勒索病毒应急响应处置手册

勒索病毒应急响应处置手册 一、应急响应概述 应急响应是针对各种意外、突发事件的准备以及事件发生后所采取的措施，其根本意义在于将事件造成的损失降到最低。 客户核心关注点 ： 业务不断 数据不丢 不影响正常工作 二、勒索病毒处置流程 1. 了解当前情况 确认勒索信息展示情况（联系方式等） 检查设备是否可正常启动运行 记录文件被加密后的后缀 了解系统架构和网络拓扑 结合客户提供的感染时间、集中区域等信息定位初始感染位置 2. 临时处置 优先物理隔离 感染目标和疑似感染目标 若无法物理隔离： 关闭不必要的端口（445、135、139、3389等） 关闭共享和RDP协议 修改相关账号密码 3. 现场处置 3.1 信息收集与分析 目的 ：找到病毒源文件，分析感染途径，制定有效清理方案 文件排查 ： 查看被加密文件的修改时间（定位感染时间） 检查系统目录（C盘、%temp%目录） 查看最近使用文档（%userprofile%\recent） 提取可疑文件进行沙箱分析 进程排查 ： 检查开机启动项（msconfig） 检查任务管理器异常进程 定位异常进程文件位置 检查注册表持久化行为 网络连接排查 ： netstat -ano 查看当前网络连接 netstat -ano | findstr established 筛选已建立连接 通过PID定位进程： tasklist | findstr [PID] 系统信息排查 ： systeminfo 查看补丁情况（重点关注永恒之蓝、永恒之黑等漏洞） 检查任务计划 检查注册表启动项 检查系统账号： net user query user 查看当前会话 检查注册表隐藏账号（HKEY_ LOCAL_ MACHINE/SAM/SAM） 日志分析 ： 安全日志（eventvwr）查看爆破、登录情况 导出日志进行详细分析 4. 解决方案 病毒清理 ： 使用确认有效的杀软进行专项清理 结合人工审查 不影响业务时可考虑重装系统 数据恢复 ： 尝试通过安全厂商内部信息解密 求助专业数据恢复公司 作为最后手段考虑支付赎金 无关紧要数据建议重装系统后恢复业务 5. 系统加固 更新操作系统和应用系统补丁 加固系统和中间件 制定严格口令策略（避免弱口令） 严格端口管理（关闭无用端口，避免高危端口做业务端口） 安装安全防护软件并定期扫描 部署全流量分析设备 三、常见感染途径 弱口令爆破 （尤其是RDP 3389端口） 操作系统漏洞 （如永恒之蓝等） 中间件/应用系统/组件漏洞 钓鱼邮件 网页挂马 （通常影响无防护设备） 四、现场处置关键节点 初步确认 ：文件后缀、勒索特征、紧急程度评估 信息提取 ：勒索者联系方式搜索记录 安全软件检查 ：安装状态和有效性 样本提取 ：找到并提取异常文件 攻击溯源 ：确认攻击方式（弱口令、漏洞利用等） 清理实施 ：总结方法并推广到其他感染机 报告输出 ：完整记录处置过程 五、实用命令汇总 | 命令/操作 | 用途 | |----------|------| | netstat -ano | 查看网络连接 | | netstat -ano \| findstr established | 筛选已建立连接 | | tasklist \| findstr [PID] | 通过PID定位进程 | | systeminfo | 查看系统信息 | | net user | 查看系统账户 | | query user | 查看当前会话 | | logoff [sessionID] | 强制用户下线 | | msconfig | 查看启动项 | | eventvwr | 打开事件查看器 | | %temp% | 打开临时文件夹 | | %userprofile%\recent | 查看最近文档 | 六、注意事项 记录完整 ：每个节点保留图片和文字记录 样本保护 ：妥善保存病毒样本 客户沟通 ：及时同步处置进展 团队协作 ：必要时请求支援 后续防护 ：处置后必须进行系统加固 通过以上系统化的处置流程，可以有效应对勒索病毒事件，最大限度减少损失并恢复业务正常运行。