安全研究/和中谈安全/企业遭遇勒索软件后，72小时内必须做的5件事

企业遭遇勒索软件后，72小时内必须做的5件事

2026-01-15 10:05分享

勒索软件攻击一旦发生，每一分钟的延误都可能导致感染范围扩大、核心数据永久丢失，72小时更是决定损失规模的“黄金应急期”。根据NIST网络安全框架（CSF 2.0）事件响应原则及我国《国家网络安全事件报告管理办法》要求，企业需在最短时间内启动精准处置动作，而非被动等待或盲目支付赎金。本文聚焦72小时核心处置周期，梳理出5件必须落地的关键事项，结合实战经验与技术工具给出实操指南，其中将少量融入和中科技应急响应相关产品应用场景。

一、第1件事：1小时内紧急隔离，遏制攻击扩散

勒索软件的核心危害在于横向扩散感染，因此“快速隔离”是应急处置的第一道防线，需在发现攻击迹象后1小时内完成。此时的核心目标是切断攻击传播路径，避免感染从单终端蔓延至核心业务服务器、数据库及共享存储。

实操要点包括：一是立即断开受感染终端的网络连接，对于已接入内网的设备，直接拔除网线或禁用网络适配器，严禁通过远程操作尝试修复；二是扩大隔离范围，排查与受感染终端有过数据交互的设备（如共用文件服务器、同一网段终端），暂时限制其访问核心业务系统；三是关闭危险服务，在企业内网层面禁用SMBv1、弱版本RDP等易被勒索软件利用的协议，通过防火墙阻断可疑出站连接，尤其要拦截指向境外C&C服务器的流量。

技术工具支撑方面，可借助和中科技神雕EDR的终端隔离功能，通过后台一键触发受感染设备的网络隔离指令，同时联动防火墙快速更新拦截规则，避免人工操作延误导致的扩散风险。

二、第2件事：24小时内完成全面研判与合规通报

隔离完成后，需在24小时内完成攻击态势研判与合规通报，这既是制定后续处置策略的基础，也是履行法定责任的关键。研判不到位易导致处置方向偏差，通报不及时则可能引发额外的合规风险与声誉损失。

研判核心内容包括：通过神雕EDR收集受感染终端的进程日志、文件操作记录，定位勒索软件植入路径（如钓鱼邮件附件、漏洞利用）；识别勒索软件家族类型（如LockBit、Conti），判断其加密算法是否有破解可能；评估感染范围（终端数量、涉及业务系统）及数据损失规模，明确是否存在敏感数据窃取（如客户信息、财务数据）。

合规通报需严格遵循《国家网络安全事件报告管理办法》要求：涉及关键信息基础设施的，需第一时间向保护工作部门、公安机关报告，最迟不超过1小时；属于重大、特别重大事件的，保护工作部门需在半小时内上报国家网信部门；其他企业需在4小时内向属地省级网信部门报告，若涉嫌违法犯罪，需同步向公安机关报案。同时，若涉及用户隐私数据泄露，需及时向客户及合作伙伴通报，说明事件进展与防护措施。

三、第3件事：48小时内固定证据，坚决拒绝赎金

在72小时周期内，48小时节点需完成证据固定工作，同时明确“拒绝支付赎金”的原则。支付赎金不仅无法保证数据恢复（欧洲警政署数据显示，支付赎金后仍有30%以上企业无法完整恢复数据），还会助长攻击者气焰，增加二次攻击风险。

证据固定的核心要点：一是留存攻击相关痕迹，包括勒索通知弹窗截图、受感染文件样本、终端日志、网络流量记录等，通过只读模式备份至离线存储设备，避免证据被篡改；二是记录应急处置操作日志，详细标注隔离时间、研判过程、通报对象等信息，为后续溯源分析及责任认定提供依据；三是若发现攻击源头指向境外，可通过12339举报渠道向国家安全机关反馈，配合开展溯源打击工作。

技术层面，可利用和中科技神雕EDR的日志留存与样本采集功能，自动汇总攻击相关数据，生成标准化证据报告，降低人工取证的复杂度与遗漏风险。同时，可对接权威威胁情报平台，查询是否存在对应勒索软件家族的免费解密工具，为数据恢复提供替代方案。

四、第4件事：72小时内启动备份恢复，优先保障核心业务

72小时内的核心目标之一是启动数据恢复工作，尽快恢复核心业务运转。恢复工作需基于前期的备份体系，避免因备份数据被感染或不可用导致处置失败。

恢复前需先验证备份数据安全性：优先使用异地离线备份数据（如跨地域云备份、离线磁带库），通过隔离环境测试备份数据的完整性与可恢复性，确认未被勒索软件污染。恢复过程需遵循“先核心、后普通”的原则：优先恢复支撑业务运转的核心系统（如订单系统、支付系统）及关键数据（如核心数据库、业务配置文件），再逐步恢复普通终端数据。

若企业未建立完善的备份体系（如未执行3-2-1备份策略），需在恢复过程中同步搭建临时备份机制，避免恢复后再次遭遇攻击导致数据丢失。对于暂时无法恢复的非核心数据，可先通过业务替代方案保障运转，后续逐步完成恢复。

五、第5件事：72小时内完成初步加固，防范二次攻击

在核心业务恢复运转的同时，需在72小时内完成初步安全加固，封堵攻击漏洞，避免攻击者利用留存的访问凭据实施二次入侵。加固工作需针对本次攻击暴露的薄弱环节，快速落实防护措施。

初步加固要点：一是重置所有用户账号密码，尤其是管理员账号、数据库账号，强制启用多因素认证（MFA），关闭不必要的远程访问权限；二是紧急修复已知漏洞，对操作系统、数据库、业务软件等进行补丁更新，重点修复本次攻击利用的漏洞（如Exchange远程代码执行漏洞）；三是强化终端防护，通过神雕EDR开启实时监控模式，对可疑进程、恶意文件执行拦截，同时禁用终端的宏功能、批量文件加密权限等高危操作；四是通过和中科技战鹰BAS开展快速安全验证，模拟攻击者视角检测防护体系是否存在盲点，及时优化防护策略。

总结：72小时处置的核心逻辑是“快、准、稳”

企业遭遇勒索软件后的72小时，核心处置逻辑可概括为“快隔离、准研判、稳恢复”：以1小时隔离遏制扩散，24小时研判通报筑牢合规基础，48小时取证拒赎明确方向，72小时恢复加固回归常态。这一过程中，技术工具（如EDR、BAS）与合规要求的结合是关键，而和中科技神雕EDR与战鹰BAS形成的“监测-处置-验证”闭环，可为企业72小时应急处置提供高效支撑。

需要注意的是，72小时处置并非终点，企业还需在事件结束后30日内完成全面复盘，分析攻击原因、处置漏洞，优化应急响应预案与防护体系，通过常态化应急演练提升应对能力，从被动处置转向主动防御，真正抵御勒索软件的持续威胁。