记一次勒索病毒攻击事件的处理过程

记一次勒索病毒攻击事件的处理过程

记一次勒索病毒攻击事件的处理过程

11时13分收到同事反馈，其电脑防病毒软件检测到勒索病毒或变种的攻击事件，攻击源：192.168.111.222

告知被攻击用户动作

紧急关闭445端口

查找攻击源使用人

根据IP-MAC记录表及上网行为管理AC上用户管理-IP-MAC绑定未查到攻击源ip。确定该用户为研发人员，禁止上网
利用nmap查看攻击源信息

发现主机名 及开放的端口 操作系统，确定为个人终端电脑，主机名未暴露使用人迹象。
根据交换机arp表项，查找MAC

根据MAC查找ip-mac记录表，找到该用户
该用户私自更改IP导致根据ip未查到该用户

攻击源用户动作

通知攻击源用户，
1、核实IP，确认后通知其先断网
2、关闭135/137/138/139/445等危险端口
3、安装杀毒软件，当时用的卡巴斯基
4、全盘扫描，查杀病毒
5、修复操作系统漏洞

总结

1、分析卡巴斯基扫描报告，查出大量木马，原因：个人电脑从未安装防病毒且操作系统未打补丁
2、管理上内网不上网的用户私自改IP，导致不能及时找到使用人
3、员工安全意识有待提高，危险端口445仍普遍开放，需通知整改