Ransomware Incident Response

勒索病毒应急响应

企业发现服务器、数据库或终端被勒索病毒加密后，应立即隔离网络并保留证据。三人行网络安全协助完成研判、恢复、溯源和加固闭环。

第一时间要做的 6 件事

隔离受害主机和网段，避免横向扩散。

保留勒索信、加密样本、日志和异常进程信息。

暂停自动备份覆盖，保护历史备份和快照。

不要重装、格式化或随意运行未知解密工具。

梳理受影响业务、系统、数据库和文件类型。

联系应急团队进行样本分析和恢复评估。

包括勒索病毒家族识别、影响范围确认、恢复路径建议、业务数据恢复、攻击路径分析、后门排查、漏洞修复建议、备份和权限加固方案。