近日，360数字安全集团联合光明网网络安全频道发布的《2022勒索软件流行态势报告》，给出一份对勒索软件事件的应急排查处置清单。遇到此类问题，可对照清单完成事件的初步处理，再由专业团队详细排查事故原因。

　　其一，检查设备“中招”情况。以下设备需重点关注：公网服务器、域控设备与管控设备、内网共享服务器、办公机（检查是否仅是共享文件夹被加密）。常见被攻击特征有：文件后缀被篡改，文件夹留下勒索信息，桌面背景被修改，弹出勒索提示信息等。

　　其二，控制勒索蔓延。即根据现场情况，对已经发现的被攻击设备或存在风险的设备与网段进行临时管控，常见管控方法包括三种：

　　一是访问控制，包括网络隔离或主机隔离，端口访问控制（常见端口包括：445、135、137、139、3389、22、6379、3306、7001），设置IP访问黑白名单（禁止国外IP访问，或仅允许特定IP访问，或仅允许本地IP访问），以及控制重要设备的访问权限，或对重要设备做临时下线处理。

　　二是物理隔离，包括关闭设备或设备断电，拔出网线、禁用网卡、禁用无线网卡或移除移动网卡。

　　三是密码策略，包括修改全部管理员账号密码，禁用归属不明账号，以及临时停用非必要账号，修改所有普通用户账号密码

　　其三，排查关键节点。完成应急处置后，需在联系安全团队进行进一步排查的同事，尽快确认以下事项：确定机器感染勒索软件时间；收集可疑样本，被加密文件（少量）及勒索提示信息（一份）；收集中招设备系统安全日志与防火墙日志；检查存储敏感信息设备是否被异常访问；检查设备中账户情况，包括第三方软件账户、最近新增账户；检查数据库账户、VPN账户、NAS账户、VNC类软件配置；排查Web日志；排查最近运行记录；临时禁用发现的攻击账号；使用安全软件进行扫描；此外，完成后续安全加固工作，安装补丁，修补存在的其它问题。（记者 孔繁鑫 刘昊）