《勒索病毒应急响应自救手册2.0(28页).pdf》由会员分享,可在线阅读,更多相关《勒索病毒应急响应自救手册2.0(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。1) 物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。2) 访问控制访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为 3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过 VPN 登录后才能访问),并关闭 445、
2、139、135 等不必要的端口。修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15 位、两种组合以上)。隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry 勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为 1
3、-2 分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。处置方法在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。处置原理业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。