Linux Windows应急响应手册.pdfVIP

一、说明

通过本文档可以独立处置“勒索病毒”、“挖矿木马”类安全事件，提取病毒样

本完成溯源分析工作；

二、安全事件排查流程

2.1、勒索病毒处置流程

2.1.1、了解现状

了解目前什么情况：

文件被加密？

设备无法正常启动？

勒索信息展示？

桌面有新的文本文件并记录加密信息及解密联系方式？

如果确认有以上某种症状处理方式➜➜➜【马上隔离】

（1）确认是否可断网[拔网线]？，要么马上做网络隔离，防止感染其它主机！

（2）未开机的机器➜➜➜【拔网线】➜【排查加固】➜【接入网络】

（3）转向[临时处置办法]

1、打补丁；2、安装防护软件、升级病毒库；

2.1.2、了解发病时间

文件加密时间？

设备无法正常启动的时间？

新的文本文件的出现时间？

了解事件发生时间，后面以此时间点做排查重点；

2.1.3、了解系统架构[服务器类型、网络拓扑等]

系统名称IP地址端口开放物理机/虚拟机主机名设备型号操作系统类型

BIDW（数据库）节点0110.2