感染勒索病毒后處置方法是什么

在勒索病毒的處置上，通常需要應急響應工程師采取手動處置與專業查殺工具處置相結合的方法。當發現勒索病毒后，可以參考使用以下處置方法：

• 隔離被感染的服務器/主機

  在確認服務器/主機感染勒索病毒后，應立即隔離被感染服務器/主機，防止病毒繼續感染其他服務器/主機。隔離可主要采取以下兩種手段：

  • 物理隔離主要為斷網或斷電，關閉服務器/主機的無線網絡、藍牙連接等，禁用網卡，并拔掉服務器/主機上的所有外部存儲設備；

  • 訪問控制主要是指對訪問網絡資源的權限進行嚴格認證和控制，常用的操作方法是加策略和修改登錄密碼;

• 排查業務系統

  業務系統的受影響程度直接關系著事件的風險等級。在隔離被感染服務器/主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。另外，備份系統如果是安全的，就可以避免支付贖金，順利恢復文件。

  在完成以上基本操作后，為了避免造成更大的損失，建議在第一時間聯系專業技術人員或安全從業人員，對勒索病毒的感染時間、傳播方法、感染種類等問題進行系統排查。

• 確定勒索病毒種類，進行溯源分析

  溯源分析一般需要查看服務器/主機上保留的日志和樣本。通過日志可以判斷出勒索病毒可能通過哪種方法侵入服務器/主機，如果日志被刪除，就需要在服務器/主機上尋找相關的病毒樣本或可疑文件，再通過這些可疑文件判斷病毒的入侵途徑。當然，也可以直接使用專業的日志分析工具或聯系專業技術人員進行日志及樣本分析。

• 恢復數據和業務

  在服務器/主機上如果存在數據備份，那么可以通過還原備份數據的方式直接恢復業務；如果沒有數據備份，那么在確定是哪種勒索病毒之后，可通過查找相應的解密工具進行數據恢復；如果數據比較重要，并且業務急需恢復，還可以嘗試使用以下方法：

  • 使用磁盤數據恢復手段，恢復被刪除的文件；
  • 向第三方解密中介、安全公司尋求幫助;

• 后續防護建議

  服務器、終端防護

  • 所有服務器、終端應強行實施復雜密碼策略，杜絕弱密碼；
  • 杜絕使用通用密碼管理所有機器；
  • 安裝殺毒軟件、終端安全管理軟件，并及時更新病毒庫；
  • 及時安裝漏洞補丁；
  • 服務器開啟關鍵日志收集功能，為安全事件的追蹤溯源提供支撐;

  網絡防護與安全監測

  • 對內網的安全域進行合理劃分，各個安全域之間嚴格限制訪問控制列表（ACL），限制橫向移動的范圍；
  • 重要業務系統及核心數據庫應設置獨立的安全區域，并做好區域邊界的安全防御工作，嚴格限制重要區域的訪問權限，并關閉Telnet、Snmp等不必要、不安全的服務；
  • 在網絡內架設IDS/IPS設備，及時發現、阻斷內網的橫向移動行為；
  • 在網絡內架設全流量記錄設備，以發現內網的橫向移動行為，并為追蹤溯源提供支撐;

  應用系統防護及數據備份

  • 需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控；
  • 對業務系統及數據進行及時備份，并定期驗證備份系統及備份數據的可用性；
  • 建立安全災備預案，一旦核心系統遭受攻擊，需要確保備份業務系統可以立即啟用，同時，需要做好備份系統與主系統的安全隔離工作，避免主系統和備份系統同時被攻擊，影響業務連續性;

回答所涉及的環境：聯想天逸510S、Windows 10。