• 适用声明

本指南由91数据恢复团队原创，适用于企业发现受勒索病毒攻击后的处理场景。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
阅读对象为:gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
企业IT部门负责人、安全管理员、系统管理员、数据库管理员、网络管理员。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 

• 勒索病毒入侵方式

gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
远程桌面 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查 Windows 日志中的安全日志以及防火墙日志等gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
共享设置 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查是否只有共享出去的文件被加密。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
激活/破解 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查中招之前是否有下载未知激活工具或者破解软件。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
僵尸网络 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马，可通过使用杀毒软件进行查杀进行判断。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
第三方账户  gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
软件漏洞 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
页面挂马 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查中毒之前浏览器的历史访问记录，是否存在可疑网站，特别是访问时出现过页 面跳转网站。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
钓鱼邮件 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查邮件记录和中毒前一段时间的网址访问记录，检查是否点击过可疑链接或下载、 运行过附件中的程序、脚本等。并注意：熟人邮件或常用网址并不绝对安全，也许排查。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
U 盘蠕虫 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    U 盘蠕虫下发勒索病毒之前通常也是长期驻扎在系统中，也会残留一些病毒木马在 系统中，可通过杀毒软件查杀识别。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
数据库弱口令 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查 sql 日志，Windows 日志中的应用程序日志。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
主动运行 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查打开程序与文件记录。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
NAS 弱口令 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查 NAS 日志。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
VNC 弱口令 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    检查服务器 VNC 配置gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    排查公司流量情况，以上排查都应该格外关注非工作时段和海外 ip 的访问情况gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
 gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi
    勒索病毒投递阶段的攻击者，往往是采用多种技术手段相结合进行病毒投递的，需要对 中招环境的各种可能攻击途径都进行排查。由于近年来，窃取数据进行勒索的案例大量增加， 对于企业数据是否失窃或者泄密也应进行排查。gT491数据恢复-勒索病毒数据恢复专家,360/rmallox/halo/locked/mkp/faust/svh/elbi