应急响应处置手册

 1. 勒索病毒排查 1.1. 处置方法 1.1.1. 临时处置方法 针对现场已“中招”服务器/主机、未“中招”服务器/主机及未明确是否“中招”的服务器/主机进行临时处置。 (1) 针对已“中招”服务器/主机 • 物理隔离 物理隔离常用的操作方法是断网和关机。断网的主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。 • 访问控制 访问控制常用的操作方法是加策略和修改登录密码。 加策略的主要操作步骤包括：在网络侧使用安全设备进行进一步隔离，如使用防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网中（如为了远程运维方便确有必要开启，则可通过VPN登录后访问），并关闭445、139、135等不必要的端口。 修改登录密码的主要操作步骤包括：第一，立刻修改被感染服务器/主机的登录密码；第二，修改同一局域网下的其他服务器/主机的登录密码；第三，修改高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求采用大小写字母、数字、特殊符号混合的组合结构，密码位数要足够长（15位、两种组合以上）。 (2) 针对未“中招”服务器/主机