳播的入口。例如，在文件方面，不點(diǎn)擊來源不明的郵件附件、打開郵件附件前進(jìn)行安全查殺等;在網(wǎng)站方面，不從不明網(wǎng)站下載軟件等;在外接設(shè)備方面，不混用工作和私人的外接設(shè)備、關(guān)閉移動(dòng)存儲(chǔ)設(shè)備自動(dòng)播放功能并定期進(jìn)行安全查殺等。

? ? ? ? ??

10.做好重要數(shù)據(jù)備份工作:

根據(jù)文件和數(shù)據(jù)的重要程度分類分級(jí)進(jìn)行存儲(chǔ)和備份，如主動(dòng)加密存儲(chǔ)重要、敏感的數(shù)據(jù)和文件，防范利用勒索病毒的雙重或多重勒索行為。明確數(shù)據(jù)備份的范圍、內(nèi)容、周期等，定期采取本地備份、異地備份、云端備份等多種方式進(jìn)行數(shù)據(jù)備份，增加遭受勒索病毒攻擊且數(shù)據(jù)文件加密、損壞、丟失等情況下恢復(fù)數(shù)據(jù)的可能。

? ? ? ? ??

（二）勒索病毒的事后加固

1.利用備份數(shù)據(jù)進(jìn)行恢復(fù):

根據(jù)遭受勒索病毒攻擊影響相關(guān)設(shè)備數(shù)據(jù)備份的情況，按照數(shù)據(jù)恢復(fù)要求、備份日志，衡量數(shù)據(jù)恢復(fù)時(shí)間成本、數(shù)據(jù)重要程度，確認(rèn)數(shù)據(jù)恢復(fù)范圍、順序及備份數(shù)據(jù)版本，利用離線、異地、云端等備份數(shù)據(jù)恢復(fù)。?? ?

? ? ? ? ??

2.恢復(fù)感染設(shè)備正常使用:

感染勒索病毒設(shè)備再次投入使用的，在采取磁盤格式化、系統(tǒng)重裝、刪除可疑文件和程序、消除勒索信息和加密文件等措施的情況下，避免二次感染勒索病毒，再恢復(fù)設(shè)備正常使用。

? ? ? ? ??

3.進(jìn)行完整的溯源:

通過對(duì)攻擊的完整溯源，可以幫助企業(yè)發(fā)現(xiàn)存在的薄弱點(diǎn)，及時(shí)加以修復(fù)，同時(shí)也可以幫助企業(yè)發(fā)現(xiàn)攻擊者的行為模式和特點(diǎn),幫助企業(yè)形成立體的網(wǎng)絡(luò)安全防線,從而提高對(duì)未來攻擊的預(yù)警能力。

? ? ? ? ??

4.加強(qiáng)網(wǎng)絡(luò)安全隱患修補(bǔ):

在消除勒索病毒攻擊影響的情況下，開展網(wǎng)絡(luò)安全隱患排查和修補(bǔ)。例如，在權(quán)限管理方面，重點(diǎn)排查弱口令、賬戶權(quán)限、口令更新和共用等問題；在漏洞修補(bǔ)方面，及時(shí)更新系統(tǒng)、軟件、硬件等漏洞補(bǔ)?。辉诒┞睹媸崂矸矫?，檢查本企業(yè)在互聯(lián)網(wǎng)上的暴露面，檢查是否存在暴露的高危端口如（21,22,135,139,445等）。

? ? ? ? ??

5.加強(qiáng)終端安全防護(hù)：

確保終端設(shè)備和服務(wù)器上安裝了有效的防病毒軟件和EDR功能模塊 ，防病毒軟件可以掃描系統(tǒng)和文件，有效防止惡意文件落地；EDR可以更有效的防護(hù)惡意文件攻擊、漏洞攻擊，有效阻斷安全威脅，同時(shí)會(huì)產(chǎn)生流量走向、內(nèi)存活動(dòng)、帳戶信息以及異常操作等風(fēng)險(xiǎn)告警，幫助安全團(tuán)隊(duì)快速定位威脅和溯源入口。?? ?

? ? ? ? ??

6.構(gòu)建內(nèi)網(wǎng)威脅發(fā)現(xiàn)能力：

通過誘捕機(jī)制及時(shí)感知到惡意文件在內(nèi)網(wǎng)無威脅探測(cè)階段的異常行為，并進(jìn)行預(yù)警，通過快速響應(yīng)能夠最大限度的減少甚至避免惡意文件對(duì)內(nèi)部服務(wù)器造成的影響。?? ?文章來源地址http://www.zghlxwxcb.cn/news/detail-855564.html

到了這里，關(guān)于服務(wù)器病毒木馬通用排查處理應(yīng)急響應(yīng)流程的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！