记一次被勒索病毒攻击怎么办事件的处理过程

11时13分收到同事反馈其电脑防病毒软件检测到勒索病毒或变种的攻击事件，攻击源：192.168.111.222

根据IP-MAC记录表及上网行为管理AC上用户管理-IP-MAC綁定未查到攻击源ip确定该用户为研发人员，禁止上网
利用nmap查看攻击源信息
发现主机名 及开放的端口 操作系统确定为个人终端电脑，主機名未暴露使用人迹象
根据交换机arp表项，查找MAC
根据MAC查找ip-mac记录表找到该用户
该用户私自更改IP导致根据ip未查到该用户

1、核实IP，确认后通知其先断网
3、安装杀毒软件当时用的卡巴斯基
4、全盘扫描，查杀病毒

1、分析卡巴斯基扫描报告查出大量木马，原因：个人电脑从未安装防病毒且操作系统未打补丁
2、管理上内网不上网的用户私自改IP导致不能及时找到使用人
3、员工安全意识有待提高，危险端口445仍普遍开放需通知整改

发布了1 篇原创文章 · 获赞 0 · 访问量 233