为帮助更多的组织单位有效应对勒索病毒威胁|避免成为下一个受害者：勒索病毒急救响应篇( 二 ) 为帮助更多的组织单位有效应

建立并实施自带设备安全策略，检查并隔离不符合安全标准（没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等）的设备；
建立并实施权限与特权制度，使无权限用户无法访问到关键应用程序、数据、或服务；
制定备份与恢复计划，最好能将备份文件离线存储到独立设备。
完善急救措施
针对大型单位或者有溯源需求的组织，在急救过程需要注意保留现场，避免给后续做防御加固、解密恢复带来困难。
1.梳理资产，确认灾情
尽快判断影响面，有利于后续工作开展及资源投入，确认感染数量、感染终端业务归属、感染家族等详情。梳理的表格可参考如下：

文章图片
2、保留现场，断开网络
尽快断网，降低影响面，保留现场，不要轻易重启或破坏（若发现主机还没完成加密的情况，可以即刻断电，交给专业安全人员处理），避免给后续溯源分析、解密恢复带来困难。
3、确认诉求，聚焦重点
确认诉求，是勒索病毒应急响应的核心。
受害组织必须明确核心诉求，比如数据解密、加固防御、入侵分析（溯源取证）、样本分析、企业内网安全状况评估等，应急响应人员则根据核心诉求，按照紧急程度依次开展工作。
4、样本提取，数据收集
提取系统日志：将C:WindowsSystem32winevtLogs目录拷贝一份到桌面，然后在桌面上将其压缩为以感染主机命名的压缩包，例如：192.168.1.1-windows-log.zip
提取加密文件：选取若干文件较小的被加密文件，留作后面解密尝试，以及用于判断勒索病毒家族。
判断病毒文件是否还在加密
使用everything文件检索工具，搜索被加密文件，比如文件加密后缀为“Ares666” ，那么就搜索“*.Ares666” ，按修改时间排序，观察是否有新的被加密文件，如果正在产生新加密文件，立刻关机，关机后可将磁盘进行刻录用来分析；如果已经停止加密，则继续进行后续步骤。
收集系统日志文件
Windows系统日志目录为“C:WindowsSystem32winevtLogs” ，可以整个打包下来。（整体文件比较大，可进行压缩，直接压缩可能会失败，原因是文件被占用，将Logs目录拷贝到桌面再压缩即可。）
采集家族信息
被加密的文件不是病毒样本，因此可把完整的加密后缀、勒索文本/弹窗一起保存或截图保存，如果截图则截图要完整和清晰。
查找病毒文件
勒索病毒文件通常都比较新，可以使用everything搜索“*.exe” ，按修改时间（或创建时间）排序，通过目录和文件名猜测可能的病毒文件，一般可能性比较大的目录包括：
“C:WindowsTemp”
“C:Users[user]AppDataLocalTemp”
“C:Users[user]Desktop”
“C:Users[user]Downloads”
“C:Users[user]Pictures”等等。
5、判断家族，尝试解密
通过深信服EDR官网根据勒索信息文件和加密后缀进行家族搜索，从而确认病毒家族， EDR官网网址如下：
https://edr.sangfor.com.cn/#/information/ransom_search
如果该病毒家族有解密工具，可直接进行下载，注意需要将原加密数据备份后再进行解密，谨防损坏后永久性丢失数据。
6、溯源取证，封堵源头
通过对主机日志、安全产品日志的详细排查，定位入侵来源，还原攻击过程，尽快对攻击入口进行封堵。一般来说通过文件修改时间，确定各个主机之间的先后感染顺序，一般情况下，最开始被感染的主机，即内网入侵点之所在。
7、加固防御，以绝后患