勒索病毒防范、中招处置全注意事项
更新时间:2026-06-23
浏览量:
一、日常预防(核心,避免被感染)
1. 系统与软件防护
1. 及时更新Windows、macOS、Linux系统补丁,关闭长期未使用老旧系统(XP、Win7无官方补丁极易中招)。
2. 办公软件、浏览器、数据库、服务器组件定期升级,修补远程漏洞(RDP、SMB、Exchange、FTP是勒索病毒高频突破口)。
3. 关闭高危端口:3389远程桌面、445文件共享、135/139端口;如需远程办公,绑定白名单IP、开启强认证,禁止公网裸暴露服务器。
4. 卸载无用软件、老旧数据库、第三方远程工具,减少攻击入口。
2. 账号权限与密码规范
1. 所有设备设置高强度密码(大小写+数字+符号,≥12位),禁止统一密码、弱密码(123456、admin)。
2. 开启多因素认证MFA:服务器、邮箱、云盘、后台管理系统全部启用,阻断暴力破解。
3. 最小权限原则:员工日常只用普通账户,管理员账号仅运维时临时登录,不日常办公;禁止共享管理员账号。
4. 离职员工立即注销账号,回收服务器、网盘、数据库访问权限。
3. 邮件、文件、下载安全(最主要传播渠道)
1. 不打开陌生邮件附件(压缩包、exe、docm、xlsb、宏文件),不点未知链接,不扫描陌生二维码。
2. 警惕仿冒邮件:伪造客户、领导、银行、快递、税务,诱导启用宏、下载工具。
3. 禁止从网盘、小众网站、QQ群、论坛下载破解软件、外挂、激活工具、盗版程序,这类捆绑勒索病毒概率极高。
4. 外来U盘、移动硬盘先杀毒再打开,关闭系统自动运行。
4. 备份机制(唯一能不付赎金恢复数据的手段)
1. 3-2-1备份标准:3份数据、2种存储介质、1份离线隔离备份。
○ 本地磁盘备份、云端备份;关键数据额外离线硬盘/磁带备份,离线备份定期断开网络(病毒会联网遍历加密所有挂载盘)。
2. 定时自动备份,每日增量备份,每周完整备份;定期校验备份能否正常恢复。
3. 备份服务器与业务服务器物理/网络隔离,不共用账号,防止病毒横向扩散加密备份。
5. 网络与终端管控
1. 部署企业防火墙、EDR终端安全、杀毒软件,实时监控加密行为、异常文件批量修改。
2. 内网分段隔离:办公电脑、服务器、财务系统、监控系统分开网段,限制跨网段访问,防止病毒内网扩散。
3. 关闭不必要文件共享,重要业务文件夹设置只读权限,禁止全员可写。
4. 禁止员工私自搭建私服、开放公网映射、使用家用路由器直连公司内网。
6. 人员管理培训
1. 定期开展钓鱼邮件、勒索病毒科普,识别钓鱼话术、恶意附件特征。
2. 规范办公行为:工作电脑不浏览色情、赌博、盗版网站,不随意外接私人设备。
3. 制定应急流程:发现异常第一时间断网上报,禁止自行操作。
二、发现感染勒索病毒紧急处置(绝对不能做+正确操作)
禁止操作(会加重损失)
1. 不要支付赎金:黑客无履约保障,给钱也可能不给解密工具;支付赎金会助长攻击,资金流向可追溯法律风险。
2. 不要重启服务器/电脑、不要关机、不要格式化硬盘、不要运行杀毒全盘扫描(加密过程会加速破坏文件)。
3. 不要自行下载网上“解密工具”,多数是二次病毒。
4. 不要继续写入新文件,避免覆盖可恢复原始数据。
5. 不要随意连接内网、接入备份硬盘,防止病毒扩散加密其他设备。
标准处置步骤
1. 立刻物理断网:拔掉网线、关闭WiFi,切断病毒内网横向传播通道。
2. 隔离设备:单独存放,禁止访问其他电脑、服务器、共享盘、离线备份。
3. 留存证据:截图勒索弹窗、记录病毒后缀、勒索信、黑客联系方式、加密文件样本,保存日志(防火墙、EDR、服务器登录日志),用于报案和溯源。
4. 上报负责人/运维安全团队,同步启动应急预案。
5. 排查感染源头:钓鱼邮件、漏洞入侵、弱密码爆破、外来U盘、破解软件。
6. 断网前提下,使用干净离线杀毒U盘查杀病毒本体,清除恶意程序。
7. 数据恢复:使用事前离线备份完整恢复;无备份则咨询专业数据恢复机构,切勿私下联系黑客。
8. 全面排查内网所有终端、服务器,修复漏洞、修改全部密码,确认无残留病毒后再恢复联网。
9. 保留证据向网安、公安机关报案。
三、服务器/企业额外重点注意事项
1. 数据库、财务系统、ERP、文件服务器是首要攻击目标,单独隔离,高频备份。
2. 定期巡检开放端口,禁用SMBv1老旧协议。
3. 监控异常行为:短时间大量文件改名、新增加密后缀、CPU磁盘满载、批量删除快照/备份文件(勒索病毒会先销毁备份再加密)。
4. 云服务器不使用默认账号密码,关闭不必要公网端口,启用云安全告警。
5. 定期演练勒索病毒应急恢复流程,验证备份可用性。
四、个人电脑简易防护要点
1. 关闭远程桌面、文件共享,不下载破解软件。
2. 重要文档单独拷贝至离线U盘定期备份。
3. 安装正规杀毒软件,开启实时防护,禁用Office宏默认执行。
4. 陌生邮件附件一律不打开,不明链接不点。
出现文件后缀改变、勒索弹窗立即断网,不支付赎金,使用备份恢复。
上一篇 : 云服务器快照或镜像操作指南
下一篇:勒索病毒知识介绍


