1、数据勒索防范手册（1.0 版）国家工业信息安全发展研究中心 2024年3月 前 言 当前，数据勒索攻击已成为全球最严重的数据安全威胁之一，攻击方式呈现APT化、平台化、多重化、AI驱动化等发展趋势。据统计，近年来针对制造业、公共事业、卫生保健、电力、交通、能源等领域的勒索攻击显著增加。随着云计算、边缘计算等技术的不断发展，新型信息基础设施日益成为勒索攻击的新目标。为有效处理并防范数据勒索攻击，在工业和信息化部网络安全管理局指导下，国家工业信息安全发展研究中心深入开展调研，联合深信服科技股份有限公司、北京威努特技术有限公司、烽台科技（北京）有限公司、绿盟科技集团股份有限公司、天融信科技集团股份有

2、限公司、杭州安恒信息技术股份有限公司、闪捷信息科技有限公司等单位编制数据勒索防范手册（1.0版），分析数据勒索表现形式、感染风险及数据勒索攻击流程，聚焦事前风险防范、事中快速响应、事后整改加固三个阶段，提出数据勒索防护措施，帮助企业防范化解数据勒索软件攻击风险。本手册可供广大工业企业以及其他行业单位和公众在数据防勒索等工作中作为实操参考，后续将持续迭代更新，欢迎各方提供宝贵意见建议。本手册版权属于国家工业信息安全发展研究中心，并受法律保护。如需引用，请注明来源。目 录 第一章 数据勒索概述.-1-1.1数据勒索的表现方式.-1-1.1.1数据加密.-1-1.1.2数据窃取.-1-1.1.3系统

3、加密.-2-1.1.4凭证篡改.-2-1.2勒索软件感染风险分析.-2-1.2.1人员管理安全风险.-3-1.2.2系统漏洞安全风险.-3-1.2.3凭证失窃安全风险.-3-1.2.4第三方供应商安全风险.-3-1.2.5移动存储介质安全风险.-4-1.2.6缺乏保护导致安全风险.-4-1.3数据勒索攻击流程.-4-1.3.1勒索侦察阶段.-5-1.3.2渗透入侵阶段.-5-1.3.3勒索威胁阶段.-6-1.3.4勒索兑现阶段.-6-第二章 数据勒索防护.-8-2.1事前风险防范.-9-2.1.1梳理数据处理相关载体清单.-9-2.1.2健全数据安全管理制度.-10-2.1.3强化数据处理环境

4、安全管理.-11-2.1.4排查修复重要安全漏洞.-13-2.1.5做好数据备份.-13-2.1.6加强社会工程学攻击应对措施.-14-2.1.7定期开展风险评估.-15-2.1.8强化勒索攻击风险监测预警.-15-2.1.9定期开展数据安全教育培训.-15-2.1.10定期开展应急演练.-17-2.2事中应急处置.-17-2.2.1确认勒索攻击事件.-17-2.2.2隔离感染源.-18-2.2.3加固未感染设备.-18-2.2.4及时上报事件.-19-2.3事后整改加固.-19-2.3.1提取样本.-20-2.3.2排查攻击痕迹.-20-2.3.3整改加固.-23-2.3.4恢复服务.-24

5、-2.3.5事件总结.-25-第三章 数据勒索防护与处置案例.-26-3.1数据勒索事件概述.-26-3.2事件应急处置过程.-26-3.2.1 确定勒索攻击事件.-26-3.2.2 隔离感染源.-27-3.2.3 加固未感染设备.-27-3.2.4 及时上报事件.-28-3.3事后加固措施.-28-3.3.1 提取样本特征.-28-3.3.2 排查攻击痕迹.-30-3.3.3 整改加固.-32-3.3.4 恢复系统数据.-33-附录 勒索软件主要利用的已知漏洞及修复补丁.-35-1-第一章 数据勒索概述 数据勒索是指攻击者通过向目标组织投放勒索软件或系统被植入勒索软件，导致数据资产遭受恶意加

6、密、窃取、篡改、删除等破坏，迫使受害方支付赎金，影响目标组织正常生产运营，甚至导致停工停产，造成巨大经济损失的一种攻击行为。1.1数据勒索的表现方式数据勒索的表现方式 当前数据勒索的表现方式主要分为以下4类：1.1.1数据加密数据加密 数据加密是当前勒索攻击最为活跃的表现形式，受害群体最多、社会影响最广。该方式使用加密算法（如AES、RSA等）加密用户磁盘、文件、数据库等数据资产，一旦感染，用户很难解密被加密的数据。2017 年5 月，WannaCry 勒索病毒通过MS17-010 漏洞在全球范围爆发，利用AES-128 和RSA-2048 算法，加密文件数据，要求勒索目标支付赎金。英国、美国