千防万防,病毒难防。如果公司不幸中了勒索病毒,数据被恶意加密后,首先不要付钱,你的退让与软弱可能会助长黑客的嚣张气焰。我们可以按如下几步进行应对处理。
第一步隔离
我们为了防止病毒的扩散以及被黑客持续监视,把所有接入层的交换机都关闭掉了,把外部的Internet线路断开,所有的VPN线路断开。
第二步 取证
第一优先工作肯定是数据恢复,但为了后面分析与调查,一定要把LOG日志保留,被感染的VM不要急着删除。
第三步 建立安全防线
整个网络环境都不安全了,病毒跟木马到处都是,如果急着把服务器还原回来后,肯定容易二次感染。所以我们用一台独立的防火墙建立了一条安全防线,所以被还原回来的服务器要经过 打补丁,改密码,病毒扫描,关危险端口后再把他放到安全防线之后。
第四步 数据恢复
优先通过存储的快照还原,没有存储快照,按以下顺序进行还原,近线备份数据 ,离线数据(重删设备或者带库)。如果重删设备性能够用可以通过 Veeam 的及时还原拉起应用。还原数据时间很长,这时如果有多驱带库就可以大大缩短时间。
第五步 实时全网监听
这时可以打开二层接入层交换机了,有 TDA,EDR ,TDP等工具最好,接入核心交换机,镜像所有流量,并进行分析溯源。没有的话用七层防火墙也行。需要时刻在防火墙上做监听,一发现有攻击行为,立刻定位攻击源,离线隔离,对其进行病毒查杀。
第六步 全网病毒扫描
确保所有PC都安装了防病毒软件和最新的病毒库,全网开始扫描病毒。
第七步 分析原因
查看被感染服务器的LOG,定位攻击方式,行为,源头。阻断黑客的攻击线路,避免被二次攻击。
当然这一切的操作有个前提,就是你之前已经做好了数据备份,最好是 Veeam,同时也遵循了备份3210的原则。