勒索病毒应急与响应手册.docxVIP

勒索病毒应急与响应手册 V1.0 杭州安恒信息技术股份有限公司二〇一九年三月 勒索病毒应急与响应手册 勒索病毒应急与响应手册 PAGE \* roman PAGE \* roman ii 前言 勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播，利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。 勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的 CC 服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规 的杀毒软件都具有免疫性。攻击的样本以 exe、js、wsf、vbe 等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。勒索过程如下： 本手册第 1 章详述如何判断是否已感染勒索病毒，是否已被加密；第 2 章详述当主机处于不同的中毒阶段时，从基础措施和高级措施方向上，分别应如何进行应急响应；第 3 章介绍对于已加密系统的五种处理方式，重要文件需要恢复应分别尝试备份还原、解密、数据恢复、支付解密，价值较低的文件可直接重装系统，并进行主