勒索病毒应急与响应手册V1.0(完整版)
勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能
破解。勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
勒索病毒文件一旦进入本地,就会自动运行。接下来,勒索病毒利用本地的互
联网访问权限连接至黑客的 C&C 服务器,进而上传本机信息并下载加密公钥,利用
加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人,其他人是几乎不可能
解密。加密完成后,通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指
导用户去缴纳赎金。勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。
攻击的样本以 exe、js、wsf、vbe 等类型为主,对常规依靠特征检测的安全产品是
一个极大的挑战。勒索过程如下:
本手册第 1 章详述如何判断是否已感染勒索病毒,是否已被加密;第 2 章详述
当主机处于不同的中毒阶段时,从基础措施和高级措施方向上,分别应如何进行应
急响应;第 3 章介绍对于已加密系统的五种处理方式,重要文件需要恢复应分别尝
试备份还原、解密、数据恢复、支付解密,价值较低的文件可直接重装系统,并进
行主机加固;第 4 章详述如何进行勒索病毒的防治建议,包括五个基础措施和应用
终端检测与响应(EDR)产品。
通过应用本手册,在不同阶段及时做出响应,尽可能避免或降低损失。
{:6_267:} {:6_267:}{:6_267:}{:6_267:}{:6_267:} 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666 666666666666666