中了勒索病毒,数据被恶意加密后,首先不要付钱,你的退让与软弱可能会让犯罪分子更加的嚣张。我们可以按如下几步进行应对处理。
第一步隔离
我们为了防止病毒的扩散,把所有接入层的交换机都关闭掉了,把外部的Internet线路断开,所有的VPN线路断开。
第二取证
第一优先工作肯定是数据恢复,但为了后面分析与调查,一定要把LOG日志保留,被感染的VM不要急着删除。
第三步建立安全防线
整个网络环境都不安全了,如果急着把服务器还原回来后,肯定不久后又会被再次感染。所以我们用一台独立的防火墙建立了一条安全防线,所以被还原回来的服务器要经过 打补丁,改密码,病毒扫描,关危险端口后再把他放到安全防线之后。
第四步 数据恢复
客户的在线数据 ,近线备份数据 ,远端容灾数据全部被感染了,只剩下磁带了。但catalogue也不见了,所以只能通过磁带一盘盘扫描,重建Catalogue。然后再一台台还原,时间很长(1天吧)。
中了勒索病毒怎么办
第五步实时全网监听
这时可以打开二层接入层交换机了,有 TDA,EDR ,TDP等工具最好,接入核心交换机,镜像所有流量,并进行分析溯源。没有的话用七层防火墙也行。需要时刻在防火墙上做监听,一发现有攻击行为,立刻定位攻击源,一般是一台PC,找到那台PC,PC的用户就可以停止工作了,PC回收到IT部门,进行病毒查杀。
第六步 全网病毒扫描
确保所有PC都安装了防病毒软件和最新的病毒库,全网开始扫描病毒。
第七步 分析原因
查看LOG,定位攻击方式,行为,源头。在XX的案子里,攻击是来自于供应商的VPN账号,我们看到有通过这个VPN账号扫描网络,暴力破解密码的各种记录。
