關鍵詞：勒索病毒，網絡安全應急響應，網絡安全應急處置，安全防護

　　摘要：2023年8月，御盾安全團隊接到某半導體公司的應急響應需求，客戶重要服務器感染勒索病毒，所有業務處于中斷狀態，我們立即啟動緊急響應計劃，迅速派出安全工程師到達現場并采取行動，有效阻止了病毒擴散并加固了安全防護。

　　一、事件概述

　　2023年8月，御盾安全團隊接到某半導體公司的應急響應需求，近20臺重要服務器感染勒索病毒，導致業務系統無法正常運行，所有業務處于中斷狀態。我們立即啟動緊急響應計劃，與客戶協調后，迅速派出安全工程師到達現場并采取行動。

　　應急人員抵達現場后，首先進行了深入的安全排查，分析受影響的系統、文件和日志，以確定病毒傳播途徑和影響程度。發現服務器感染Mallox勒索病毒，操作系統C:/User/Public目錄中發現病毒樣本a.exe，系統大部分文件被加密，且系統日志被清除。經過排查發現，凌晨3點左右目標主機有被暴力破解的情況，同時，有惡意用戶使用Administrator賬戶利用遠程桌面登錄到了目標主機，人工投毒并進行橫向擴散。

　　為了遏制病毒的傳播，我們隔離了受影響的系統，防止病毒進一步蔓延。在隔離期間，我們與客戶合作，恢復備份數據，并確保系統重新上線前進行全面測試。我們與安全社區合作，尋找已知的解密工具，以恢復被勒索的數據。同時，我們使用了殺毒軟件和安全工具來清除病毒并確保系統安全。在確認系統干凈并恢復正常運行后，我們與客戶一起制定恢復業務的計劃，涉及重新配置系統、加強安全措施和培訓員工。

　　通過對現場情況進行分析和對事件進行推斷，本次事件主要是由于客戶服務器存在弱密碼，且安全設備缺失導致，進而攻擊者有針對性的對RDP遠程登錄爆破、人工投毒執行勒索攻擊。

　　事后，我們詳細記錄了整個事件處置過程，包括發現、響應、恢復和后續措施，幫助客戶了解事件的全貌，還可用于后續審查和改進安全策略。為了防止類似事件再次發生，我們與客戶建立了持續的監控機制，實施實時威脅監測、漏洞管理和安全培訓，確?？蛻艟W絡始終保持在高度安全狀態。

　　二、防護建議

　　1、系統、應用相關用戶勿使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；

　　2、定期梳理對外開放的端口，禁用服務器除了業務以外的高危端口，如TCP的135、137、139、445等；

　　3、建議部署安全監測產品，對內容攻擊流量進行監測，及時發現惡意流量，并采取應急處置措施；

　　4、建議部署日志審計系統，對重要網絡設備、安全設備和服務器的日志進行統一存儲和分析，便于安全事件的預警、分析和溯源；

　　5、定期開展對系統、應用以及網絡層面的安全評估、漏洞掃描、滲透測試以及代碼審計工作，主動發現目前系統、應用存在的安全隱患，及時更新系統、應用安全補?。?/p>

　　6、加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。

　　近年來，全國應急響應服務需求呈逐步上升趨勢，自2017年“永恒之藍”勒索病毒爆發以來，針對政府、醫療、能源電力、高科技企業、工業制造、教育、金融等行業的攻擊層出不窮，我國網絡安全態勢嚴峻。網絡安全應急響應通過在遇到突發安全事件后采取專業的安全措施和行動，對已經發生的安全事件進行監控、分析、協調、處理、保護資產等安全屬性的工作，能夠及時保障企業用戶的網絡安全，減少安全事件所帶來的經濟損失以及惡劣的社會負面影響。政府機構、企業等應打破傳統安全防護觀念，多角度看待安全問題，實現安全能力與安全意識的全面提升。

　　作為專業的信息安全服務提供商，我們長期為客戶提供安全評估、安全運維等一系列的安全保障服務。共筑網絡安全防護網，御盾一直在您身邊！