勒索病毒處置流程全曝光，你必須知道的應急響應措施

小藍

2024-10-29

技術教程

新用戶專享：「香港/美國云服務器」新購6折低至9元/月！點擊查看活動介紹>>>

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖

計算機系統中藏有許多既方便又關鍵的查看功能，很多人卻對它們一無所知。這些功能可能關聯到系統資源、賬戶資料、登錄記錄和日志文件等多個方面。它們宛如深藏的寶藏，知曉者可以輕松獲取信息，而不知者則只能在黑暗中摸索前行。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖1

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖2

查看CPU占用率

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖3

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖4

觀察CPU的使用率對于我們掌握電腦性能的實際運用至關重要。在Windows系統中，操作并不繁瑣，只需按下Win+r組合鍵進入運行欄，輸入resmon，即可輕松打開資源監視器。在這里，我們可以清晰地看到CPU的使用情況。此外，依據實時數據，我們還能關閉一些不必要的程序，以釋放CPU資源。但許多普通用戶可能不知，CPU的使用率還能從側面揭示電腦的健康狀況。若電腦在沒有運行大型程序時，CPU頻繁出現高占用，那么很可能意味著電腦存在問題。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖5

掌握CPU使用率是提升電腦性能的關鍵步驟。比如，當你的電腦突然出現卡頓現象，就可以通過這種方法來檢查是否是因為CPU使用率過高。在眾多辦公場景中，不少人的電腦頻繁出現卡頓，往往是因為眾多后臺程序在默默消耗大量CPU資源，而用戶卻渾然不覺。掌握這一檢查方法，便能隨時監督CPU的使用狀況，從而提升工作效率。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖6

查看計劃任務

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖7

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖8

Windows用戶常常需要查看計劃任務。他們可以通過按下Win+r鍵，輸入“powershell”，然后在命令行頁面輸入“Get-ScheduledTask”來查看任務的路徑、名稱和狀態。或者，他們也可以在運行欄中通過Win+r組合鍵輸入“taskschd.msc”來查看任務的相關信息，包括名稱、狀態和觸發器等。這兩種方法各有特點，適用于不同的需求，非常實用。

在企業辦公環境中，網絡管理員負責管理公司電腦的計劃任務。這時，有兩種操作方法能迅速達成目的。一種是通過Win+r快捷鍵輸入taskschd.msc，這樣的操作方法直觀易懂，非常適合一般員工查看任務狀態。另一種則是利用powershell命令行，這種方法更適合具備一定技術背景的人員，以便進行更深入、更豐富的調查與管理。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖9

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖10

查詢可登錄賬戶

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖11

在Linux系統中，查詢UID為0的可登錄賬戶是保障系統安全的關鍵步驟。通過在命令行中輸入“awk-F:'{if($3==0)print$1}'/etc/passwd”這一命令，即可完成查詢操作。通常情況下，root用戶就是UID為0的賬戶。然而，若發現其他賬戶也具有UID為0，則需特別留意。這是因為UID為0的賬戶在系統中擁有最高權限，若存在未知的UID為0賬戶，可能意味著存在黑客入侵或創建了隱蔽賬戶等安全隱患。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖12

在眾多小型服務器環境中，管理員會定期檢查是否存在UID為0的異常賬戶，這樣做有助于確保服務器數據的安全。若發現此類異常賬戶，管理員能立即采取措施，比如暫時凍結可疑賬戶或增強防火墻配置等。

查看用戶登錄相關信息

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖13

查看用戶登錄信息至關重要，無論登錄成功與否。通過命令行輸入“lastb”可以查看用戶錯誤登錄的列表，包括登錄方式、IP地址、時間等詳細信息。此外，二進制日志文件中也保存了這些信息。比如，錯誤登錄日志存儲在二進制文件中，無法直接用vi查看，需借助“lastb”命令；系統用戶最后登錄時間的日志同樣為二進制文件，無法直接用vi查看，需使用“lastlog”命令；還有一些文件，如w、who、users等，需要用相應命令查詢。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖14

網絡安全領域，若頻繁出現登錄失誤，那很可能是黑客在進行暴力破解。安全人員通過分析登錄記錄，能迅速阻止攻擊并追溯源頭，進而封鎖相關IP地址，實施初步防護措施。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖15

查看Windows日志

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖16

Windows日志中存儲著眾多關鍵信息，諸如日期時間、事件種類、用戶身份、計算機名稱、事件編號、信息來源、日志類別、詳細描述以及相關數據等。其中，應用程序日志主要記錄了應用程序或系統程序生成的事件，著重于程序運行過程中的信息，例如數據庫程序可以記錄文件錯誤，而程序開發者還可以自行選擇要監控的具體事件。至于安全日志，它記錄了系統的安全審計信息，包括各類登錄記錄、對象訪問記錄、進程跟蹤記錄、特權使用情況、賬戶管理活動、策略變更以及系統事件等。這些日志全面記錄了系統的各項操作。

在一些公司的辦公環境中，若計算機出現故障，技術人員通常會查閱Windows日志來尋找問題所在。比如，若某個軟件頻繁出現錯誤，技術人員會通過查看應用程序日志來鎖定錯誤源頭；又或者，在安全事件發生時，他們會通過安全日志來確認是哪個環節出現了安全漏洞。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖17

關于系統日志的特殊情況

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖18

系統日志中存在一些特殊類型，它們需要特定的查看方法。例如，那些記錄驗證和授權信息的日志，它們會記錄所有涉及賬號和密碼的程序活動，包括SSH登錄、su用戶切換、sudo授權，以及添加或修改用戶密碼等操作，這些都會被記錄在`/var/log/secure`日志文件里。在`secure`文件中，我們可以篩選包含“Failedpasswordforroot”的文本，并輸出第11行內容，然后進行去重，確認其出現次數。這樣的操作對于排查賬號權限問題具有重要意義。

在服務器管理過程中，通過查閱日志可以得知是否存在未經授權的賬號操作嘗試。如果日志中頻繁出現“root賬號密碼嘗試失敗”的記錄，這表明服務器可能正遭受暴力破解的威脅。因此，應立即更換密碼，并加強安全防護措施。

勒索病毒處置流程全曝光，你必須知道的應急響應措施插圖19