企业中了病毒的处置及预防方法

企业中了病毒处置经验分享

企业在发现一台或多台机器感染病毒后，IT人员和安全人员可

按照如下流程进行正确处置（如果企业没有设置信息安全岗位，建议

立即联系第三方专业安全服务公司协助处置）。

一、确认病毒感染迹象

病毒感染后，桌面或文件夹通常会出现英文名的网页文件，可通

过浏览器打开，主要是英文信息，显示提示信息及解密

等；

同时很多文件被加上乱七八糟的带有病毒攻击者邮箱地址信息

的后缀名，文件不能被正常打开。

二、隔离已感染机器，避免病毒进一步扩散

对存在上述病毒感染迹象的机器，应立即实施网络或物理隔离，

避免病毒通过公司有线和无线网络继续传播。隔离方法包括：

1.已感染的无线上网机器，禁用无线网卡；

2.已感染的有线上网用户，禁用有线网卡，同时拔掉机器的物理网线；

3.如果同一网段有多台机器感染，可通过交换机进行断网，或修改无

线网络密码；

4.已感染关键岗位电脑和重要服务器，立即关机，避免病毒进一

步加密所有文件；

5.专人整理感染机器列表，供后续处置。

三、对暂未感染病毒的机器进行加固，防止可能的感染途径

病毒感染一台机器后，会通过文件共享、操作系统远程利用漏洞、

账号弱密码等方式，进一步获取其它机器或AD服务器的账号，从而

进行全网络感染。

对暂未明确发现感染病毒迹象的机器，基于病毒的传播方法

和传播途径，可采取一些基本的安全措施快速进行防护，避免感染。

这些安全措施包括：

1.修改个人电脑、应用服务器、域控服务器登录密码，修改为强密码；

2.禁用guest账号；

3.统一关闭135、139、445、3389等高危端口，关闭RDP服务；

4.安装主流防病毒软件进行防护和查杀；

5.更新操作系统安全补丁。

四、分析已感染机器，提取病毒特征

如果能够快速定位出病毒文件特征（如进程名称，执行路径，文

件大小，md5值，自启动位置，进程保护文件等），可立即开始全网

排查，出网络内其它已感染的机器并进行隔离，从而减少整个

病毒事件的处置时间，降低病毒给企业带来的危害和损失。

可优先从以下几方面进行，包括：

1.和感染机器人员进行深入沟通，如什么时间发现异常，之前执行过

哪些操作等，可帮助快速定位可能的病毒感染源；

2.通过任务管理器，查看CPU、内存、IO使用率高的可疑进程（特别

是文件很多的机器，病毒加密需要占用大量机器资源）；

3.安装病毒查杀工具，快速查病毒文件；

4.安装其它系统安全工具，包括微软提供的SysinternalsSuite安全

工具等进行分析。

通过以上操作，安全人员应该可以查出病毒文件和执行进程，

可进一步通过在线病毒查杀引擎快速对病毒文件进行确认。

五、根据病毒特征，全网筛查感染机器

通过提取的病毒文件名、文件路径、文件大小、文件签名、md5

值、进程路径和名称等特征，可通过域控、单机或专业桌面管理工具

等进行操作，迅速进行全网排查。对存在感染病毒特征的机器，

进行断网隔离，并删除病毒文件和进程，同时持续监控是否继续

感染。

另外基于病毒的网络行为特征，可进一步通过交换机镜像流量分

析，查网络内是否存在已感染机器。

六、 已感染机器处置

已感染病毒的机器，可通过停止病毒进程，删除保护进程或

文件的方法，禁止病毒运行。同时通过U盘备份未加密文件。

文件备份后，统一重新安装操作系统，并按照安全基线进行加固和检

测后，部署应用和恢复数据。

七、病毒感染溯源

病毒感染途径一般包括：外网服务器存在漏洞(如应用层漏洞，

RCE高危补丁未更新，账号弱密码等)，钓鱼邮件附件，长期隐藏存

在的APT攻击等。

病毒溯源可通过对最初感染机器的人员操作行为和操作系统日

志分析，企业内网络设备和安全设备日志分析等，进一步追溯原始漏

洞和入侵方式。

八、修复感染源漏洞

如果能够追溯到最初的感染源，可有针对性地进行安全加固。如果不

能追溯到原始安全漏洞，也应根据病毒传播方式进行安全加固，

包括安全意识宣讲，外网安全漏洞扫描和渗透，防病毒软件安装、安

全补丁更新等。

九、安全事件总结

根据病毒溯源结果，IT或安全负责人应对病毒感染源情况

进行说明，对感染机器、数据损失、恢复情况、恢复时间和费用等进

行说明。

十、制定后续安全加固方案

企业感染病毒的根本原因必然是在安全技术或安全管理方面存

在某些漏洞，如没有安装防病毒软件对病毒文件进行查杀，非

IT部门员工缺乏基础的信息安全意识，随意保存和打开病毒可

执行文件等。这些当前存在的和潜在的各种安全漏洞和安全风险需要

及时处置，并最终在多层次、多阶段建立一个统一的纵深安全防御体

系。

毕竟病毒重在预防，日常防护建议：

1.多台机器，不要使用相同的账号和口令；

2.登录口令要有足够的长度和复杂性，并定期更换登录口令；

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份；

4.定期检测系统和软件中的安全漏洞，及时打上补丁；

5.定期到服务器检查是否存在异常；

6.安装安全防护软件，并确保其正常运行；

7.从正规渠道下载安装软件；

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继

续运行；

9.保存良好的备份习惯，尽量做到每日备份，异地备份。