勒索病毒威胁已经成为当前最受关注的网络安全风险之一。

而结合信息窃取和泄露的二次勒索模式，使得勒索病毒的危害进一步加深。

针对个人、企业、政府机关、各类机构的攻 击层出不穷，在勒索病毒威胁面前，没有人能够置身事外。在勒索病毒处置中，如能及时正 确处置，可有效降低勒索病毒带来的损失，避免病毒影响进一步扩散。

一、处置篇

​ 发现被感染勒索病毒之后，第一时间的正确处置能有效降低勒索病毒带来的损失，避免病毒影响进一步扩散，更快找到解决方案。

对于企业而言，往往是多台设备同时被勒索病毒攻击，且同一内网之中可能还存在其它尚未被感染设备。

针对这一情况，为了避免勒索病毒进一步扩散，我们提供以下处理流程方案供参考。

1、阻断勒索病毒进一步扩散

​ 发现中毒机器，首先应先阻断勒索病毒继续加密文件和进一步扩散。

有两个可行方案，但无论采取哪个方案，都应在第一时间对中毒机器进行断网处理(关闭网络能阻止勒索病毒在内网横向传播以及攻击者对当前设备的持续控制)。

具体方案如下：

​ a. 若发现设备中还有未被加密文件，应及时切断网络并关闭计算机。

​ 关闭计算机能及时阻止勒索病毒继续加密文件，且避免再次直接开机。

​ b. 若发现文件均已被加密，可切断网络之后，联系专业技术人员，查看病毒程序是否还在运行。

​ 若还在运行，则可尝试抓取内存dump，为后续解密提供帮助。

2、了解攻击具体情况

(一) 了解受影响情况

包括：

• 哪些机器受到攻击，影响情况如何，是否存在备份，备份是否可用。
• 哪些机器未受到攻击，是否可暂时隔离下线处理等。
• 机器感染勒索病毒的开始时间。
• 网络拓扑情况，中招机器和未中招机器在网络中的分布情况等。
• 存储有敏感信息的设备是否被异常访问，是否存在数据泄露风险。

对企业信息资产的全面排查，是避免由于慌乱出现遗漏，为后续工作埋下隐患。此处需要结合企业自身设备情况进行灵活排查。

对于中招情况不明，已经关闭下线的机器，如需排查损失情况，建议对磁盘或环境做备份后，在隔离网内开机或上线查看，以免有残存的开机自启动病毒再次启动后加密文件。

另外需要主要的是，管理员通过远程登录到被感染设备查看情况时，一定不要将本地磁盘映射过去。因为勒索病毒可能还在运行，映射过去会导致该磁盘文件被加密。

(二) 了解中招勒索病毒情况

​ 可以通过以下方面来了解所感染勒索病毒情况：

1. ​ 病毒留下的勒索信息
2. ​ 被病毒加密的文件
3. ​ 被加密后的桌面背景
4. ​ 发现的可疑样本
5. ​ 弹窗信息
7. ​ 在准备完成上述文件之后，可以通过相关工具（如360勒索病毒搜索引擎）查询所中勒索病毒情况。更多操作可参见解密篇

注：勒索病毒的特征信息是经常会改变的，仅靠一些文件名和弹窗信息无法绝对准确判断勒索病毒种类，最终勒索病毒的认定还需要通过分析提取到的病毒样本确定。

(三) 黑客攻击方式排查

​ 该信息一般需要专业人员进行排查，如有需要可直接给我们打电话或是加微信私信咨询~（评估免费，数据恢复不成功不收费）

​ 以下是2024年受勒索病毒入侵方式占比情况，可供参考：

1. 远程桌面

​ 检查 Windows 日志中的安全日志以及防火墙日志等,同时排查内网穿透类与远控代理类软件。

1. 共享设置

​ 检查是否只有共享出去的文件被加密,具体可参考“Q2 勒索病毒是否会在内网中 横向转播？”中的共享自查。

1. 激活/破解

​ 检查中招之前是否有下载未知激活工具或者破解软件。

1. 僵尸网络

​ 僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马，可通过使 用杀毒软件进行查杀进行判断。

1. 第三方账户

​ 检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、 数据库等涉及到口令的软件。

1. 软件漏洞

​ 根据系统环境，针对性进行排查，例如常见被攻击环境 Java、通达 OA、致远 OA 等。查 web 日志、排查域控、邮件服务器、数据库与设备补丁情况等。

1. 页面挂马

​ 检查中毒之前浏览器的历史访问记录，是否存在可疑网站，特别是访问时出现过页 面跳转网站。

1. 钓鱼邮件

​ 检查邮件记录和中毒前一段时间的网址访问记录，检查是否点击过可疑链接或下载、 运行过附件中的程序、脚本等。并注意：熟人邮件或常用网址并不绝对安全，也许排查。

1. U 盘蠕虫

​ U 盘蠕虫下发勒索病毒之前通常也是长期驻扎在系统中，也会残留一些病毒木马在 系统中，可通过杀毒软件查杀识别。

1. 数据库弱口令

​ 检查 sql 日志，Windows 日志中的应用程序日志。

1. 主动运行

​ 检查打开程序与文件记录。

1. NAS 弱口令

​ 检查 NAS 日志。

1. VNC 弱口令

​ 检查服务器 VNC 配置

​ 排查公司流量情况，以上排查都应该格外关注非工作时段和海外 ip 的访问情况

​ 勒索病毒投递阶段的攻击者，往往是采用多种技术手段相结合进行病毒投递的，需要对 中招环境的各种可能攻击途径都进行排查。由于近年来，窃取数据进行勒索的案例大量增加， 对于企业数据是否失窃或者泄密也应进行排查。

3、及时处理未感染设备，避免再次遭遇攻击

a) 口令更换，因无法确定黑客掌握了内部多少机器的口令，同一内网下设备口令均应更换。包括但不 限于涉及远程桌面、mysql、mssql 和 Tomcat 等任何涉及网络登录的口令。

b) 根据排查发现的攻击方式与隐患，及时修补漏洞，短时间内无法修补的，坚决不能再次 上线。

c) 在未完成全部检查前，有机器需要上线的，应关闭文件共享，如果无法关闭的，应该限 制访问权限，内网中可能还有尚未找到的被感染机器，有文件共享的话，共享文件可能 会被加密。

4、 中毒设备处理

中招设备如果要再次投入使用的，应该对安全问题进行一一排查，可参见：安全加固篇 ->定期排查项。

在未查清中招原因的情况下，不建议进行如下操作：格式化磁盘、重装系统、恢复系统等彻底破坏中招环境的其它操作。

彻底删除发现的可疑程序，病毒文件。

如果发现可疑文件后，可以将文件打包为一 个加密压缩包后再进行删除或转移。清除所有的勒索信息和被加密文件，这可能会影响后续文件的恢复。

5、 安全加固

已经感染过勒索病毒，或者之前感染过挖矿木马的设备，再次感染勒索病毒的风险非常 高，对于中招设备，排查原因并进行加固是非常必要的。

详细操作请参考安全加固篇