控制器 1756-PA75 结构紧凑 一站式服务

控制器 1756-PA75 结构紧凑 一站式服务

控制器 1756-PA75 结构紧凑 一站式服务

 仿真环境内勒索攻击应急响应

工业网络靶场的仿真环境内嵌完整的应急响应步骤，制造业企业可根据现场攻击者勒索的主机，进行应急响应步骤，通过办公人员发现主机****弹框通知信息安全人员，信息安全人员对被勒索主机网络隔离、病毒分析、阻止扩散、杀毒、解密、加固等应急响应。

此次勒索攻击复现为了使企业环境和攻击环境高度仿真，均使用靶场模拟外网地址，并非真实公网地址。

红色代表攻击路线、蓝色代表应急路线，如下图所示:

4.1    应急响应步骤

4.1.1    主机日志排查

系统感染****，界面弹出勒索信件，此时系统内的文件已经被病毒加密无法正常访问。要求受害者支付赎金才能解密文件并恢复访问权限。

为判断此次攻击事件始末以及后续处置的分析溯源，通过对主机端口连接情况进行分析和溯源，获得更多关于攻击事件的信息，并为进一步的调查和处置提供指导。可初步排查可疑IP。（注释：12.12.12.3靶场虚拟    IP）。

4.1.2    禁用网卡

为了降低勒索事件的损失并限制病毒的进一步传播，禁用受攻击主机的网卡以实现断网处理。这将阻止病毒继续扩散至内网中的其他主机，并防止事件对公司业务的正常运行产生更大的影响。此外，断网处理还有助于阻断攻击者与受感染主机之间的连接。

4.1.3    病毒分析

根据****加密文件的后缀和勒索信件的内容进行判断，经过谨慎缜密地分析，确认该****属于WannaCry家族****。该病毒通过网络传播和感染计算机，然后加密受害者的文件，并要求支付赎金以获取解密密钥。

4.1.4    排查内网主机

逐一排查内网内其他主机的运行状态，判断是否被病毒扩散传染，由于此次应急响应迅速，病毒并未继续扩散，内网其他主机仍处于安全状态。

4.1.5    安全设备排查

查看安全设备日志对此次攻击事件进行溯源分析，通过灯塔安全威胁诱捕审计系统捕获到攻击者画像，系统分析此次攻击疑似境外黑客所为。（注释：12.12.12.3靶场虚拟IP）。

通过对主机系统日志件和安全设备日志事件的对比，可以排查攻击者。（注释：12.12.12.3靶场虚拟IP）。

捕获到该攻击IP曾尝试通过3389端口远程连接公网地址，因此该IP有可能为此次攻击事件的攻击者。（注释：12.12.12.3靶场虚拟ip）。

4.2    数据恢复

4.2.1    病毒查杀

导入安全杀毒软件的离线包，对感染主机进行杀毒，通过对系统磁盘进行扫描检测发现主机所中病毒并将其查杀。

4.2.2    文件恢复

虽然通过杀毒软件查杀了系统中的****程序，但并没能恢复被病毒所加密的文件，因此需要导入文件恢复工具离线包来尝试恢复这些文件。

文件恢复工具的成功率通常取决于多个因素，包括病毒的加密强度、加密算法的复杂性以及文件本身的完整性，因此并不能完全依赖文件恢复工具恢复所有损失。通过对比可以发现，只有部分被加密的文件能够成功恢复，受害主机中仍有大量文件未得到恢复。

4.2.3    数据备份恢复

鉴于文件恢复工具无法完全恢复本次****事件所造成的影响和破坏，需要采取数据备份方法来还原系统。利用备份的数据可将系统还原至病毒入侵前近一次状态，消除勒索攻击的影响，并将系统恢复到可信的状态。

控制器 1756-PA75 结构紧凑 一站式服务