1、数据勒索防范手册（1.0 版）国家工业信息安全发展研究中心 2024年3月 前 言 当前，数据勒索攻击已成为全球最严重的数据安全威胁之一，攻击方式呈现APT化、平台化、多重化、AI驱动化等发展趋势。据统计，近年来针对制造业、公共事业、卫生保健、电力、交通、能源等领域的勒索攻击显著增加。随着云计算、边缘计算等技术的不断发展，新型信息基础设施日益成为勒索攻击的新目标。为有效处理并防范数据勒索攻击，在工业和信息化部网络安全管理局指导下，国家工业信息安全发展研究中心深入开展调研，联合深信服科技股份有限公司、北京威努特技术有限公司、烽台科技（北京）有限公司、绿盟科技集团股份有限公司、天融信科技集团股份有

2、限公司、杭州安恒信息技术股份有限公司、闪捷信息科技有限公司等单位编制数据勒索防范手册（1.0版），分析数据勒索表现形式、感染风险及数据勒索攻击流程，聚焦事前风险防范、事中快速响应、事后整改加固三个阶段，提出数据勒索防护措施，帮助企业防范化解数据勒索软件攻击风险。本手册可供广大工业企业以及其他行业单位和公众在数据防勒索等工作中作为实操参考，后续将持续迭代更新，欢迎各方提供宝贵意见建议。本手册版权属于国家工业信息安全发展研究中心，并受法律保护。如需引用，请注明来源。目 录 第一章 数据勒索概述.-1-1.1数据勒索的表现方式.-1-1.1.1数据加密.-1-1.1.2数据窃取.-1-1.1.3系统

3、加密.-2-1.1.4凭证篡改.-2-1.2勒索软件感染风险分析.-2-1.2.1人员管理安全风险.-3-1.2.2系统漏洞安全风险.-3-1.2.3凭证失窃安全风险.-3-1.2.4第三方供应商安全风险.-3-1.2.5移动存储介质安全风险.-4-1.2.6缺乏保护导致安全风险.-4-1.3数据勒索攻击流程.-4-1.3.1勒索侦察阶段.-5-1.3.2渗透入侵阶段.-5-1.3.3勒索威胁阶段.-6-1.3.4勒索兑现阶段.-6-第二章 数据勒索防护.-8-2.1事前风险防范.-9-2.1.1梳理数据处理相关载体清单.-9-2.1.2健全数据安全管理制度.-10-2.1.3强化数据处理环境

4、安全管理.-11-2.1.4排查修复重要安全漏洞.-13-2.1.5做好数据备份.-13-2.1.6加强社会工程学攻击应对措施.-14-2.1.7定期开展风险评估.-15-2.1.8强化勒索攻击风险监测预警.-15-2.1.9定期开展数据安全教育培训.-15-2.1.10定期开展应急演练.-17-2.2事中应急处置.-17-2.2.1确认勒索攻击事件.-17-2.2.2隔离感染源.-18-2.2.3加固未感染设备.-18-2.2.4及时上报事件.-19-2.3事后整改加固.-19-2.3.1提取样本.-20-2.3.2排查攻击痕迹.-20-2.3.3整改加固.-23-2.3.4恢复服务.-24

5、-2.3.5事件总结.-25-第三章 数据勒索防护与处置案例.-26-3.1数据勒索事件概述.-26-3.2事件应急处置过程.-26-3.2.1 确定勒索攻击事件.-26-3.2.2 隔离感染源.-27-3.2.3 加固未感染设备.-27-3.2.4 及时上报事件.-28-3.3事后加固措施.-28-3.3.1 提取样本特征.-28-3.3.2 排查攻击痕迹.-30-3.3.3 整改加固.-32-3.3.4 恢复系统数据.-33-附录 勒索软件主要利用的已知漏洞及修复补丁.-35-1-第一章 数据勒索概述 数据勒索是指攻击者通过向目标组织投放勒索软件或系统被植入勒索软件，导致数据资产遭受恶意加

6、密、窃取、篡改、删除等破坏，迫使受害方支付赎金，影响目标组织正常生产运营，甚至导致停工停产，造成巨大经济损失的一种攻击行为。1.1数据勒索的表现方式数据勒索的表现方式 当前数据勒索的表现方式主要分为以下4类：1.1.1数据加密数据加密 数据加密是当前勒索攻击最为活跃的表现形式，受害群体最多、社会影响最广。该方式使用加密算法（如AES、RSA等）加密用户磁盘、文件、数据库等数据资产，一旦感染，用户很难解密被加密的数据。2017 年5 月，WannaCry 勒索病毒通过MS17-010 漏洞在全球范围爆发，利用AES-128 和RSA-2048 算法，加密文件数据，要求勒索目标支付赎金。英国、美国

7、、中国、俄罗斯、西班牙和意大利等上百个国家的数十万台电脑被感染，包括医疗、教育、能源、通信、制造业以及政府等多个领域的计算机终端设备。2023 年，匿名者黑客组织利用 GhostSec 勒索软件攻击加密了俄罗斯境内的远程终端单元（RTU）。1.1.2数据窃取数据窃取 该方式建立通信链路，将企业数据窃取并外传给攻击者，同时对原始数据进行加密、删除、格式化等破坏性操作，敲诈企业支付高额赎金。一旦企业不从，攻击者很可能会将窃取的数据公-2-开发布或售卖。对企业而言，不仅会造成严重的经济损失，也会为企业带来极大的负面影响。2023年9月，黑客组织Dark Angels利用勒索软件攻击美国江森自控国际公

8、司，窃取超过27TB 的公司数据，索要赎金5100万美元。1.1.3系统加密系统加密 系统加密和数据加密方式相似，通过使用多种加密算法对系统磁盘主引导记录、卷引导记录等进行加密，篡改系统开机密码，导致用户无法正常登录系统，从而向企业索要赎金。2017年6月，Petya勒索软件攻击了乌克兰、俄罗斯在内的多个国家，该勒索软件会加密计算机的主引导记录（MBR），覆盖 Windows 引导程序，导致系统无法正常启动。1.1.4凭证篡改凭证篡改 该方式通过修改目标系统用户登录密码，或伪装成系统锁屏界面、引导用户输入登录密码后，篡改用户密码，从而锁定设备，迫使企业支付赎金。2019年，MegaCortex

9、勒索软件在美国、加拿大等地区传播，主要攻击大型企业，不但加密用户文件，还会进一步修改Windows登录密码，并在加密完毕后进行锁屏，更进一步还会威胁受害者，若不缴纳赎金则将主机上的文件公开。1.2勒索软件感染风险分析勒索软件感染风险分析 攻击者主要通过或利用钓鱼、网页挂马、系统漏洞、失窃的用户凭据、移动介质、第三方供应商等方式入侵目标系统，传播勒索软件。企业需高度重视勒索软件感染的风险源，提高数据保-3-护能力，避免成为勒索软件攻击的目标。1.2.1人员管理安全风险人员管理安全风险 据统计，40%以上数据勒索事件由于人员不正当操作引发。攻击者通过挂马网站、电子邮件、网盘、社交媒体等渠道散播钓鱼

10、链接，诱使企业工作人员下载木马程序，并植入勒索软件，待获得内部设备控制权限后，通过摆渡攻击、横向扩散等方式在企业内部网络中传播。1.2.2系统漏洞安全风险系统漏洞安全风险 漏洞利用是勒索软件攻击最为主要的技术手段之一。攻击者通过扫描端口探测目标组织暴露在互联网中未及时修复漏洞的系统，利用已公开安全漏洞或非法购买的未公开安全漏洞，实施远程攻击入侵，获取管理员权限，并在内部网络横向移动，扩大勒索软件感染范围。1.2.3凭证失窃安全风险凭证失窃安全风险 攻击者通常利用暴力破解、密码喷洒、代码共享平台检索等方式获取目标组织网络资产的远程登录用户名和密码，进而通过远程协议登录并植入勒索软件。攻击者一旦成

11、功登录服务器，获得服务器控制权限，即可将服务器作为攻击跳板，在用户内部网络进一步传播勒索病毒。1.2.4第第三方供应商安全风险三方供应商安全风险 当前企业普遍大量采购第三方软件供应商提供的产品和服务。攻击者利用第三方软件供应商与企业用户间的信任关系，通-4-过攻击入侵第三方软件供应商相关网络服务，在软件分发、升级、打补丁等过程中，对正常软件进行劫持篡改，绕过企业网络安全防护机制，传播勒索软件。1.2.5移动存储介质安全风险移动存储介质安全风险 部分勒索软件可将自身复制隐藏至移动存储介质中，同时修改存储介质盘符、图标，诱骗用户点击，从而运行勒索软件，传播勒索病毒。此外，攻击者也可利用工作便利主动

12、发放特制的移动存储介质，传播勒索软件。1.2.6缺乏保护导致缺乏保护导致安全风险安全风险 被勒索企业数据安全保护能力普遍较差，多数企业缺乏顶层设计，未建立网络安全纵深防御体系，内部网络未实行分区分域管理，网络区域间未采取安全隔离和认证手段，终端缺乏恶意软件防护措施，数据安全管理能力与安全技术水平存在不足，安全能力难与发展协同。1.3数据勒索攻击流程数据勒索攻击流程 数据勒索软件攻击主要包括勒索侦察、渗透入侵、勒索威胁、勒索兑现等四个阶段。勒索攻击流程如下图所示：-5-图图1 勒索攻击流程图勒索攻击流程图 1.3.1勒索侦察阶段勒索侦察阶段 攻击者综合考虑企业社会地位、社会背景、利用价值等多方面

13、因素，选择勒索对象。确认目标后，通过情报收集、主动扫描、钓鱼、网络渗透等多种技术手段，获取目标组织的信息资产、网络拓扑、组织架构等信息，以便后续定向进行勒索攻击。1.3.2渗透入侵阶段渗透入侵阶段 攻击者根据勒索侦察阶段获取的目标组织信息，利用系统漏洞、错误配置、钓鱼、脆弱性凭证、第三方供应商软件等，投放木马程序，获取目标组织内部网络中设备控制权限，植入勒索软件，伺机在内部网络横向传播，进一步扩大勒索攻击范围。开始找寻目标，通过各种途径收集目标资产、人员等信息，为之后入侵打下基础勒索侦察阶段渗透入侵阶段勒索威胁阶段勒索兑现阶段结束探查资产安全风险，利用漏洞、社工等方法入侵内部网络，提升自身权限

14、并横向传播病毒对数据进行加密，窃取重要文件和数据，向受害者索取赎金将勒索数据变现，清除入侵痕迹防止被溯源-6-ERP系统PLC工业HMI数控车床伺服电机变频器工业设备通讯服务器工控安全监测系统工控安全管理平台工业交换机工业防火墙MES系统数据库资产管理系统工程师站工业交换机机器人操作员站防火墙OA系统财务系统邮件/数据/web等服务器弱口令攻击横向渗透系统与软件漏洞利用供应链攻击弱口令攻击横向渗透系统与软件漏洞利用破解软件与激活工具攻击供应链攻击弱口令攻击横向渗透系统与软件漏洞利用破解软件与激活工具攻击钓鱼与网站挂马供应链攻击横向渗透系统与软件漏洞利用破解软件与激活工具攻击僵尸网络攻击移动介质

15、攻击僵尸网络攻击 图图2数据勒索渗透攻击流程图数据勒索渗透攻击流程图 1.3.3勒索威胁阶段勒索威胁阶段 为进一步增强勒索软件攻击杀伤力，提高被勒索企业缴纳赎金的可能性，攻击者会对数据库、应用系统配置、研发设计图纸等关键文件数据加密，致使数据无法使用或系统设备锁定。在此基础上，攻击者窃取、破坏目标组织商业机密，使受害者同时承受数据丢失或公开、声誉受损、法律处罚等多重压力，并以此为筹码，胁迫受害者支付勒索赎金。1.3.4勒索兑现阶段勒索兑现阶段 勒索攻击成功后，攻击者利用勒索窃取的数据胁迫受害者支付赎金。若受害者支付赎金，攻击者会将加密密钥发送给受害者-7-进行解密；若受害者拒付赎金，攻击者大概

16、率会将下载的数据放至暗网出售，弥补勒索组织的损失。但是，即便支付了赎金，仍可能由于技术原因导致数据恢复失败，泄露的数据也可能被重新包装后放至暗网出售。攻击者在入侵结束后，会通过暂停日志进程，停止日志记录、清除日志、删除远程桌面记录、删除用户、伪造日志等行为来清理攻击痕迹，阻止受害者追踪或恢复数据。-8-第二章 数据勒索防护 为有效防范数据勒索软件传播，根据数据勒索攻击流程，将数据勒索防范工作分为事前风险防范、事中应急处置、事后整改加固三个阶段（如图3所示）。企业可在事前采取风险防范措施，建立完善数据安全管理机制，构建安全数据处理环境，提高人员安全意识等措施，预防勒索软件入侵；事中根据事件发展态

17、势进行快速响应，及时隔离感染源，加固未感染设备，控制事件发展态势，上报攻击事件有关信息；事后提取勒索软件样本特征，排查攻击痕迹，采取相应的整改加固措施，恢复受影响服务，全面对勒索事件进行总结。-9-加固未感染设备及时上报事件提取样本排查攻击痕迹整改加固事事前前风风险险防防范范梳理数据处理相关载体清单健全数据安全管理制度强化数据处理环境安全管理排查修复重要安全漏洞做好数据备份加强社会工程学攻击应对措施定期开展风险评估强化勒索攻击风险监测预警定期开展数据安全教育培训事事中中应应急急处处置置事事后后整整改改加加固固发生数据发生数据勒索事件勒索事件定期开展应急演练恢复服务事件总结结束确认勒索攻击事件隔

18、离感染源开始 图图3 数据勒索防范流程数据勒索防范流程 2.1事前风险防范事前风险防范 2.1.1梳理数据处理相关载体清单梳理数据处理相关载体清单 按照数据处理相关载体使用情况和业务系统接口情况，梳理形成数据载体清单、数据接口清单。2.1.1.1建立数据载体台账建立数据载体台账 数据载体清单主要用于掌握数据载体的使用情况，以日常核查数据载体及相关配置。数据载体清单模板如表1所示。-10-表表1 数据载体资产清单数据载体资产清单 序号 载体类型 载体名称 厂商 型号 MAC地址 IP地址 域名 端口 承载业务 1 工业控制器 PLC 西门子 S71212 A0-B0-C0-10-20-30 19

19、2.168.xx.xx 无 102 工业控制 2 工控机 工业实时数据库 亚控 KingHistorian A0-B0-C0-10-20-31 192.168.xx.xx 无 5678 工业数据存取 3 服务器 ERP系统 SAP ERPV1 A0-B0-C0-10-20-32 192.168.xx.xx 80 ERP管理 4 存储设备 云存储 华为 OceanStor A0-B0-C0-10-20-33 192.168.xx.xx 无 81 云服务.注：载体类型包括但不限于服务器、便携式计算机、工控机、工业控制设备、台式机、安全设备、存储设备等。2.1.1.2梳理数据接口清单梳理数据接口清单

20、 数据接口清单用于日常核查系统接口认证、使用和监测情况，包括各业务系统的接口名称、功能描述、协议、认证方式等信息。清单模板如表2所示。表表2 数据接口清单数据接口清单 序号 系统名称 接口名称 功能描述 协议 加密方式 鉴权措施 示例 OA 创建/修改XX数据 数据从ERP同步到OA流程 HTTP SM2 双因子认证.2.1.2健全数据安全管理制度健全数据安全管理制度 依据数据安全法工业和信息化领域数据安全管理办法（试行）等法规制度及相关标准规范，结合企业实际情况和安全防护特点，制定企业数据安全管理制度，明确人员管理、分类分级、数据处理环境管理、供应链管理、应急处置、风险评估等-11-与数据勒

21、索防范相关的管理要求，提高数据勒索防范能力，提升数据安全管理水平。2.1.3强化数据处理环境安全管理强化数据处理环境安全管理 2.1.3.1设备安全管理设备安全管理 1.合理配置设备口令、端口、服务等安全策略，定期开展配置审计工作。2.使用杀毒软件、应用程序白名单、终端检测与响应（EDR）等技术阻止未授权软件或行为运行，定期更新病毒库或安全检测策略库，并定期进行查杀。3.根据数据载体资产清单，禁止开放非必要的高风险网络服务端口（如3389、22等远程访问服务端口，135、139、445等局域网共享端口等）。4.严禁使用破解版软件，使用专用移动存储介质，减少勒索软件传播风险。5.根据数据接口清单

22、，加强对数据接口的安全配置和日志记录，设置数据接口访问白名单并定期对白名单和安全配置进行审查。2.1.3.2网络安全管理网络安全管理 1.合理规划网络架构，根据承载业务特点、业务规模、影响工业生产的重要程度等因素，对企业内部网络实施分区分域管理。2.部署防火墙、网闸等设备实现域间横向隔离。3.规范设备联网管理，建议采用IP、MAC地址绑定等策略限-12-制非授权设备联网。4.严禁将重要数据和核心数据涉及的数据载体部署在网络边界处。5.定期对网络安全设备防护策略进行更新。2.1.3.3强化强化身份身份鉴别鉴别管理管理 访问企业邮件、OA、ERP、MES、SCADA等数据处理关键业务系统时，采用单

23、点登录或多因素认证方式，强化身份认证管理，防范勒索软件利用脆弱性凭证传播。主要措施为：1.遵循最小授权原则，合理设置账户权限。2.禁用不必要的系统默认账户和管理员账户，及时清理过期账户。3.避免使用默认口令或弱口令，每季度更新一次口令。4.设置高强度口令，长度至少 8 位以上，包含大小写字母、数字以及特殊字符中的三种以上。5.设置登录尝试次数及登录连接超时时间（如3次，10分钟）。2.1.3.4加强加强日志管理日志管理 重要主机设备、网络设备、应用系统、云服务等访问和操作日志的留存时间不少于六个月，并定期对日志备份，便于开展事后溯源取证。2.1.3.5强化数据的健康监测强化数据的健康监测 企业

24、应根据实际情况加强数据在收集、存储、使用、加工、传输、提供、公开等环节的安全健康监测，实时检测和识别数据-13-的状态变化，确保发生数据被加密、破坏或删除等恶意操作行为时能够及时进行报警，并帮助企业迅速定位问题并采取应对措施。2.1.4排查修复重要安全漏洞排查修复重要安全漏洞 2.1.4.1漏洞排查与修复漏洞排查与修复 密切关注国内外权威漏洞库及相关厂商发布的漏洞预警通知，及时开展漏洞排查修复工作。2.1.4.2数据安全防护加固数据安全防护加固 工业企业可咨询设备厂商或专业机构评估漏洞修复影响，若漏洞修复困难或影响工业生产，建议可临时采用身份鉴别、访问控制、IP端口封禁、入侵防护、系统逻辑隔离

25、等多种措施进行安全加固。2.1.4.3建立漏洞排查与修复常态建立漏洞排查与修复常态化化机制机制 按照数据载体清单，利用终端检测与响应、杀毒软件、主机安全防护等主机防护软件，漏洞扫描设备等工具，每月至少开展一次漏洞扫描、“后门”排查和病毒查杀，确保漏洞应修尽修。勒索软件常利用漏洞及其相关修复补丁详见附录。2.1.5做好数据备份做好数据备份 2.1.5.1建立数据资产目录建立数据资产目录 根据重要数据识别相关标准要求，开展数据分类分级，形成数据资产清单和重要数据目录。2.1.5.2定期开展数据备份工作定期开展数据备份工作 结合数据重要程度，面向关键主机的操作系统、配置文件、-14-重要业务系统等，

26、根据实际情况定期开展增量或全量数据备份。建议一般数据视情况每年至少进行一次备份，重要数据每半年至少进行一次备份，核心数据原则上实时备份。同时加强对备份数据的安全性检测，确保备份数据的可用性、完整性和可恢复性。2.1.5.3建立数据异地备份机制建立数据异地备份机制 原始数据与备份数据应存储在不同网络环境或异地，备份数据的安全防护要求不低于原始数据。2.1.5.4建立数据恢复机制建立数据恢复机制 建立数据灾难备份恢复机制，定期进行备份数据的恢复性测试，至少每季度对备份数据的可恢复性进行检查。建议企业根据实际情况建设核心业务系统的完整性恢复验证平台并建立分钟级的恢复验证机制，实现业务级恢复验证，缩短

27、重要业务 RTO、RPO响应流程时间。2.1.5.5重要数据和核心数据处理系统热冗余重要数据和核心数据处理系统热冗余 对涉及重要数据和核心数据的历史数据库、时序数据库、实时数据库等存储设备进行硬件冗余，保证主设备出现故障时冗余设备可及时切换并恢复数据。2.1.6加强社会工程学攻击应对措施加强社会工程学攻击应对措施 重点加强企业电子邮件、DNS、浏览器的安全使用。2.1.6.1启用电子邮件安全认证功能启用电子邮件安全认证功能-15-启用基于域的消息认证、报告和一致性（DMARC）等安全认证协议，验证电子邮件域名来源的真实性，关闭 Office、PDF等办公软件的宏脚本功能。2.1.6.2启用域名

28、解析服务启用域名解析服务 使用保护性域名解析服务（PDNS），阻止可疑域名访问。2.1.6.3使用安全隔离的使用安全隔离的浏览浏览软件软件 使用具备安全沙箱功能的浏览器（如 Chrome、Firefox、Microsoft Edge）访问外部网络，隔离访问进程，限制非信任程序访问，实现主机与恶意代码隔离。2.1.7定期开展风险评估定期开展风险评估 按照数据安全风险评估相关标准规范，聚焦影响业务开展风险评估，掌握数据安全风险总体状况，及时发现勒索软件传播安全隐患，加固安全管理和技术防护措施。2.1.8强化勒索攻击风险监测预警强化勒索攻击风险监测预警 2.1.8.1密切关注安全态势密切关注安全态势

29、 企业数据安全负责人应密切关注科研院所、安全企业发布的数据勒索事件分析及安全态势研究报告，组织做好安全防范。2.1.8.2部署监测审计设备部署监测审计设备 部署监测审计相关设备或平台，在不影响生产稳定运行的前提下，及时发现处置安全漏洞、勒索攻击等安全风险，必要时应咨询专业服务机构或安全企业协助处置。2.1.9定期开展数据安全教育培训定期开展数据安全教育培训-16-2.1.9.1提高数据安全防护意识提高数据安全防护意识 面向企业管理人员、技术人员、操作人员等，定期开展网络和数据安全相关法律法规、政策标准宣传教育，增强企业人员网络和数据安全意识，规范使用电子邮件、浏览器、存储介质等，防范勒索软件运

30、行和病毒传播。2.1.9.2培养数据安全事件应对能力培养数据安全事件应对能力 针对网络、系统相关运维人员等，定期开展专业技能培训，了解数据勒索应对的基本方法。培训对象及内容如下表所示。表表3 数据安全培训内容数据安全培训内容 培训对象 培训内容 管理人员（主要培训对象为各部门的主管人员、数据安全负责人、关键业务负责人）通过法律法规培训，解读 数据安全法 工业和信息化领域数据安全管理办法（试行）等法律法规重点内容，提高企业人员对防勒索等数据安全防护工作的重视程度，掌握数据安全保护义务等相关要求。技术人员（主要培训对象为负责数据安全管理的技术人员、运维人员)通过安全技能培训，讲解数据安全防护要求以

31、及各类安全设备的管理和使用方法，使培训对象掌握勒索软件防护和应急处置方法。全体员工（包括管理人员、技术人员、操作人员）1、通过制度宣贯，使培训对象掌握企业数据安全相关制度方案和管理流程，推动企业数据安全制度有效执行。2、通过安全技能培训，使培训对象掌握文件操作和使用杀毒软件的基本功能，利用杀毒软件或其他安全软件对勒索软件进行隔离方法，能够在紧急情况下采取应急措施，对邮件附件、存储介质的安全性进行查杀，使用系统自带备份功能进行定期备份，了解如何卸载非必要软件等操作方式。3、通过安全意识培训，讲解数据安全典型风险案例和常规安全保护要求，规范系统平台和社交媒体的管理和使用，使员工了解数据安全问题对工

32、业生产造成的影响，及时排查现存的问题，重视病毒查杀、数据备份和密码管理等日常工作，严禁转发恶意链接及执行非常规操作，防范勒索软件利用钓鱼与网站挂马等进行传-17-播，避免泄露企业及企业合作方、上下游供应链企业系统账号、联系人身份信息等敏感信息。2.1.10定期开展定期开展应急演练应急演练 2.1.10.1建立应急响应机制建立应急响应机制 企业根据实际情况，制定完善应急预案及响应措施。根据梳理的数据全生命周期载体清单，完善勒索病毒应急响应方案，划定应急响应重点，明确应急响应的每个流程环节，将数据载体的应急响应具体到责任人。2.1.10.2建立应急演练常态化机制建立应急演练常态化机制 企业可搭建与

33、真实网络环境相似的演练环境，包括网络拓扑、系统配置、数据模拟等，确保演练的真实性。根据演练场景，编写详细的演练脚本，包括攻击手段、攻击路径、攻击目标等，确保演练的顺利进行。根据应急预案，每年至少开展一次数据勒索事件的应急演练。按照演练计划，模拟攻击场景，让参与者在实践中学习和掌握应对方法。2.1.10.3应急演练总结与预案修订应急演练总结与预案修订 对演练过程进行评估，总结应急演练成效，提出改进措施和建议，必要时修订应急预案。2.2事中应急处置事中应急处置 2.2.1确认勒索确认勒索攻击事件攻击事件 2.2.1.1勒索事件初步判断勒索事件初步判断 若服务器或主机等设备被锁定无法正常登录、服务无

34、法访问，系统提示、弹窗、文件中出现勒索威胁信，磁盘文件无法正常读-18-写、后缀被篡改，则说明设备可能感染勒索软件。2.2.1.2勒索事件确认勒索事件确认 确认勒索攻击事件后，应立即拍照或截图取证，截图内容包含勒索威胁信、被篡改系统界面、加密文件后缀名及文件修改时间，用于应急处置人员作初步判断。2.2.2隔离隔离感染源感染源 2.2.2.1隔离被感染设备隔离被感染设备 1.立即切断被感染设备的所有物理网络连接，切断攻击者对受控设备的远程控制，防止勒索软件横向传播。2.严禁对被感染设备进行重启或反复读写操作，以免影响后续数据恢复及取证工作。2.2.2.2隔离被感染网络隔离被感染网络 若多台设备感

35、染勒索软件，应尽量在网络交换节点处进行隔离，如关闭被感染设备所处网络的交换机电源，实现网络内设备间隔离，防止勒索软件继续传播，造成更大损失，待应急响应结束并完成安全加固后再恢复网络。2.2.3加固未感染设备加固未感染设备 2.2.3.1资产排查资产排查 根据数据载体资产清单，对被中毒设备以外的其他设备和数据资产进行感染范围的安全排查，确定未感染勒索软件的设备和数据资产。2.2.3.2隔离未感染设备隔离未感染设备-19-为避免应急处置过程中勒索软件继续传播，建议根据实际情况隔离未感染设备。确保切断未感染设备的网络与被感染设备的网络连接，全面进行病毒查杀并修复相关补丁，进一步核查关闭高危端口、修改

36、弱口令和默认口令为复杂口令。若因业务需要无法断网，可加强对非必要端口（3389、445、139、135 等）实施管控措施，如在防火墙等安全设备设置IP白名单规则，配置高级安全规则。2.2.3.3强化访问控制机制强化访问控制机制 为避免攻击者进一步利用泄漏口令爆破入侵其它系统，用户应加强访问控制并立即修改设备登录口令。2.2.4及时上报事件及时上报事件 2.2.4.1安全事件级别评判定安全事件级别评判定 数据勒索事件发生后，企业可根据数据安全应急预案等相关制度，判定安全事件级别。2.2.4.2安全事件上报安全事件上报 重大以上安全事件，企业应按照要求立即向地方行业监管部门报告。2.2.4.3安全

37、事件处置安全事件处置 立即组织本单位技术团队及外部技术力量采取应急处置措施，开展数据恢复及追溯工作，控制影响范围，保存相关痕迹和证据。2.3事后整改加固事后整改加固-20-2.3.1提取样本提取样本 2.3.1.1提取勒索软件样本提取勒索软件样本 通过查看可疑进程、异常启动项、异常注册表、网络连接、可疑流量等方式进行勒索软件定位并提取勒索软件样本。2.3.1.2确定勒索软件解决方案确定勒索软件解决方案 借助勒索软件解密网站（如表4所示），通过上传被加密文件样本或检索勒索软件样本、加密文件后缀、勒索威胁信关键词等方式确认勒索软件家族，获取解决方案。表表4 勒索软件解密网站参考勒索软件解密网站参考

38、 序号 网站链接 运营公司 1 https:/ 深信服科技股份有限公司 2 https:/ 3 https:/ 4 https:/ 5 https:/ 2.3.2排查攻击痕迹排查攻击痕迹 通常勒索软件会在系统中新建后门账户、驻留进程、植入脚本、增加启动项、添加定时任务的方式实现对系统的持久控制。企业应检查受感染设备网络连接、进程、账号、计划任务、登录日志、自启动项、文件操作等关键信息，分析网络及安全设备告警日志，排查勒索软件攻击痕迹，还原攻击路径，确定传播影响范围。-21-2.3.2.1异常用户账号排查异常用户账号排查 部分勒索软件在系统中建立隐藏后门账号以实现持久控制，可以利用以下系统命令检

39、查是否存在异常账号。Windows操作系统，可在命令提示符中使用 net user 命令，查看用户信息，如创建时间、所属组、最近登录时间等；使用lusmgr.msc命令打开本次用户和组或wmic useraccount get name,$ID，可查看系统创建的隐藏账户。Linux 操 作 系 统，可 使 用 awk-F:$3=0print$1/etc/passwd1.查询特权用户（uid 为0），查看是否新增异常账号。使用awk/$1|$6/print$1/etc/shadow命令查询远程登录帐号信息。2.3.2.2异常进程排查异常进程排查 勒索软件进程名称有别于正常程序，具有 CPU 资源

40、占用率高的特点，可利用以下系统命令查看进程详细信息开展异常进程排查。Windows 操作系统，可使用 tasklist 命令或任务管理器，查看进程信息。Linux操作系统，可使用top命令，查看进程名称及CPU占用率信息。2.3.2.3异常网络连接排查异常网络连接排查 勒索软件通常具备局域网扫描、控制指令接收、数据外传等异常网络通信行为。可使用以下系统命令查看网络连接，检查是-22-否有外部可疑IP地址连接，及1433、3306、3389等高危服务端口连接情况。Windows、Linux 操作系统，均可使用netstat-ano 命令，查看网络连接信息。2.3.2.4异常文件检查异常文件检查

41、勒索软件运行后会释放、下载配置信息或恶意代码等文件，可在系统关键位置开展异常文件检查，排查攻击痕迹。Windows操作系统，可在用户目录的Recent文件夹、Web服务器目录、回收站、下载目录、浏览器历史记录等位置，将文件列表按时间进行排序，查找可疑文件。Linux操作系统，可使用find./-iname*-atime X-type f查找某一时间范围内创建的文件，重点检查/tmp等敏感目录，针对可疑文件可以使用stat命令查看创建修改时间。2.3.2.5异常启动项排查异常启动项排查 多数勒索软件会修改系统启动项，以实现开机自动运行。可利用系统自带的计划任务程序，查看计划任务所执行的操作，判断

42、是否存在异常计划任务。Windows操作系统，通过wmic startup get command,caption命令查看系统启动项。Linux操作系统，可通过cat/etc/inittab命令查看系统启动项。2.3.2.6异常定时任务排查异常定时任务排查 部分勒索软件可通过修改系统定时任务，实现恶意进程驻留-23-检查，可利用以下系统命令，查看定时任务信息，判断是否存在异常。Windows操作系统，可通过schtasks/query/fo LIST/v 命令查看系统计划任务，可通过 wmic service list brief 查看系统服务。Linux操作系统，可通过cat/etc/cro

43、ntab命令查看系统定时任务，通过chkconfig -list查看服务自启动状态。2.3.2.7异常日志排查异常日志排查 勒索攻击后，通过在操作系统中会存留异常行为日志，可通过以下命令查看日志，并排查攻击痕迹。Windows操 作 系 统，可 在 系 统 根 目 录 中、WindowsSystem32WinevtLogs目录下，查看系统、应用、安全日志。Linux操作系统，可在/var/log目录下，查看定时任务、邮件、登录、安全日志。2.3.2.8安全设备告警日志排查安全设备告警日志排查 具备安全防护技术条件的企业，可查看防火墙、VPN、态势感知平台、日志审计、数据库审计、终端检测与响应（

44、EDR）、杀毒软件等安全设备中的安全告警及工作日志信息，进一步排查被感染终端设备，分析勒索软件传播路径。2.3.3整改加固整改加固 2.3.3.1排查并清除恶意残留排查并清除恶意残留-24-根据攻击痕迹排查情况，彻底清除被感染设备中勒索软件残留的恶意代码、后门账号、计划任务、自启动项等攻击痕迹，并全面查杀恶意代码。2.3.3.2修复并优化安全策略修复并优化安全策略 使用安全软件彻底修复数据载体清单设备存在的安全漏洞，并对其安全防护策略进行优化。2.3.3.3消减数据勒索风险消减数据勒索风险 全面落实本手册事前风险防范措施，全面消减数据勒索风险。2.3.4恢复服务恢复服务 2.3.4.1恢复操作

45、系统恢复操作系统 若无法彻底清除勒索软件或者被锁软件无法解密，应采用系统备份镜像恢复或重新部署安装操作系统。2.3.4.2恢复应用恢复应用 若无法彻底清除勒索软件，无法解密数据，应采用备份应用数据恢复或重新部署。2.3.4.3恢复数据恢复数据 若无法利用专用解密软件、暴力破解工具等恢复加密数据，应利用本地、异地或云端存储的备份数据进行恢复。2.3.4.4服务测试服务测试 待操作系统和应用恢复等基础环境和应用数据恢复后，在可控条件下进行服务测试，待服务无异常后可上线运行。2.3.4.5恢复网络恢复网络-25-完成系统、数据、应用恢复工作后，可将数据载体重新接入网络中，并在网络边界处做好安全配置。

46、2.3.4.6上线运行上线运行 基础环境恢复后，应在可控条件下开展试运行测试，待服务无异常后可上线运行。必要时可联系专业机构协助开展恢复工作。2.3.5事件总结事件总结 全面梳理数据勒索事件应急处置过程，总结经验教训，编制形成数据勒索攻击事件处置报告，报告内容包括但不限于数据勒索事件概述、影响范围、临时处置措施、分析溯源、加固整改等，及时向行业或地方主管部门报告。-26-第三章 数据勒索防护与处置案例 3.1数据勒索事件概述数据勒索事件概述 某化工企业是一家集药品研制、生产、销售于一体的国际化制药企业集团，2022 年该公司某业务系统的操作员站主机电脑遭受勒索软件攻击。3.2事件应急处置过程事

47、件应急处置过程 在发生勒索事件后，公司立即启动应急预案，成立应急响应专家小组，并通过电话和线上会议等方式，借助外部技术力量采取应急处置措施，控制影响范围。3.2.1 确定勒索攻击事件确定勒索攻击事件 确认勒索攻击事件后，企业安全小组的应急处置人员立即对被篡改主机操作系统界面进行拍照取证，初步判定主机感染了Wannacry 勒索软件。发现 D 盘中的数据库文件和 E 盘中的工作文件均被加密。-27-图图4 企业中毒主机勒索弹窗企业中毒主机勒索弹窗 图图5 被勒索软件加密后的数据文件被勒索软件加密后的数据文件 图图6 中毒主机的应用程序进程中毒主机的应用程序进程 3.2.2 隔离感染源隔离感染源

48、为防止勒索软件通过网络继续传播影响其它重要业务系统，应急人员第一时间断开中毒主机的网络连接（拔掉网线），切断攻击者对受控系统的远程控制。同时，断开中毒主机的汇聚层网络设备，进一步隔离感染网络，防止勒索软件在网络内横向移动，造成更大危害。同时，尝试开展勒索软件的离线分析。3.2.3 加固未感染设备加固未感染设备 应急人员查看中毒主机同网络区域和其他网络区域中-28-的主机勒索软件感染情况，未发现中毒主机。临时在防火墙等安全设备设置IP白名单规则，配置高级安全规则，禁止中毒主机 IP 与其他网络进行通信连接。启动企业版主机安全软件进行病毒查杀，并在企业群中发出通知，要求全企业用户加强访问控制，立即

49、修改设备登录口令为复杂口令。3.2.4 及时上报事件及时上报事件 企业核查相关事件信息后，立即向当地主管部门上报，主要包括以下信息：1.勒索软件攻击事件的发生时间、地点；2.勒索软件攻击事件的影响范围；3.勒索软件的攻击路径和攻击手段初步分析；4.勒索软件攻击事件对造成的业务影响和经济损失。3.3事后加固措施事后加固措施 3.3.1 提取样本特征提取样本特征 登录中毒主机，通过桌面勒索信中“Wana Decryptor”等关键字，判定为Wannacry家族病毒。通过查看系统注册表、进程和系统服务，定位到主机所中的勒索病毒位于“C:Users Wanancry”，使用安全的U盘提取该勒索软件的病

50、毒样本信息。-29-图图7 中毒主机的异常注册表信息中毒主机的异常注册表信息 图图8 中毒主机异常系统服务信息中毒主机异常系统服务信息 -30-图图9 中毒主机的勒索软件定位中毒主机的勒索软件定位 3.3.2 排查攻击痕迹排查攻击痕迹 对系统进行安全检查，摸清勒索软件攻击情况。主要包括系统异常用户检查、系统异常进程检查、系统端口连接信息检查、系统异常启动项检查四方面。同时，结合主机和网络部署的安全产品日志分析和勒索软件样本逆向分析，摸清勒索软件勒索加密、传播机制以及入侵手段。使用“net user”“netstat-ano”“msconfig”“tasklist”“mic startup ge

51、t command”“resmon”和主机日志信息，明确当前中毒主机勒索软件的攻击痕迹和攻击路径为“用户将受感染的 U盘插入到中毒主机中，U盘中的勒索软件自启动运行后感染整个主机，控制并加密相关文件。”经分析，确定企业未被大面积感染，目前只有1台中毒主机。图图10 中毒主机的网络端口连接状态中毒主机的网络端口连接状态-31-图图11 中毒主机的启动项中毒主机的启动项 图图12 中毒主机的勒索软件进程中毒主机的勒索软件进程-32-图图13 中毒主机的资源使用情况中毒主机的资源使用情况 3.3.3 整改加固整改加固 攻击痕迹排查后，清除病毒的安装文件。由于该勒索软件目前尚未提供解密方法，故只能进行

52、系统重装和数据恢复。1.使用 PE 盘进入主机安装界面，对系统所有硬盘进行格式化操作后在 C 盘重新安装操作系统。2.下载杀毒软件，更新病毒库至最新，部署到重装系统后的中毒主机，并进行全面查杀，查杀后更新与 MS17-010 漏洞相关的补丁（如：KB4012598、KB4012598、KB4012598、KB4012212、KB4012215、KB4011981 等，具体可参考附录）。3.关闭 135、445 等高危端口（以关闭 445 端口为例）。-33-图图14 关闭主机本地关闭主机本地445高危端口高危端口 3.3.4 恢复系统数据恢复系统数据 3.3.4.1支持解密的数据恢复支持解密的

53、数据恢复 部分勒索软件能够进行被锁文件解密。可下载解密工具进行批量被锁文件解密。图图15 被锁文件的批量解密工具被锁文件的批量解密工具 3.3.4.2不支持解密的数据恢复不支持解密的数据恢复 对于目前不支持解密的被锁文件，需要开展数据的备份-34-恢复。1.将备份的业务系统重新部署到重装系统后的主机。2.安装同版本的数据库软件，在系统服务中停止数据库软件服务，将原备份的数据文件复制到数据库系统的数据文件目录下，并再次启动数据库系统服务。3.启动主机部署的业务系统，测试系统是否可提供正常启动运行。4.对重装系统后的主机进行网络恢复，经测试通过后提供上线服务。-35-附 录 勒索软件主要利用的已知

54、漏洞及修复补丁 名称 主要利用的已知漏洞 补丁编号 WannaCry 永恒之蓝漏洞(MS17-010)KB4012598、KB4012598、KB4012598、KB4012212、KB4012215、KB4011981、KB4012212、KB4012215、KB4012213、KB4012216、KB4012214、KB4012217、KB4012213、KB4012216、KB4012606、KB4013198、KB4013429、KB4013429 Petya OFFICE OLE2LINK（CVE-2017-0199）KB3213545、KB3178716、KB958644、KB40

55、93118、KB4343891 永恒之蓝漏洞(MS17-010)KB4012598、KB4012598、KB4012598、KB4012212、KB4012215、KB4011981、KB4012212、KB4012215、KB4012213、KB4012216、KB4012214、KB4012217、KB4012213、KB4012216、KB4012606、KB4013198、KB4013429、KB4013429-36-名称 主要利用的已知漏洞 补丁编号 GandCrab Windows提权漏洞(CVE-2018-8120)KB4093113 WinRar漏洞(CVE-2018-2025

56、0)WinRAR厂商已发布新版本修复此漏洞，建议立即升级至最新版本：https:/www.win- Apache Struts2远程代码执行漏洞(S2-045)Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1：https:/cwiki.apache.org/confluence/display/WW/S2-045 Confluence漏洞(CVE-2019-3396)目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:/ Princess

57、Internet Explorer内存损坏漏洞(CVE-2016-0189)KB3147458 LockBit 飞塔防火墙漏洞(CVE-2018-13379)厂商已发布了漏洞修复程序，请及时关注更新：https:/ VMware log4j2漏洞(CVE-2021-45046)目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:/logging.apache.org/log4j/2.x/security.html F5 BIG-IP ICONTROL SOAP远程代码 厂商已发布了漏洞修复程序，请及时关注更新：-37-名称 主要利用的已知漏洞 补丁编号 执行漏洞（CVE-2023-22

58、374）https:/ Citrix NetScaler网络设备漏洞(CVE-2023-6549)厂商已发布更新链接，建议尽快安装相关的更新版本：https:/ MOVEit Transfer SQL注入漏洞（CVE-2023-34362）目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:/ Accellion漏洞（CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104）厂商已发布了漏洞修复程序，请及时关注更新：https:/ NetLogon特权提升漏洞(CVE-2020-1472)KB5005101、KB456642

59、5、KB4586768、KB4598278、KB4557232 PrintMonamine(CVE-2021-34527)KB4601363、KB4601318、KB5001078 Log4j（CVE-2021-44228）目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:/logging.apache.org/log4j/2.x/security.html-38-名称 主要利用的已知漏洞 补丁编号 BlackCat Microsoft Exchange Server漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27

60、065、CVE-2021-31207）KB5000871 WhisperGate October CMS 认证不当(CVE-2021-32648)升级到Build 472 和 v1.1.5 Black Basta PrintNightmare 漏洞（CVE-2021-34527）KB5018427、KB5008212 Cring Fortinet FortiOS 路径遍历漏洞(CVE-2018-13379）厂商已发布了漏洞修复程序，请及时关注更新：https:/ Satan WebLogic任意文件上传漏洞(CVE-2018-2894)厂商已布安全补丁：https:/ JBoss反序列化漏洞(

61、CVE-2013-4810)目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http:/-39-名称 主要利用的已知漏洞 补丁编号 https:/ JBoss默认配置漏洞(CVE-2010-0738)Redhat Linux用户可参考如下安全公告获得补丁信息：https:/ https:/ https:/ https:/ Tomcat任意文件上传漏洞（CVE-2017-12615）升级至 Apache Tomcat 7.0.81 版本，请到厂商的主页下载：http:/tomcat.apache.org/download-70.cgi#7.0.81 Weblogic WLS 组件漏洞（CVE-2017-10271）目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http:/ Apache Struts2远程代码执行漏洞 S2-045 升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本 Apache Struts2远程代码执行漏洞 S2-057 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：https:/cwiki.apache.org/confluence/display/WW/S2-057?tdsourcetag=s_pcqq_aiomsg