某保险公司勒索病毒安全事件应急响应 一、背景描述客户态势感知发现大量的勒索病毒告警锁定为个人终端电脑上存在恶意的文件经过排查发现cerber勒索病毒家族加密文件判定该终端中了勒索病毒经过全盘查找在C盘/D盘下均发现加密文件通过360、奇安信勒索病毒识别发现无法解密和客户沟通完建议未加密文件进行备份后立即重装系统。二、应急过程2.1、系统分析了解到客户告警信息分析触发告警文件# HELP DECRYPT #发现恶意url地址分析外联IP和DNS记录未发现相关恶意信息2.2、日志分析通过终端已部署的安全设备查杀日志可观察到针对文件# HELP DECRYPT #的隔离动作和客户沟通后在终端上发现相关加密文件经查询验证Cerber勒索病毒无法解密三、安全建议3.1、勒索抑制阶段1、建议立即实施物理与逻辑隔离建议第一时间拔除受感染终端的网线并禁用无线网络连接同时关闭蓝牙等近场通信功能以彻底切断该主机与内网及外部网络的通信链路防止勒索病毒通过横向移动或C2通道进一步扩散。2、建议开展全盘深度查杀作业在确保断网的安全环境下使用奇安信顽固病毒查杀工具等专业安全软件对终端进行全盘扫描与清理。重点排查注册表异常项、计划任务、启动目录及隐藏的系统服务彻底清除病毒主体文件及其驻留机制消除残余风3.2、勒索根除阶段1、建议执行系统重装与底层加固鉴于勒索病毒具有极强的隐蔽性和破坏性常规查杀难以保证100%清除后门程序。强烈建议对该终端进行格式化硬盘并重新安装操作系统从根源上斩断潜在的持久化威胁。2、建议落实安全基线配置在新系统部署完成后需及时安装最新的安全补丁修复已知漏洞同时关闭不必要的系统端口与服务部署企业级防病毒软件确保终端达到安全基线标准后方可重新接入网络3.3、恢复阶段1、建议建立常态化安全防护机制将该终端纳入统一的安全管理策略中设定定期全盘病毒查杀任务与自动化漏洞扫描计划提升日常防御能力。2、严格执行数据恢复流程若该终端存有重要业务数据需在确认环境绝对安全的前提下通过离线备份介质进行数据还原操作并对恢复的文件进行二次安全校验若经评估该终端无核心数据留存且无特殊业务依赖则直接采用上述重装系统的方案完成最终处置。