勒索病毒處置流程

目錄

一、 勒索病毒發(fā)作的特征

二、 勒索病毒的應急響應

（一） 當在確定感染勒索病毒后，我們首先要對感染的服務器或終端進行斷網(wǎng)隔離處理。采取以下措施：

（二） 針對勒索病毒的特征，如后綴名，勒索信等指紋特征，嘗試確定勒索病毒所屬家族，并查找是否存在解密的可能性。

（三） 斷網(wǎng)隔離被感染的機器，進行以下排查工作：

1. 查看系統(tǒng)信息：

2. 排查CPU的占用情況，檢查是否有異常高占用的進程。

3. 排查可疑進程：

4. 對檢查到的異常進程進行停止

5. 排查自啟動項

6. 檢查是否存在未知的計劃任務

7. 檢查是否存在異常服務

8. 檢查異常外鏈行為，檢查是否存在高危端口的鏈接和與國外IP的鏈接。

9. 檢查是否存在未知特權用戶或者隱藏用戶

10. 日志審查

11. 異常文件檢查

12. 安裝殺毒軟件

三、 勒索病毒預防與事后加固

（一） 勒索病毒的預防措施：

1. 合理的網(wǎng)絡隔離：

2. 嚴格且精準的訪問控制：

3. 定期進行資產(chǎn)梳理：

4. 定期漏洞排查：

5. 身份鑒別:

6. 軟件管理:

7. 供應鏈管理:

8. 部署專業(yè)網(wǎng)絡安全產(chǎn)品:

9. 加強員工的網(wǎng)絡安全意識:

10. 做好重要數(shù)據(jù)備份工作:

（二） 勒索病毒的事后加固

1. 利用備份數(shù)據(jù)進行恢復:

2. 恢復感染設備正常使用:

3. 進行完整的溯源:

4. 加強網(wǎng)絡安全隱患修補:

5. 加強終端安全防護：

6. 構建內(nèi)網(wǎng)威脅發(fā)現(xiàn)能力：

一、勒索病毒發(fā)作的特征

如果發(fā)現(xiàn)大量統(tǒng)一后綴的文件；發(fā)現(xiàn)勒索信在Linux/home、/usr等目錄，在Windows桌面或者是被加密文件的文件夾下。如果存在以上特征情況，證明感染了勒索病毒并且已經(jīng)發(fā)作。

此時禁止插入U盤或者是硬盤等移動設備，因為部分勒索病毒可能會感染移動存儲設備，盲目插入U盤或硬盤會使數(shù)據(jù)被加密，進一步擴大感染的范圍。

二、勒索病毒的應急響應  

（一）當在確定感染勒索病毒后，我們首先要對感染的服務器或終端進行斷網(wǎng)隔離處理。采取以下措施：

1.已感染的用戶，禁用網(wǎng)卡，同時拔掉機器的物理網(wǎng)線。

（Linux中ifconfig [NIC_NAME] Down或者ifdown [NIC_NAME]來禁用網(wǎng)卡）

    

（Windows以管理員身份執(zhí)行命令行，輸入netsh interface set interface "網(wǎng)絡連接名字如：Ethernet0" disabled）    

2.如果同一網(wǎng)段有多臺機器感染，可通過交換機進行斷網(wǎng)。

3.已感染關鍵崗位電腦和重要服務器，立即關機，避免勒索病毒進一步加密所有文件。

4.專人整理感染機器列表，供后續(xù)處置。同時可以通過使用專業(yè)的工具來提取勒索病毒文件名、文件路徑、文件大小、文件簽名、md5值、進程路徑和名稱等特征，使用域控、單機或專業(yè)桌面管理工具等進行操作，迅速進行全網(wǎng)排查。對存在感染勒索病毒特征的機器，進行斷網(wǎng)隔離，并刪除勒索病毒文件和進程，同時持續(xù)監(jiān)控是否繼續(xù)感染，防止病毒的感染范圍進一步擴大。          

（二）針對勒索病毒的特征，如后綴名，勒索信等指紋特征，嘗試確定勒索病毒所屬家族，并查找是否存在解密的可能性。    

（https://noransom.kaspersky.com/  卡巴斯基勒索病毒恢復網(wǎng)站）

（https://www.nomoreransom.org/  國際刑警組織反勒索病毒網(wǎng)站）

同時還有一部分勒索病毒是加密原文件副本再刪除原文件，而原文件有些會用隨機數(shù)覆蓋，有些并沒有。原文件沒有被覆蓋的情況我們就可以通過數(shù)據(jù)恢復的方式進行恢復。除了收費的專業(yè)數(shù)據(jù)恢復可以嘗試使用 DiskGenius 等工具掃描磁盤進行數(shù)據(jù)恢復。 

（三）斷網(wǎng)隔離被感染的機器，進行以下排查工作：

1.查看系統(tǒng)信息：

Linux命令:

 lscpu查看CPU信息

uname -a 查看操作系統(tǒng)的相關信息

          

Windows命令：

在命令行輸入msinfo32    

2.排查CPU的占用情況，檢查是否有異常高占用的進程。

Linux命令：

查看CPU占用率命令:top -ef | more   

top -S：累計顯示進程的 CPU 使用時間。    

     top -p [PID]:僅顯示指定進程ID的信息。

Windows命令：

查看CPU占用率：Win+r進入運行欄，輸入resmon進入資源監(jiān)視器，即可查看CPU占用情況。勒索病毒可能會占用較多的CPU資源，我們進行CPU占用率排查可以幫助我們快速定位。    

          

3.排查可疑進程：

在成功入侵后，攻擊者可以在計算機上開啟專屬的端口來訪問被害主機或植入病毒，所以通過排查可疑端口能確定主機是否存在后門、是否被植入挖礦病毒等，再根據(jù)端口的PID對可疑進程對應的程序排查，確定是否為惡意程序。

Linux命令：

ps -ef | more

Linux的定位進程命令ps -ef | grep CMD

          

Windows命令：

netstat -ano | find “ESTABLISHED”    

Windows使用如下命令來進一步定位:tasklist | find “5175（PID）”

          

4.對檢查到的異常進程進行停止

Linux命令 ：

殺死進程的命令：kill -9 PID

          

Windows命令：

殺死進程，直接在資源監(jiān)視器結束進程即可。    

5.排查自啟動項

自啟動項是系統(tǒng)開機時在前臺或者后臺運行的程序，攻擊者有可能通過自啟動項使用病毒后門等實現(xiàn)持久化控制。

Linux命令：

ls -alt/etc/init.d

    

Windows命令：

Win+r進入輸入欄，輸入taskschd.msc，即可調(diào)出任務計劃程序。

Win+r進入輸入欄，輸入powershell，進入powershell命令行頁面，輸入Get-ScheduledTask可以查看計劃任務的路徑，名稱，狀態(tài)。    

6.檢查是否存在未知的計劃任務

計劃任務是攻擊者維持權限的常用手段。

Linux命令：

查看當前的計劃任務 crontab -l

Windows命令：

Win+r在運行欄中輸入taskschd.msc可以查看任務的名稱，狀態(tài)，觸發(fā)器等信息。

          

Win+r輸入Powershell，之后在Powershell命令行輸入Get-ScheduledTask可以查看計劃任務的路徑，名稱，狀態(tài)。

          

7.檢查是否存在異常服務

  異常服務是攻擊者維持權限的常用手段，我們要重點注意服務狀態(tài)和啟動類型，檢查是否有異常服務。    

Linux命令：systemctl list-unit-files 

Windows命令：win+r調(diào)用出運行欄輸入services.msc          

8.檢查異常外鏈行為，檢查是否存在高危端口的鏈接和與國外IP的鏈接。

Linux命令：

netstat -tunlp

Windows命令：

netstat -ano    

          

9.檢查是否存在未知特權用戶或者隱藏用戶

Linux命令：

1.查看所有用戶信息 cat /etc/passwd

用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell    

最后顯示的 /bin/bash 表示該用戶可登錄; sbin/nologin不可登錄

2.root賬戶排查

輸入命令：

 awk -F: '{if($3==0) print $1}' /etc/passwd

可查詢可登錄賬戶 UID 為0的賬戶,root是 UID為0的可登錄賬戶，如果出現(xiàn)其他為 0 的賬戶，就要重點排查

3.查看所有可登錄賬戶

命令行輸入：

cat /etc/passwd | grep '/bin/bash'

4.查看最后登錄用戶以及相關日志    

命令行輸入：lastb，可查看顯示用戶錯誤的登錄列表，包括錯誤的登錄方法、IP 地址、時間等

命令行輸入：lastlog，查看最后登錄的日志信息

5.排查空口令賬戶

命令行輸入：

awk -F: 'length($2)==0 {print $1}' /etc/shadow

如果有用戶是空口令就會顯示出來          

Windows命令

wmic useraccount get name,SID查看系統(tǒng)中的用戶信息    

黑客創(chuàng)建的某些隱藏賬戶通過dos指令無法發(fā)現(xiàn)， 但是當我們查看注冊表時就可以發(fā)現(xiàn)；通過注冊表檢查是否存在賬戶名為“xxx$”或修改注冊表創(chuàng)建的隱藏賬戶，再檢查是否存在可疑賬戶，并進行禁用。

注冊表路徑：給SAM目錄添加當前用戶可讀寫屬性

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

    

同時，在此項下導出所有以 00000 開頭的項，將所有導出的項與 000001F4 (該項對應Administrator用戶)導出內(nèi)容做比較，若其中的 F 值相同，則表示可能為克隆賬戶！！！

10.日志審查

Linux命令：

系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。

日志默認存放位置：/var/log/

查看日志配置情況：more /etc/rsyslog.conf

日志文件	說明
/var/log/cron	記錄了系統(tǒng)定時任務相關的日志
/var/log/cups	記錄打印信息的日志
/var/log/dmesg	記錄了系統(tǒng)在開機時內(nèi)核自檢的信息，也可以使用dmesg命令直接查看內(nèi)核自檢信息
/var/log/mailog	記錄郵件信息
/var/log/message	記錄系統(tǒng)重要信息的日志。這個日志文件中會記錄Linux系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問題時，首先要檢查的就應該是這個日志文件
/var/log/btmp	記錄錯誤登錄日志，這個文件是二進制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	記錄系統(tǒng)中所有用戶最后一次登錄時間的日志，這個文件是二進制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久記錄所有用戶的登錄、注銷信息，同時記錄系統(tǒng)的啟動、重啟、關機事件。同樣這個文件也是一個二進制文件，不能直接vi，而需要使用last命令來查看
/var/log/utmp	記錄當前已經(jīng)登錄的用戶信息，這個文件會隨著用戶的登錄和注銷不斷變化，只記錄當前登錄用戶的信息。同樣這個文件不能直接vi，而要使用w,who,users等命令來查詢
/var/log/secure	記錄驗證和授權方面的信息，只要涉及賬號和密碼的程序都會記錄，比如SSH登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中

          

常用篩選命令：

grep命令詳細；awk命令詳細；uniq命令詳細；sort命令詳細；正則表達式詳細

1.定位有多少IP在爆破主機的root帳號：   

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

（從/var/log/secure中篩選文本中包含”Failed password for root”,輸出secure中的第11行，進行去重，同時確認出現(xiàn)的次數(shù)。）          

2.定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

3.爆破用戶名字典是什么：

 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n"}'|uniq -c|sort -nr

4.登錄成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

5.登錄成功的日期、用戶名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

Windows命令：

Windows日志包含以下元素：日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)等信息。

包含三種日志類型

系統(tǒng)日志：記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅動程序、系統(tǒng)組件和應用軟件的崩潰以及數(shù)據(jù)丟失錯誤等。系統(tǒng)日志中記錄的時間類型由Windows NT/2000操作系統(tǒng)預先定義。

默認：%SystemRoot%\System32\Winevt\Logs\System.evtx

應用程序日志：包含由應用程序或系統(tǒng)程序記錄的事件，主要記錄程序運行方面的事件，例如數(shù)據(jù)庫程序可以在應用程序日志中記錄文件錯誤，程序開發(fā)人員可以自行決定監(jiān)視哪些事件。

默認：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志:記錄系統(tǒng)的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統(tǒng)事件。安全日志也是調(diào)查取證中最常用到的日志。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統(tǒng)停止響應。

默認：%SystemRoot%\System32\Winevt\Logs\Security.evtx

常見的安全事件ID號

事件ID	說明
4624	登錄成功
4625	登錄失敗
4634	注銷成功
4647	用戶啟動的注銷
4672	使用超級用戶（如管理員）進行登錄
4720	創(chuàng)建用戶

                        

登錄類型

登錄類型	描述	說明
2	交互式登錄（Interactive）	用戶在本地進行登錄。
3	網(wǎng)絡（Network）	最常見的情況就是連接到共享文件夾或共享打印機時。
4	批處理（Batch）	通常表明某計劃任務啟動。
5	服務（Service）	每種服務都被配置在某個特定的用戶賬號下運行。
7	解鎖（Unlock）	屏保解鎖。
8	網(wǎng)絡明文（NetworkCleartext）	登錄的密碼在網(wǎng)絡上是通過明文傳輸?shù)模鏔TP。
9	新憑證（NewCredentials）	使用帶/Netonly參數(shù)的RUNAS命令運行一個程序。
10	遠程交互，（RemoteInteractive）	通過終端服務、遠程桌面或遠程協(xié)助訪問計算機。
11	緩存交互（CachedInteractive）	以一個域用戶登錄而又沒有域控制器可用

其他一些應用的日志：

IIS日志位置：

%SystemDrive%\inetpub\logs\LogFiles

%SystemRoot%\System32\LogFiles\W3SVC1

%SystemDrive%\inetpub\logs\LogFiles\W3SVC1

%SystemDrive%\Windows\System32\LogFiles\HTTPERR

Apache日志位置：

/var/log/httpd/access.log

/var/log/apache/access.log

/var/log/apache2/access.log

/var/log/httpd-access.log

Nginx日志位置：

默認在 /usr/local/nginx/Togs 目錄下，access.log 代表訪問日志error.log 代表錯誤日志。若沒有在默認路徑下，則可以到nginx.conf 配置文件中香找。

Tomcat 日志的位置:

默認在 TOMCAT HOME/Logs/ 目錄下，有 catalina.out、catalina.YYYY-MM- DD.og、localhost.YYYY-MM-DD.og.ocalhost access log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.g、manager.YYYY-MM-DD.log 等幾類日志。

WebLogic日志的位置:

在默認情況下，WebLogic 有三種日志，分別是 access og、server log 和 domain log

access.log

$MW_HOME\user_projects\domains\\servers\\logs\access.log

server.log

$MW_HOME\user_projects\domains\\servers\\logs\.log

domain.log

$MW_HOME\user_projects\domains\\servers\\logs\.log

11.異常文件檢查

Linux命令：

1、查看敏感目錄，如/tmp目錄下的文件，同時注意隱藏文件夾，以“..”為名的文件夾具有隱藏屬性

2、查找異常文件，可以使用find命令來查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt下,一天前訪問過的文件

3、針對可疑文件可以使用stat filename查看文件的創(chuàng)建修改時間。

Windows命令：

查看最近修改的文件win+r進入運行欄，輸入recent。

在搜索欄輸入 *.后綴 即可搜索

12.安裝殺毒軟件

Liunx命令：

Clamav下載：http://www.clamav.net/download.html

安裝教程參照如下：

https://blog.csdn.net/oracle_drower/article/details/134421075

https://blog.csdn.net/qq_39564555/article/details/123300014

Windows命令：

1.病毒分析

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe（推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.360.cn/download_center.html

3.病毒動態(tài)

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn

微步在線威脅情報社區(qū)：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區(qū)：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

4.在線病毒掃描網(wǎng)站

http://www.virscan.org //多引擎在線病毒掃描網(wǎng) v1.02，當前支持 41 款殺毒引擎

https://habo.qq.com //騰訊哈勃分析系統(tǒng)

https://virusscan.jotti.org //Jotti惡意軟件掃描系統(tǒng)

http://www.scanvir.com //針對計算機病毒、手機病毒、可疑文件等進行檢測分析

三、勒索病毒預防與事后加固  

（一）勒索病毒的預防措施：

1.合理的網(wǎng)絡隔離：

采用合理的網(wǎng)絡分區(qū)，可以極大的限制勒索病毒的入侵和傳播。如根據(jù)不同業(yè)務需要將網(wǎng)絡分為隔離區(qū)、內(nèi)網(wǎng)區(qū)、外來接入?yún)^(qū)、內(nèi)網(wǎng)服務器區(qū)等，并限制不同分區(qū)間的網(wǎng)絡訪問。在同一分區(qū)內(nèi)，采用虛擬局域網(wǎng)技術隔離不同部門資產(chǎn)，降低由于單一設備感染勒索病毒，導致勒索病毒在內(nèi)部網(wǎng)絡進一步傳播的可能。

2.嚴格且精準的訪問控制：

對組織關鍵業(yè)務系統(tǒng)設置嚴格的訪問權限，如按照權限最小化原則開放必要的訪問權限、根據(jù)訪問控制策略設置訪問控制規(guī)則等。及時對訪問控制規(guī)則進行更新，刪除多余或無效的訪問控制規(guī)則，如定期對開放的訪問權限進行梳理，及時刪除因人員離職、資產(chǎn)IP 變更后存留的訪問權限。    

3.定期進行資產(chǎn)梳理：

排查組織資產(chǎn)暴露情況，梳理暴露資產(chǎn)真實范圍，梳理范圍涵蓋組織分公司、下級機構等相關資產(chǎn)，梳理時間根據(jù)自身實際情況如每周、月、半年等進行資產(chǎn)梳理。按照最小化原則，盡可能減少在資產(chǎn)互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露，同時對高危端口使用安全設備進行修改或者限制。 

4.定期漏洞排查：

對組織資產(chǎn)進行漏洞排查，一旦發(fā)現(xiàn)資產(chǎn)存在安全漏洞，及時進行修補。采用漏洞掃描等設備和產(chǎn)品的，對漏洞掃描設備進行集中管理，建立完整、持續(xù)的漏洞發(fā)現(xiàn)和管理手段;具備導入第三方漏洞報告能力，支持導入和分析主流廠家漏洞和配置核查掃描結果;針對掃描的漏洞結果加強漏洞知識庫關聯(lián)，及時獲取漏洞信息和解決方案等。

5.身份鑒別:

對用戶進行身份標識和鑒別，如保證身份標識具有唯一性、采用動態(tài)口令等兩種或兩種以上身份鑒別、具備防范口令暴力破解的能力、口令等身份鑒別信息符合復雜度要求并定期更換、推行口令定期強制修改和出廠口令修改等。同時，通過采用掃描軟硬件對系統(tǒng)口令定期進行安全性評估，識別發(fā)現(xiàn)并及時消除弱口令安全風險。    

6.軟件管理:

規(guī)范組織內(nèi)部軟件版本管理機制，避免使用盜版或來路不明的軟件，使用軟件風險評估系統(tǒng)或工具定期檢測關鍵業(yè)務系統(tǒng)使用的相關軟件版本，避免由于軟件版本低引發(fā)安全風險。基于網(wǎng)絡流量對組織內(nèi)部訪問“風險網(wǎng)站”進行檢測和阻斷，降低由于下載和安裝惡意軟件，導致感染勒索病毒的可能。

7.供應鏈管理:

部署供應鏈安全風險防控措施，包括供應鏈相關人員管理、供應鏈生命周期管理、采購外包與供應商管理。采用的網(wǎng)絡設備、安全產(chǎn)品、密碼產(chǎn)品等產(chǎn)品與服務的采購和使用符合國家有關規(guī)定。與選定的供應商簽訂協(xié)議，明確供應鏈各方履行的安全責任和義務，定期審視、評審和審核供應商提供的服務，對其變更服務內(nèi)容加以控制。

8.部署專業(yè)網(wǎng)絡安全產(chǎn)品:

在終端側、網(wǎng)絡側等部署網(wǎng)絡安全產(chǎn)品，并日常排查設備告警情況。例如，在終端側，部署殺毒軟件、終端安全管理系統(tǒng)等安全軟件，不隨意退出安全軟件、關閉防護功能、執(zhí)行放行操作等，并設立應用軟件白名單，及時保持白名單的準確性、完整性、實時性;在網(wǎng)絡側，部署防火墻，堡壘機等網(wǎng)絡安全設備，限制用戶對系統(tǒng)的訪問；部署IPS流量監(jiān)測阻斷設備，以識別和阻斷勒索病毒的傳播。    

9.加強員工的網(wǎng)絡安全意識:

以培訓、演練等提高網(wǎng)絡安全意識，在員工層面切斷勒索病毒傳播的入口。例如，在文件方面，不點擊來源不明的郵件附件、打開郵件附件前進行安全查殺等;在網(wǎng)站方面，不從不明網(wǎng)站下載軟件等;在外接設備方面，不混用工作和私人的外接設備、關閉移動存儲設備自動播放功能并定期進行安全查殺等。

10.做好重要數(shù)據(jù)備份工作:

根據(jù)文件和數(shù)據(jù)的重要程度分類分級進行存儲和備份，如主動加密存儲重要、敏感的數(shù)據(jù)和文件，防范利用勒索病毒的雙重或多重勒索行為。明確數(shù)據(jù)備份的范圍、內(nèi)容、周期等，定期采取本地備份、異地備份、云端備份等多種方式進行數(shù)據(jù)備份，增加遭受勒索病毒攻擊且數(shù)據(jù)文件加密、損壞、丟失等情況下恢復數(shù)據(jù)的可能。

（二）勒索病毒的事后加固

1.利用備份數(shù)據(jù)進行恢復:

根據(jù)遭受勒索病毒攻擊影響相關設備數(shù)據(jù)備份的情況，按照數(shù)據(jù)恢復要求、備份日志，衡量數(shù)據(jù)恢復時間成本、數(shù)據(jù)重要程度，確認數(shù)據(jù)恢復范圍、順序及備份數(shù)據(jù)版本，利用離線、異地、云端等備份數(shù)據(jù)恢復。    

2.恢復感染設備正常使用:

感染勒索病毒設備再次投入使用的，在采取磁盤格式化、系統(tǒng)重裝、刪除可疑文件和程序、消除勒索信息和加密文件等措施的情況下，避免二次感染勒索病毒，再恢復設備正常使用。

3.進行完整的溯源:

通過對攻擊的完整溯源，可以幫助企業(yè)發(fā)現(xiàn)存在的薄弱點，及時加以修復，同時也可以幫助企業(yè)發(fā)現(xiàn)攻擊者的行為模式和特點,幫助企業(yè)形成立體的網(wǎng)絡安全防線,從而提高對未來攻擊的預警能力。

4.加強網(wǎng)絡安全隱患修補:

在消除勒索病毒攻擊影響的情況下，開展網(wǎng)絡安全隱患排查和修補。例如，在權限管理方面，重點排查弱口令、賬戶權限、口令更新和共用等問題；在漏洞修補方面，及時更新系統(tǒng)、軟件、硬件等漏洞補丁；在暴露面梳理方面，檢查本企業(yè)在互聯(lián)網(wǎng)上的暴露面，檢查是否存在暴露的高危端口如（21,22,135,139,445等）。

5.加強終端安全防護：

確保終端設備和服務器上安裝了有效的防病毒軟件和EDR功能模塊 ，防病毒軟件可以掃描系統(tǒng)和文件，有效防止惡意文件落地；EDR可以更有效的防護惡意文件攻擊、漏洞攻擊，有效阻斷安全威脅，同時會產(chǎn)生流量走向、內(nèi)存活動、帳戶信息以及異常操作等風險告警，幫助安全團隊快速定位威脅和溯源入口。    

6.構建內(nèi)網(wǎng)威脅發(fā)現(xiàn)能力：

通過誘捕機制及時感知到惡意文件在內(nèi)網(wǎng)無威脅探測階段的異常行為，并進行預警，通過快速響應能夠最大限度的減少甚至避免惡意文件對內(nèi)部服務器造成的影響。