用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据！

我们坚信
无论您在哪里
我们都能为您提供
最优质、及时、可靠的数据恢复服务！

如需恢复数据，请您致电:
客服：400-1050-918
技术：13318844580

【独家发布】勒索病毒应急指南

2020-03-04 01:00:53 11534 编辑：91数据恢复专家来源：本站原创

l 适用声明

本指南由 91 数据恢复团队原创，适用于企业发现受勒索病毒攻击后的处理场景。

阅读对象为:
企业 IT 部门负责人、安全管理员、系统管理员、数据库管理员、网络管理员。

l 上报情况

发现勒索病毒后，应立即上报 IT 负责人，由其主导所有相关工作。业务部门代表应当被引入，以便判断业务受影响程度及确认临时/完整恢复方案。

l 阻断扩散

应立即停止受感染主机的对外连接，阻止扩散。

系统管理员:

禁用受感染主机网卡;
禁用受感染主机蓝牙; 禁用受感染主机其他具备数据传输能力的链接通道; 依据网络管理员提供的主机清单，检查是否存在其他受感染主机;

设备管理员:
1. 物理断开受感染主机网络连接;

网络管理员:
1. 全网策略禁止受感染主机接入;
2. 向系统管理员提供受感染主机可以连接的主机清单;

l 保护现场

应立即保护现场证据及相关环境、信息，以便测试、取证、追溯。

系统管理员:
1. 确认并记录受感染主机时间及现实环境时间;

2. 确认并记录最近一次现实环境主机正常工作时间;

设备管理员:

1. 强制关停服务器;

网络管理员:

2. 依据系统管理员提供时间，提取受感染主机网络日志(流量、连接等);

备份管理员:
1. 对受感染主机实施整机或整盘备份;
2. 准备与真实环境一致，并且隔离的镜像环境(网络环境、主机环境等)，记作测试环境;
3. 准备与真实环境一致，并且隔离的、状态为未受勒索病毒攻击前的镜像环境(网络环境、主机环境等)，记作验证环境;
4. 准备一套新的业务环境;

l 确认损失

以下所有操作应在测试环境内进行。

应确认勒索病毒类型、数据受损失情况，以便建立恢复方案。

备份管理员:

1. 在测试环境克隆一个受感染主机(A)并启动，提供给系统管理员;
2. 在测试环境克隆一个受感染主机(B)，使用引导盘/系统启动，提供给系统管理员;
3. 确认受感染主机的最近一个有效数据恢复点;
4. 确认若需要恢复受感染主机到上一个备份点的数据损失情况，提供给 IT负责人;

系统管理员:
以下操作在受感染主机(A)中进行

1.提取被加密的文件(尽量选择小文件);
2.提取勒索通知文件或文字提示信息;
3.将被加密的文件样本发送给专业数据恢复公司(91 数据恢复)进行检测;

以下操作在受感染主机(B)中进行
1. 确认磁盘是否被全部加密;
2. 确认文件是否被全部加密;
3. 若此主机存在数据库，与数据库管理员确认数据库可用性、完整性是否受到破坏;
4. 确认业务数据损失情况，提供给备份管理员、IT 负责人;
5. 提取日志文件给日志管理员/安全管理员分析;

日志管理员/安全管理员:
1. 依据系统管理员、数据库管理员、网络管理员提供的信息及日志，判断是否存在数据泄密风险;

IT 负责人
1. 与业务部门代表沟通损失情况;

l 恢复计划

勒索病毒数据恢复方式一般分为三类。

1. 通过备份数据恢复(最低成本，最短时间，低风险，损失一部分数据);

2.通过支付赎金获取恢复工具、密钥(恢复时间不确定，交易无保障，赎金高，风险大，企业向黑客交赎金后再次中毒的可能性大);

3.通过联系专业数据恢复公司(91 数据恢复)恢复被加密数据(安全保障，快速响应，价格合理，经验丰富，数据恢复率高，可开发票)。

备份管理员
1. 评估方式 1 所需时间、资金、成功率、风险，提供给系统管理员;

系统管理员:
1. 评估方式 2 所需时间、资金、成功率、风险;
2. 通过专业恢复工具在测试环境中(例:受感染主机(B))尝试恢复数据;
3. 评估方式 3 所需时间、资金、成功率、数据恢复率;
4. 根据已获知的勒索病毒类型，访问 http://www.91xiufu.com/Safety/ 查询是否已有此类勒索病毒的解密工具;
5. 将 3 种方式的对比分析报告提交至 IT 负责人;

IT 负责人:
1. 与业务部门代表确认恢复方式及恢复计划; 感染环境恢复。

若恢复计划中使用到受感染环境的数据(恢复方式 1~3)，则适用以下指引。

应只恢复、迁移业务所需数据，通过隔离中转的方式，将数据迁移到新的业务环境。

备份管理员:
1. 在测试环境克隆一个受感染主机(C)，使用引导盘/系统启动，提供给系统管理员;
2. 在验证环境克隆一套正常主机(D)并启动，提供给系统管理员;

系统管理员:
以下操作在受感染主机(C)中进行
1. 使用解密工具解密数据;

以下操作在正常主机(D)中进行
1. 将需要迁移的恢复后的业务数据通过 U 盘/EFSS 等中转方式拷贝至主机(D);
2. 使用同类型勒索病毒专杀工具检查是否存在勒索病毒;
3. 若 IT 负责人确认恢复数据可以使用在新业务环境，则通过 U 盘/EFSS 等方式从主机 (D)中转移数据;

IT 负责人:
1. 联络业务部门代表协助确认镜像环境中的业务系统可用性，数据可用性、完整性;

l 取证及加固

建议由专业数据恢复公司(91 数据恢复)在测试环境中分析勒索病毒攻击轨迹，确认入侵方式，还原整个过程。

建议由专业数据恢复公司(91 数据恢复)对新业务环境进行安全检查，并根据取证分析报进行网络、系统、应用、管理等层面的安全加固。

本站文章均为91数据恢复专业数据团队根据公司业务案例，数据恢复工作中整理发表，部分内容摘自权威资料，书籍，或网络原创文章，如有版权纠纷或者违规问题，请即刻联系我们删除，我们欢迎您分享，引用和转载，我们谢绝直接复制和抄袭，感谢！

返回首页上一篇：【持续更新】免费解密工具与网站搜集帖,最新的病毒解密工具会第一时间发布下一篇：【独家揭秘】“不讲武德”的勒索江湖解密之：中了勒索病毒，究竟该不该给黑客交赎金？

联络方式：

客服热线：400-1050-918

技术顾问：13318844580

邮箱：91huifu@91huifu.com

微信公众号

售前工程师1

售前工程师2

我们的业务: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全防护

我们的案例: Phobos家族; GlobeImposter家族; Mallox家族; Makop家族; lockbit家族

我们的服务流程: 免费咨询/数据诊断分析; 评估报价/数据恢复方案; 确认下单/签订合同; 开始数据恢复专业施工; 数据验收/安全防御方案

我们的原创资讯: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全知识

关于我们: 关于我们; 服务承诺; 常见问答; 招贤礼才; 联系我们

关注公众号

91数据恢复是一家专注于勒索病毒数据恢复、勒索病毒数据修复、数据库修复、数据库解密恢复、企业安全防护的专业数据处理服务商，公司在数据恢复方面目前已拥有多项专利技术，多项专业软件著作权，技术专业实力与创新性位列行业前茅。目前，公司已与多家一线数据厂商建立数据恢复技术研究的深度合作，在全国设立多个数据恢复研发中心，使公司长期具备行业一流的数据恢复技术及地位。

粤公网安备 44030502006563号

服务热线
- 服务热线 400-1050-918
- 技术顾问 13318844580
添加微信,免费咨询

用心将技术和服务遍布全中国 一切都是为了价值无法衡量的数据！