勒索病毒感染如何紧急应对及处理

上报情况

▪ 发现勒索软件后，应立即上报IT负责 人，由其主导所有相关工作。
▪ 业务部门代表应当被引入，以便判断业务受影响程度及确认临时/完整恢复 方案。

阻断扩散

▪ 应立即停止受感染主机的对外连接，阻止勒索软件扩散及数据外泄。
▪ 外网、内网进行隔离与监控，确认是否存在基于网络的爆破攻击。

保护现场

▪ 应立即保护现场证据及相关环境、信息，以便测试、取证、追溯。

确认损失

恢复方案与计划

从感染环境恢复数据

分析及加固

▪ 在测试环境中分析勒索软件攻击轨迹，确认入侵方式，还原整个过程。
▪ 对新业务环境进行安全检查，并进行网络、系统、应用、管理等层面的安全加固。

黑客驱离

▪ 对攻击进行溯源，检测是否存在已经失陷的 主机及后门程序，清理基础架构环境。
▪ 部署蜜罐、态势感知、威胁情报、入侵检测 系统，持续监控环境内是否存在异常。