Skill

performing-ransomware-response

Guides structured ransomware incident response from detection and containment to forensics, decryption assessment, recovery, and hardening. Covers negotiations, backups, regulations. For ransomware attacks.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 检测到勒索软件正在执行或文件加密正在进行中

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

performing-ransomware-response

Executes structured ransomware incident response from detection through containment, forensics, decryption, recovery, and hardening. For ransomware attacks with encryption and extortion.

asi

performing-ransomware-response

5.9k

Executes ransomware incident response: detection via ID Ransomware/NoMoreRansom, containment, forensics, decryption assessment, recovery, hardening, negotiation, backups, notifications.

3 files

cybersecurity-skills

performing-ransomware-incident-response

Executes structured ransomware incident response: detect/confirm infection, isolate systems, assess encryption impact, check decryptors, recover from backups, eradicate persistence. For active outbreaks.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行勒索软件响应（Performing Ransomware Response）

适用场景

检测到勒索软件正在执行或文件加密正在进行中
用户反映无法打开带有未知扩展名的文件
在一个或多个系统上发现勒索信
EDR 检测到与加密行为一致的大规模文件修改模式
威胁情报警告即将发生针对组织的勒索软件活动

不适用场景：不涉及文件加密或勒索的普通恶意软件事件；此类情况应使用恶意软件事件响应程序。

前置条件

经高管层审阅和批准的勒索软件专项事件响应 Playbook
已测试并验证的离线备份策略，含气隔离或不可变副本
与专业勒索软件响应公司（如 Mandiant、CrowdStrike Services、Kroll）的事件响应保留协议
预先委托法律顾问进行 OFAC 制裁筛查和法规通知
网络保险承保方联系信息和保单覆盖范围详情
比特币/加密货币分析能力或第三方支付追踪参与

工作流程

步骤 1：检测并确认勒索软件

验证事件为勒索软件并确定变体：

通过分析勒索信文件名、附加到加密文件的扩展名和信件内容识别勒索软件
将勒索信和样本加密文件上传到 ID Ransomware（id-ransomware.malwarehunterteam.com）
在 NoMoreRansom.org 检查可用的免费解密器
从 EDR/SIEM 日志确定勒索软件部署方式
识别勒索软件家族（如 LockBit、BlackCat/ALPHV、Royal、Akira、Play）

勒索软件识别：
━━━━━━━━━━━━━━━━━━━━━━━━━
变体：          LockBit 3.0 (Black)
扩展名：        .lockbit3
勒索信：        README-LOCKBIT.txt
Tor 站点：      lockbit[已编辑].onion
部署方式：      通过 GPO 将 ransomware.exe 推送至所有域成员系统
初始访问：      VPN 凭据攻陷（无 MFA）
驻留时间：      12 天
数据外泄：      是 - 加密前通过 rclone 上传 47GB 至 MEGA

步骤 2：立即遏制

在评估损害前停止勒索软件传播：

优先级 1：将受影响网络段从核心基础设施断开（拔网线，不关机）
优先级 2：如怀疑 GPO 部署，立即隔离所有域控制器
优先级 3：禁用用于部署的受攻陷账号
优先级 4：阻断横向移动协议（SMB TCP/445、RDP TCP/3389、WinRM TCP/5985-5986）
优先级 5：至少保留一个加密系统处于运行状态（不要关机），用于内存取证
注意：不要关闭已加密的系统；保持运行以保留内存中的加密密钥

步骤 3：评估损害和范围

量化影响以支持恢复和业务决策：

统计已加密系统数量（工作站、服务器、域控制器）
确定哪些业务关键系统和数据受到影响
验证备份完整性：检查备份是否未被加密、删除或损坏
评估是否发生数据外泄（检查 rclone、WinSCP、MEGA、云存储活动）
确定赎金要求金额和支付截止日期
检查 OFAC 制裁名单，验证勒索软件组织是否为受制裁实体（支付赎金可能面临法律风险）

影响评估：
加密系统：      187/340 端点（55%）
加密服务器：    12/28（43%）- 含 2 台文件服务器、1 台数据库服务器
域控制器：      3 台中 2 台已加密
备份状态：      Veeam 存储库完整（离线副本已验证干净）
数据外泄：      已确认 - 47GB 已传至 MEGA（文件清单分析中）
赎金要求：      250 万美元比特币（72 小时截止）
OFAC 筛查：     LockBit - 目前非受制裁实体（请与法律顾问核实）

步骤 4：恢复决策矩阵

与法律、高管层和网络保险协商评估恢复选项：

选项	优点	缺点	建议场景
从备份恢复	无需支付、无法律风险	恢复时间可能需要数天	可用干净备份时
免费解密器	无需支付、速度快	极少见	变体有已发布的解密器时
谈判并支付	可能更快	无保证、法律风险、资助威胁行为者	无备份、业务生死存亡时
从头重建	干净环境	时间最长、数据丢失	备份受损、可接受数据丢失时

步骤 5：执行恢复

实施所选恢复策略：

从备份恢复时：

建立用于恢复操作的干净隔离网络段
首先从干净介质重建域控制器（不要还原驻留期内的 DC 备份）
在将任何系统加入新域之前，重置所有用户和服务账号密码
按优先顺序恢复服务器：认证服务、DNS、DHCP，然后是业务关键应用
通过重新镜像而非文件级还原恢复工作站
将已验证干净备份的数据恢复到重建的文件服务器
验证后才重新连接到生产网络

使用解密器时：

先在非关键系统上测试解密器
按业务优先级顺序解密
重新连接前扫描所有已解密系统的残留恶意软件

步骤 6：勒索软件后加固

实施控制措施防止再次发生：

在所有远程访问上强制执行 MFA（VPN、RDP、云门户）
实施 3-2-1-1-0 备份策略（3 份副本、2 种介质、1 份异地、1 份不可变、0 个错误）
在服务器上部署应用白名单
在工作站和服务器 VLAN 之间实施网络分段
为特权账号启用 Protected Users 安全组
在可能的情况下禁用 NTLM 认证
为本地管理员账号部署 LAPS（本地管理员密码解决方案）

核心概念

术语	定义
双重勒索（Double Extortion）	结合文件加密与数据外泄并威胁公开被盗数据的勒索软件策略
不可变备份（Immutable Backup）	在规定保留期内无法修改或删除的备份存储，防止勒索软件针对备份
OFAC 制裁	美国外国资产控制办公室的限制，可能禁止向受制裁实体或司法管辖区支付赎金
驻留时间（Dwell Time）	攻击者在部署勒索软件前的存在天数；是确定哪些备份干净的关键依据
勒索软件即服务（RaaS）	勒索软件开发者将恶意软件租赁给执行攻击的附属者的犯罪商业模式
Rclone	勒索软件运营者在加密前常用于数据外泄的合法云同步工具
3-2-1-1-0 备份规则	要求 3 份副本、2 种介质、1 份异地、1 份不可变/气隔离、0 个恢复测试错误的备份策略

工具与系统

ID Ransomware：通过勒索信或加密文件样本识别勒索软件变体的在线服务
NoMoreRansom.org：欧洲刑警组织支持的项目，为特定勒索软件家族提供免费解密工具
Veeam / Commvault：具有不可变存储库和即时虚拟机恢复能力的企业备份平台
KAPE：对加密系统进行快速取证分类采集，以确定初始访问方式和驻留时间
Cado Response：用于调查影响云基础设施的勒索软件的云原生取证平台

常见场景

场景：通过受攻陷 VPN 的 LockBit 3.0

背景：攻击者攻陷 VPN 凭据（无 MFA），用了 12 天进行侦察，通过 GPO 禁用防病毒软件，外泄了 47GB 数据，并在周日凌晨 2:00 通过 GPO 在整个域内部署了 LockBit 3.0。

方法：

在核心交换机层面断开所有网络段
验证离线备份完整性（Veeam 不可变存储上的存储库）
保留两台已加密服务器运行，用于内存取证
启动事件响应保留协议和网络保险承保方
在隔离网络中开始恢复：重建域控制器、重置所有密码、按优先顺序恢复
同步进行取证调查以确定初始访问方式和完整的攻击者活动

注意事项：

从 12 天驻留期内创建的备份中恢复（可能包含后门）
未进行 OFAC 筛查和法律顾问审查就支付赎金
在完整密码重置前将已恢复系统重新连接到生产网络
未检查数据外泄，使组织面临持续勒索威胁

输出格式

勒索软件事件报告
===========================
事件：           INC-2025-1892
勒索软件家族：   LockBit 3.0 (Black)
检测时间：       2025-11-17T06:45:00Z
初始访问：       VPN 凭据攻陷（无 MFA）
驻留时间：       12 天

影响摘要
加密系统：  187 个端点、12 台服务器
业务影响：  运营完全中断
外泄数据：  47GB（财务、HR、法律文件）
赎金要求：  250 万美元 BTC（72 小时截止）
备份状态：  Veeam 不可变存储库 - 干净

恢复方案
决策：       从备份恢复（不支付赎金）
恢复开始：   2025-11-17T10:00:00Z
DC 重建：    完成 - 2025-11-17T18:00:00Z
关键系统：   已恢复 - 2025-11-18T12:00:00Z
完全恢复：   预计 2025-11-21

遏制时间线
06:45 UTC - SOC 分析员检测到勒索软件
07:00 UTC - 网络段已断开
07:15 UTC - 事件指挥官启动 IR 计划
07:30 UTC - 备份完整性验证开始
08:00 UTC - 对 2 台运行中系统启动内存取证
10:00 UTC - 在隔离环境中开始恢复操作

事后行动
1. 在所有 VPN 和远程访问上强制执行 MFA
2. 实施 3-2-1-1-0 备份架构
3. 工作站/服务器 VLAN 之间的网络分段
4. 为本地管理员密码部署 LAPS
5. 提交法规通知（GDPR 72 小时、州检察长）