感染勒索病毒后处置方法是什么
在勒索病毒的处置上,通常需要应急响应工程师采取手动处置与专业查杀工具处置相结合的方法。当发现勒索病毒后,可以参考使用以下处置方法:
隔离被感染的服务器/主机
在确认服务器/主机感染勒索病毒后,应立即隔离被感染服务器/主机,防止病毒继续感染其他服务器/主机。隔离可主要采取以下两种手段:
物理隔离主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接等,禁用网卡,并拔掉服务器/主机上的所有外部存储设备;
访问控制主要是指对访问网络资源的权限进行严格认证和控制,常用的操作方法是加策略和修改登录密码;
排查业务系统
业务系统的受影响程度直接关系着事件的风险等级。在隔离被感染服务器/主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。另外,备份系统如果是安全的,就可以避免支付赎金,顺利恢复文件。
在完成以上基本操作后,为了避免造成更大的损失,建议在第一时间联系专业技术人员或安全从业人员,对勒索病毒的感染时间、传播方法、感染种类等问题进行系统排查。
确定勒索病毒种类,进行溯源分析
溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志可以判断出勒索病毒可能通过哪种方法侵入服务器/主机,如果日志被删除,就需要在服务器/主机上寻找相关的病毒样本或可疑文件,再通过这些可疑文件判断病毒的入侵途径。当然,也可以直接使用专业的日志分析工具或联系专业技术人员进行日志及样本分析。
恢复数据和业务
在服务器/主机上如果存在数据备份,那么可以通过还原备份数据的方式直接恢复业务;如果没有数据备份,那么在确定是哪种勒索病毒之后,可通过查找相应的解密工具进行数据恢复;如果数据比较重要,并且业务急需恢复,还可以尝试使用以下方法:
- 使用磁盘数据恢复手段,恢复被删除的文件;
- 向第三方解密中介、安全公司寻求帮助;
后续防护建议
服务器、终端防护
- 所有服务器、终端应强行实施复杂密码策略,杜绝弱密码;
- 杜绝使用通用密码管理所有机器;
- 安装杀毒软件、终端安全管理软件,并及时更新病毒库;
- 及时安装漏洞补丁;
- 服务器开启关键日志收集功能,为安全事件的追踪溯源提供支撑;
网络防护与安全监测
- 对内网的安全域进行合理划分,各个安全域之间严格限制访问控制列表(ACL),限制横向移动的范围;
- 重要业务系统及核心数据库应设置独立的安全区域,并做好区域边界的安全防御工作,严格限制重要区域的访问权限,并关闭Telnet、Snmp等不必要、不安全的服务;
- 在网络内架设IDS/IPS设备,及时发现、阻断内网的横向移动行为;
- 在网络内架设全流量记录设备,以发现内网的横向移动行为,并为追踪溯源提供支撑;
应用系统防护及数据备份
- 需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控;
- 对业务系统及数据进行及时备份,并定期验证备份系统及备份数据的可用性;
- 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用,同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性;