关于“勒索病毒”的紧急处置指引（勒索病毒应急处置）

关于“勒索病毒”的紧急处置指引（勒索病毒应急处置）

一、概述

随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进，各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中，也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难，疯狂敛财，影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施，成为勒索病毒攻击的目标。

二、应急解决措施

1、隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

所以当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。

2、排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。

另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。

所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

3、联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式、感染源等问题进行排查。

三、安全建议

1、对重要的业务系统数据要有数据备份的机制；

2、要常态地化对服务器、应用系统进行漏洞检测，及时发现、及时修复；

3、对于不常用的服务端口需要采取关闭或者加固措施，比如：139端口145端口、455端口、3389端口；

4、对3389协议进行弱口令检测，并强制要求所有的服务器和终端定期修改复杂密码，杜绝弱口令；

5、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器；

6、及时升级杀毒软件与操作系统补丁；

7、在windows系统中禁用u盘自动运行功能；

8、提升安全意识，不要随意打开来路不明的邮件附件；

9、服务器开启日志收集功能，或者网络中部署日志审计设备，确保在攻击发生后能够为实践溯源提供基础数据；

10、加强监测，制定应急处置方案，做好应急演练。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。