企业-勒索病毒应急响应流程
字数 1700 2025-08-22 12:22:59

企业勒索病毒应急响应流程(Windows/Linux)

一、勒索病毒概述

  1. 勒索病毒现状

    • 目前危害最高的安全事件之一
    • 99%无法解密
    • 常见特征:文件加后缀、留下勒索文本

  2. 常见加密文件类型

    • 文档类:.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf
    • 数据库类:.sql, .mdb, .accdb, .dbf
    • 代码类:.java, .php, .asp, .jsp
    • 压缩包类:.zip, .rar, .7z
    • 多媒体类:.mp3, .mp4, .avi, .jpg, .png

  3. 常见加密后文件后缀

    • .WNCRYT, .lock, .pre_alpha, .aes, .aes_ni
    • .xdata, .aes_ni_0day, .pr0tect
    • [stopstorage@qq.com].java

二、应急响应准备

  1. 确认感染者信息

    • 网络拓扑图
    • 主机信息表:
    系统名称 IP地址 端口开放 主机类型 主机名 操作系统
    Server-DB1 110.xx.xxx.1 80,3389 物理机 DB Windows 2008

  2. 确认感染时间

    • Linux:使用stat命令查看文件三时间
      • access time(访问时间)
      • modify time(内容修改时间)
      • change time(属性改变时间)
    • Windows
      • 右键查看文件属性
      • 或使用命令: 
        dir a.docx /t:w  # 文件修改时间
dir a.docx /t:a  # 文件访问时间
dir a.docx /t:c  # 文件创建时间

三、临时处置方法

  1. 被感染主机

    • 立即隔离:禁用网卡或拔掉网线
    • 禁止使用U盘、移动硬盘等外接设备

  2. 未被感染主机

    • 关闭SSH、RDP等远程协议
    • 更改所有主机密码
    • 备份重要数据并与主机隔离
    • 禁止接入外接存储设备

四、Windows系统排查

1. 文件排查

  • 开机启动项

    • msconfig查看自启文件
    • 检查C:\Windows\Temp目录异常文件

  • Recent目录

    • win+R输入%UserProfile%\Recent
    • 按时间排序查找可疑文件

  • 文件时间异常

    • 修改时间早于创建时间为可疑文件

2. 进程排查

  • 网络连接

    netstat -ano  # 查看所有连接
netstat -ano | findstr ESTABLISHED  # 筛选已建立连接

  • 进程定位

    tasklist | findstr [PID]  # 根据PID查进程
wmic process | findstr "进程名"  # 查进程详细信息

3. 系统信息排查

  • 环境变量

    • 检查temp路径、PATH变量异常
    • 打开方式:sysdm.cpl → 高级 → 环境变量

  • 计划任务

    • 计算机管理 → 任务计划程序
    • taskschd.msc

  • 用户账号

    net user  # 查看用户(不显示隐藏用户)
reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names  # 查看所有用户(需管理员权限)

  • 系统会话

    query user  # 查看当前会话
logoff [ID]  # 踢出用户

  • 系统补丁

    systeminfo  # 查看系统版本和补丁信息

4. 工具排查

  • PC Hunter

    • 功能:进程/驱动/钩子/注册表等全面检测
    • 颜色标识:
      • 黑色:微软签名驱动
      • 蓝色:非微软签名驱动
      • 红色:可疑对象

  • Process Explorer

    • 进程监控工具

  • Microsoft Network Monitor

    • 网络协议分析工具

5. 日志排查

  • 事件查看器
    • eventvwr打开
    • 主要分析安全日志
    • 可导出后使用正则匹配远程登录IP

五、Linux系统排查

1. 文件排查

  • 敏感目录检查

    ls -alt /tmp/  # 检查/tmp目录
ls -alt /usr/bin /usr/sbin  # 检查命令目录

  • 启动项检查

    ls -alt /etc/init.d/

  • 历史命令

    cat /root/.bash_history | more

  • 用户信息

    cat /etc/passwd  # 查看所有用户

  • 查找新增文件

    find ./ -mtime 0 -name "*.py"  # 24小时内修改的py文件
find / -ctime 2  # 72小时内新增文件

  • 特殊权限文件

    find / \*.txt -perm 4777

  • 隐藏文件

    ls -ar | grep "^\."

  • 计划任务

    crontab -l  # 查看当前用户计划任务
ls /etc/cron*  # 查看系统计划任务

2. 进程排查

  • 网络连接

    netstat -antlp | more

  • 进程定位

    ps aux | grep [PID]

3. 日志排查

  • 登录信息
    lastlog  # 所有用户最近登录
lastb    # 错误登录列表
last     # 最近登录信息

六、处置建议与防御措施

  1. 感染文件恢复

    • 使用360解密工具尝试恢复
    • 作为最后手段考虑支付赎金

  2. 防御措施

    • 安装终端防护软件(如360天擎)
    • 及时更新系统补丁
    • 制定严格的口令策略
    • 进行代码审计封堵漏洞
    • 使用全流量设备分析网络威胁

  3. 后续防护

    • 建立定期备份机制
    • 实施网络隔离策略
    • 开展安全意识培训
    • 部署入侵检测系统

七、总结

勒索病毒应急响应需要快速、有序地进行,关键步骤包括:

  1. 立即隔离感染主机
  2. 确认感染范围和传播途径
  3. 收集证据进行分析
  4. 采取遏制措施防止扩散
  5. 恢复系统和数据
  6. 总结经验完善防御

通过建立完善的应急响应流程和安全防护体系,可以有效降低勒索病毒带来的风险和损失。

企业勒索病毒应急响应流程(Windows/Linux) 一、勒索病毒概述 勒索病毒现状 : 目前危害最高的安全事件之一 99%无法解密 常见特征:文件加后缀、留下勒索文本 常见加密文件类型 : 文档类:.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf 数据库类:.sql, .mdb, .accdb, .dbf 代码类:.java, .php, .asp, .jsp 压缩包类:.zip, .rar, .7z 多媒体类:.mp3, .mp4, .avi, .jpg, .png 常见加密后文件后缀 : .WNCRYT, .lock, .pre_ alpha, .aes, .aes_ ni .xdata, .aes_ ni_ 0day, .pr0tect [ stopstorage@qq.com ].java 二、应急响应准备 确认感染者信息 : 网络拓扑图 主机信息表: | 系统名称 | IP地址 | 端口开放 | 主机类型 | 主机名 | 操作系统 | |---------|--------|----------|----------|--------|----------| | Server-DB1 | 110.xx.xxx.1 | 80,3389 | 物理机 | DB | Windows 2008 | 确认感染时间 : Linux :使用 stat 命令查看文件三时间 access time(访问时间) modify time(内容修改时间) change time(属性改变时间) Windows : 右键查看文件属性 或使用命令: 三、临时处置方法 被感染主机 : 立即隔离:禁用网卡或拔掉网线 禁止使用U盘、移动硬盘等外接设备 未被感染主机 : 关闭SSH、RDP等远程协议 更改所有主机密码 备份重要数据并与主机隔离 禁止接入外接存储设备 四、Windows系统排查 1. 文件排查 开机启动项 : msconfig 查看自启文件 检查 C:\Windows\Temp 目录异常文件 Recent目录 : win+R 输入 %UserProfile%\Recent 按时间排序查找可疑文件 文件时间异常 : 修改时间早于创建时间为可疑文件 2. 进程排查 网络连接 : 进程定位 : 3. 系统信息排查 环境变量 : 检查temp路径、PATH变量异常 打开方式: sysdm.cpl → 高级 → 环境变量 计划任务 : 计算机管理 → 任务计划程序 或 taskschd.msc 用户账号 : 系统会话 : 系统补丁 : 4. 工具排查 PC Hunter : 功能:进程/驱动/钩子/注册表等全面检测 颜色标识: 黑色:微软签名驱动 蓝色:非微软签名驱动 红色:可疑对象 Process Explorer : 进程监控工具 Microsoft Network Monitor : 网络协议分析工具 5. 日志排查 事件查看器 : eventvwr 打开 主要分析安全日志 可导出后使用正则匹配远程登录IP 五、Linux系统排查 1. 文件排查 敏感目录检查 : 启动项检查 : 历史命令 : 用户信息 : 查找新增文件 : 特殊权限文件 : 隐藏文件 : 计划任务 : 2. 进程排查 网络连接 : 进程定位 : 3. 日志排查 登录信息 : 六、处置建议与防御措施 感染文件恢复 : 使用360解密工具尝试恢复 作为最后手段考虑支付赎金 防御措施 : 安装终端防护软件(如360天擎) 及时更新系统补丁 制定严格的口令策略 进行代码审计封堵漏洞 使用全流量设备分析网络威胁 后续防护 : 建立定期备份机制 实施网络隔离策略 开展安全意识培训 部署入侵检测系统 七、总结 勒索病毒应急响应需要快速、有序地进行,关键步骤包括: 立即隔离感染主机 确认感染范围和传播途径 收集证据进行分析 采取遏制措施防止扩散 恢复系统和数据 总结经验完善防御 通过建立完善的应急响应流程和安全防护体系,可以有效降低勒索病毒带来的风险和损失。