文档介绍:***病毒急救指南
V
360政企安全反病毒部
2021年3月
前 言
***病毒威胁已经成为当前最受关注的网络安全风险之一。而结合信息窃取和泄露的二次***模式,使得***病毒的危害进一步加深。针对个人、企业、政府机关、各类机构的攻击层出不穷,在***病毒威胁面前,没有人能够置身事外。在***病毒处置中,如能及时正确处置,可有效降低***病毒带来的损失,避免病毒影响进一步扩散。360反病毒部是国内最早开始追踪***病毒的团队,提供的反***服务已累计为超万例***病毒救援求助提供帮助,我们将通过本文对***病毒的常规处置方法、解密方法、安全加固方案和其它一些常见问题进行解答,希望以此为企事业单位和广大网民提供帮助。
360反病毒部是360政企安全集团的核心能力支持部门,由一批常年在网络安全一线进行对抗防御的专家组成,负责流行病毒木马的监测、防御、处置和新安全威胁研究。维护着360高级主动防御系统、360反***服务等基础安全服务,并为用户提供了横向渗透防护、无文件攻击防护、软件劫持防护、挖矿木马防护等多项防护功能,保护广大网民上网安全。
目 录
处置篇 1
一、 阻断***病毒进一步扩散 1
二、 了解攻击具体情况 1
(一) 了解受影响情况 1
(二) 了解中招***病毒情况 2
(三) 黑客攻击方式排查 3
三、 及时处理未感染设备,避免再次遭遇攻击 5
四、 中毒设备处理 6
五、 安全加固 6
解密篇 7
Q1 中***病毒,不知是否可解? 7
Q2 想恢复数据,能否提供付费解密服务? 7
Q3 购买密钥需要注意什么? 7
Q4 360制作解密工具耗时多长? 8
Q5 数据恢复方式是否有效? 8
安全加固篇 9
一、 针对个人用户的安全建议 9
(一) 养成良好的安全****惯 9
(二) 减少危险的上网操作 9
(三) 采取及时的补救措施 9
二、 针对企业用户的安全建议 9
(一) 企业安全规划建议 9
(二) 定期排查项 11
***病毒问答 12
Q1 ***病毒是否有传播性? 12
Q2 文件已被加密,但扫不出病毒? 12
Q3 如何判断系统是否还存在***病毒? 13
其它常见问题 14
Q1 不知道为什么就中招了,想知道具体中毒原因 14
Q2 ***病毒是否会在内网中横向转播? 14
Q3 插入U盘文件被加密了,那文件还能备份吗? 14
Q4 中毒系统需要重装吗? 15
Q5 我安装了NSAtools为什么还是中了***病毒? 15
附录 360安全卫士功能介绍 16
处置篇
发现被感染***病毒之后,第一时间的正确处置能有效降低***病毒带来的损失,避免病毒影响进一步扩散,更快找到解决方案。对于企业而言,往往是多台设备同时被***病毒攻击,且同一内网之中可能还存在其它尚未被感染设备。针对这一情况,为了避免***病毒进一步扩散,我们提供以下处理流程方案供参考。
阻断***病毒进一步扩散
发现中毒机器,首先应先阻断***病毒继续加密文件和进一步扩散。有两个可行方案,但无论采取哪个方案,都应在第一时间对中毒机器进行断网处理(关闭网络能阻止***病毒在内网横向传播以及攻击者对当前设备的持续控制)。具体方案如下:
若发现设备中还有未被加密文件,应及时切断网络并关闭计算机。关闭计算机能及时阻止***病毒继续加密文件,再次开机前应确保还未被加密的文件已进行备份。
若发现文件均已被加密,可切断网络之后,联系专业技术人员,查看病毒程序是否还在运行。若还在运行,则可尝试抓取内存dump,为后续解密提供帮助。
了解攻击具体情况
了解受影响情况
包括:
哪些机器受到攻击,影响情况如何,是否存在备份,备份是否可用。
哪些机器未受到攻击,是否可暂时隔离下线处理等。
机器感染***病毒的开始时间。
网络拓扑情况,中招机器和未中招机器在网络中的分布情况等。
存储有敏感信息的设备是否被异常访问,是否存在数据泄露风险。
对企业信息资产的全面排查,是避免由于慌乱出现遗漏,为后续工作埋下隐患。此处需要结合企业自身设备情况进行灵活排查。
对于中招情况不明,已经关闭下线的机器,如需排查损失情况,建议对磁盘或环境做备份后,在隔离网内开机或上线查看,以免有残存的开机自启动病毒再次启动后加密文件。另外需要主要的是,管理员通过远程登录到被感染设备查看情况时,一定不要将本地磁盘映射过去。因为***病毒可能还在运行,映射过去会导致该磁盘文件被加密。
了解中招***病毒情况
可以通过以下方面来了解所感染***病毒情况:
病毒留下的***信息
被病毒加密的文件
被加密后的桌面背景
发现的