1. 加密行为
文件被加密,扩展名变更(如.locky、.crypt),出现勒索信。
2. 传播迹象
横向移动、大量文件访问、异常网络连接。
步骤1:隔离感染主机
立即断开感染主机网络连接,防止病毒扩散。
步骤2:评估影响范围
确定受影响的系统、数据和业务范围,评估损失程度。
步骤3:收集证据
备份日志、内存快照、勒索信等证据,便于后续分析和溯源。
步骤4:清除病毒
使用专业工具清除恶意软件,修复系统漏洞。
步骤5:数据恢复
从离线备份恢复数据,验证备份文件未被感染。
1. 定期备份数据(3-2-1原则);2. 及时更新系统补丁;3. 加强员工安全意识培训。