勒索病毒应急响应计划

故事发生背景：某市休日爆发大规模勒索病毒感染事件，该病毒利用系统漏洞进行传播，并产生一定的影响。

〇.  演练开始前乙方协助做好模拟环境的搭建和部署。

一．演练开始

1.甲方下达开始指令，各负责人到位。

2.甲方启动“安全预警”预案等。（协助甲方开始自查等流程）。

二．启动病毒感染应急预案：（结合APT设备进行分析）

1. 了解攻击发生的时间和现象，大致判断病毒类型。
2. 确定甲方内部感染主机，内部感染规模，业务影响程度。
3. 对可能造成影响的主机进行隔离。（断网）
4. 日志备份和病毒样本留存。进行威胁溯源

三．与甲方交接协助做好书面报告和客户安抚工作。

四．按照应急预案开始处置

1. 病毒行为分析。

2. 寻找并清理病毒进程。

3. 找出病毒，删除文件。

4. 删除相关注册表。

5. 进行系统升级。

6. 进行全网排查，确认处置是否有效。

7. 尝试恢复信息系统的正常运行。

8. 报告演练完成。

五．应急事件的调查与总结

参考链接

https://wenku.baidu.com/view/836bd935551810a6f4248640.html

https://www.leiphone.com/news/201705/VaV7a4JoMQzfRZWc.html

http://blog.nsfocus.net/emergency-response-case-study/