勒索病毒应急脚本.docxVIP

勒索病毒应急脚本

一、告警发现与初步研判

1.1告警来源梳理

勒索病毒攻击常见告警渠道按优先级排序为：

（1）终端检测与响应系统（EDR）、下一代防火墙（NGFW）触发的异常加密行为、批量文件修改、异常卷影删除操作告警，占告警来源的65%以上；

（2）用户主动上报：员工发现文件无法打开、后缀异常、桌面出现勒索信；

（3）运维监控告警：核心业务系统突然无法访问、文件服务器存储容量异常跳变、备份系统异常离线；

（4）流量监控告警：内部存在大量横向SMB/RDP连接、异常大流量出站（双重勒索场景下的数据外传）。

1.2现场初步核实与保护

确认告警真实性后第一时间按以下规则保护现场，避免证据丢失、损失扩大：

（1）禁止操作要求：禁止对感染终端/服务器执行关机、重启、格式化磁盘、重新分区操作；禁止往感染磁盘写入任何新数据（包括安装软件、新建文件、解压压缩包）；禁止随意插入移动存储介质，防止病毒扩散；

（2）核心资产证据留存：对核心业务感染服务器，优先使用FTKImager工具提取内存镜像（保存至外接只读存储介质，禁止存本地磁盘），留存内存中恶意进程、攻击者远控连接信息，再执行断网操作；

（3）感染特征确认：

①文件特征：检查根目录、桌面、用户目录、共享目录下是否存在勒索信，常见勒索信文件名为`README.txt`、`!README!.html`、`DECRYPT-ME.txt`、`R