勒索病毒处置与防护

判断

业务系统无法访问

文件后缀被修改

勒索信展示

桌面有新的文本文件

防御技术

文档自动备份隔离技术

文档出现篡改时将文档自动备份在隔离区

智能诱捕技术

布置陷阱文件，在篡改时令其暴露攻击行为

行为追踪技术

对程序行为分析，可疑操作进行内容检测，发现恶意行为阻断并恢复文件

密码保护技术

加强登陆密码安全管理，弱密码检验，反爆破，vpn技术，多因子认证

处置方法

隔离

物理隔离：断网/断电，禁用网卡，拔掉外部存储设备

访问控制：加策略，改密码

排查业务系统

排查局域网其他机器，排查其业务、备份系统

确定勒索病毒种类

根据勒索特征和相关信息判断病毒种类，尝试对应勒索病毒解密工具

溯源分析

查看日志（可以用日志分析工具），寻找相关病毒样本/可疑文件并分析

恢复数据和业务

有备份恢复备份，没备份尝试解密工具或第三方解密

后续防护加固

服务器、终端防护

强密码策略

杜绝通用密码

安装杀软并更新病毒库

及时打补丁

开启日志收集功能

网络防护和安全监测

内网访问控制，限制访问控制列表（ACL）

重要业务和核心系统设置独立安全区域，关闭不必要服务

架设IDS/IPS

架设全流量记录设备

应用系统防护和数据备份

应用渗透测试及加固

业务系统和数据备份，定期验证

安全灾备预案

工具

奇安信、360、腾讯勒索病毒搜索引擎

卡巴斯基、ID ransomware、趋势科技勒索病毒解密工具

观星实验室应急响应信息采集工具