原创力文档- 0
- 0
- 约6.37万字
- 约 167页
- 2026-03-23 发布于浙江
- 举报
一、说明
通过本文档可以独立处置“勒索病毒”、“挖矿木马”类安全事件,提取病毒样本完成溯源分析工作;
二、安全事件排查流程
2.1、勒索病毒处置流程
2.1.1、了解现状
了解目前什么情况:
文件被加密?
设备无法正常启动?
勒索信息展示?
桌面有新的文本文件并记录加密信息及解密联系方式?
如果确认有以上某种症状处理方式???【马上隔离】
确认是否可断网[拔网线]?,要么马上做网络隔离,防止感染其它主机!
未开机的机器???【拔网线】?【排查加固】?【接入网络】
1、打补丁;2、安装防护软件、升级病毒库;转向[临时处置办法]
1、打补丁;2、安装防护软件、升级病毒库;
2.1.2、了解发病时间
文件加密时间?
设备无法正常启动的时间?
新的文本文件的出现时间?
了解事件发生时间,后面以此时间点做排查重点;
2.1.3、了解系统架构[服务器类型、网络拓扑等]
系统名称
IP地址
端口开放
物理机/虚拟机
主机名
设备型号
操作系统类型
BIDW(数据库)节点01
10.2xx.xx.xx
80、22
物理机
Bnnnn
IBMP595
AIX
操作系统版本
管理后台IP地址
中间件类型
中间件版本
数据库类型
数据库版本
应用URL
AIX5.3
10.xx.xxx.79
was
7
oracle
V11g
应用端口
储存设备类型
储存设备型号
web框架
中间件版本
文档评论(0)