企业勒索病毒应急响应流程（Windows\/Linux）<\/h1>

一、勒索病毒概述<\/h2>

勒索病毒现状<\/strong>：<\/p>

目前危害最高的安全事件之一<\/li>
99%无法解密<\/li>
常见特征：文件加后缀、留下勒索文本<\/li> <\/ul> <\/li>

常见加密文件类型<\/strong>：<\/p>

文档类：.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf<\/li>
数据库类：.sql, .mdb, .accdb, .dbf<\/li>
代码类：.java, .php, .asp, .jsp<\/li>
压缩包类：.zip, .rar, .7z<\/li>
多媒体类：.mp3, .mp4, .avi, .jpg, .png<\/li> <\/ul> <\/li>

常见加密后文件后缀<\/strong>：<\/p>

.WNCRYT, .lock, .pre_alpha, .aes, .aes_ni<\/li>
.xdata, .aes_ni_0day, .pr0tect<\/li>
[stopstorage@qq.com].java<\/li> <\/ul> <\/li> <\/ol>
二、应急响应准备<\/h2>

确认感染者信息<\/strong>：<\/p>

网络拓扑图<\/li>
主机信息表：<\/li> <\/ul>

系统名称<\/th> IP地址<\/th> 端口开放<\/th> 主机类型<\/th> 主机名<\/th> 操作系统<\/th> <\/tr> <\/thead>

Server-DB1<\/td> 110.xx.xxx.1<\/td> 80,3389<\/td> 物理机<\/td> DB<\/td> Windows 2008<\/td> <\/tr> <\/tbody> <\/table> <\/li>

确认感染时间<\/strong>：<\/p>

Linux<\/strong>：使用stat<\/code>命令查看文件三时间 access time(访问时间)<\/li> modify time(内容修改时间)<\/li> change time(属性改变时间)<\/li> <\/ul> <\/li> Windows<\/strong>：右键查看文件属性<\/li> 或使用命令： dir<\/span> a.docx \/t:w # 文件修改时间 <\/span><\/span>dir<\/span> a.docx \/t:a # 文件访问时间 <\/span><\/span>dir<\/span> a.docx \/t:c # 文件创建时间 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 三、临时处置方法<\/h2> 被感染主机<\/strong>：<\/p> 立即隔离：禁用网卡或拔掉网线<\/li> 禁止使用U盘、移动硬盘等外接设备<\/li> <\/ul> <\/li> 未被感染主机<\/strong>：<\/p> 关闭SSH、RDP等远程协议<\/li> 更改所有主机密码<\/li> 备份重要数据并与主机隔离<\/li> 禁止接入外接存储设备<\/li> <\/ul> <\/li> <\/ol> 四、Windows系统排查<\/h2> 1. 文件排查<\/h3> 开机启动项<\/strong>：<\/p> msconfig<\/code>查看自启文件<\/li> 检查C:\Windows\Temp<\/code>目录异常文件<\/li> <\/ul> <\/li> Recent目录<\/strong>：<\/p> win+R<\/code>输入%UserProfile%\Recent<\/code><\/li> 按时间排序查找可疑文件<\/li> <\/ul> <\/li> 文件时间异常<\/strong>：<\/p> 修改时间早于创建时间为可疑文件<\/li> <\/ul> <\/li> <\/ul> 2. 进程排查<\/h3> 网络连接<\/strong>：<\/p> netstat -ano # 查看所有连接 <\/span><\/span>netstat -ano | findstr ESTABLISHED # 筛选已建立连接 <\/span><\/span><\/code><\/pre><\/li> 进程定位<\/strong>：<\/p> tasklist | findstr [PID] # 根据PID查进程 <\/span><\/span>wmic process | findstr "进程名"<\/span> # 查进程详细信息 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 系统信息排查<\/h3> 环境变量<\/strong>：<\/p> 检查temp路径、PATH变量异常<\/li> 打开方式：sysdm.cpl<\/code> → 高级 → 环境变量<\/li> <\/ul> <\/li> 计划任务<\/strong>：<\/p> 计算机管理 → 任务计划程序<\/li> 或taskschd.msc<\/code><\/li> <\/ul> <\/li> 用户账号<\/strong>：<\/p> net user # 查看用户(不显示隐藏用户) <\/span><\/span>reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names # 查看所有用户(需管理员权限) <\/span><\/span><\/code><\/pre><\/li> 系统会话<\/strong>：<\/p> query user # 查看当前会话 <\/span><\/span>logoff [ID] # 踢出用户 <\/span><\/span><\/code><\/pre><\/li> 系统补丁<\/strong>：<\/p> systeminfo # 查看系统版本和补丁信息 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4. 工具排查<\/h3> PC Hunter<\/strong>：<\/p> 功能：进程\/驱动\/钩子\/注册表等全面检测<\/li> 颜色标识：黑色：微软签名驱动<\/li> 蓝色：非微软签名驱动<\/li> 红色：可疑对象<\/li> <\/ul> <\/li> <\/ul> <\/li> Process Explorer<\/strong>：<\/p> 进程监控工具<\/li> <\/ul> <\/li> Microsoft Network Monitor<\/strong>：<\/p> 网络协议分析工具<\/li> <\/ul> <\/li> <\/ul> 5. 日志排查<\/h3> 事件查看器<\/strong>： eventvwr<\/code>打开<\/li> 主要分析安全日志<\/li> 可导出后使用正则匹配远程登录IP<\/li> <\/ul> <\/li> <\/ul> 五、Linux系统排查<\/h2> 1. 文件排查<\/h3> 敏感目录检查<\/strong>：<\/p> ls -alt \/tmp\/ # 检查\/tmp目录<\/span> <\/span><\/span>ls -alt \/usr\/bin \/usr\/sbin # 检查命令目录<\/span> <\/span><\/span><\/code><\/pre><\/li> 启动项检查<\/strong>：<\/p> ls -alt \/etc\/init.d\/ <\/span><\/span><\/code><\/pre><\/li> 历史命令<\/strong>：<\/p> cat \/root\/.bash_history | more <\/span><\/span><\/code><\/pre><\/li> 用户信息<\/strong>：<\/p> cat \/etc\/passwd # 查看所有用户<\/span> <\/span><\/span><\/code><\/pre><\/li> 查找新增文件<\/strong>：<\/p> find .\/ -mtime 0<\/span> -name "*.py"<\/span> # 24小时内修改的py文件<\/span> <\/span><\/span>find \/ -ctime 2<\/span> # 72小时内新增文件<\/span> <\/span><\/span><\/code><\/pre><\/li> 特殊权限文件<\/strong>：<\/p> find \/ \*<\/span>.txt -perm 4777<\/span> <\/span><\/span><\/code><\/pre><\/li> 隐藏文件<\/strong>：<\/p> ls -ar | grep "^\."<\/span> <\/span><\/span><\/code><\/pre><\/li> 计划任务<\/strong>：<\/p> crontab -l # 查看当前用户计划任务<\/span> <\/span><\/span>ls \/etc\/cron* # 查看系统计划任务<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 进程排查<\/h3> 网络连接<\/strong>：<\/p> netstat -antlp | more <\/span><\/span><\/code><\/pre><\/li> 进程定位<\/strong>：<\/p> ps aux | grep [<\/span>PID]<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 日志排查<\/h3> 登录信息<\/strong>： lastlog # 所有用户最近登录<\/span> <\/span><\/span>lastb # 错误登录列表<\/span> <\/span><\/span>last # 最近登录信息<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 六、处置建议与防御措施<\/h2> 感染文件恢复<\/strong>：<\/p> 使用360解密工具尝试恢复<\/li> 作为最后手段考虑支付赎金<\/li> <\/ul> <\/li> 防御措施<\/strong>：<\/p> 安装终端防护软件(如360天擎)<\/li> 及时更新系统补丁<\/li> 制定严格的口令策略<\/li> 进行代码审计封堵漏洞<\/li> 使用全流量设备分析网络威胁<\/li> <\/ul> <\/li> 后续防护<\/strong>：<\/p> 建立定期备份机制<\/li> 实施网络隔离策略<\/li> 开展安全意识培训<\/li> 部署入侵检测系统<\/li> <\/ul> <\/li> <\/ol> 七、总结<\/h2> 勒索病毒应急响应需要快速、有序地进行，关键步骤包括：<\/p> 立即隔离感染主机<\/li> 确认感染范围和传播途径<\/li> 收集证据进行分析<\/li> 采取遏制措施防止扩散<\/li> 恢复系统和数据<\/li> 总结经验完善防御<\/li> <\/ol> 通过建立完善的应急响应流程和安全防护体系，可以有效降低勒索病毒带来的风险和损失。<\/p>