文章总结： 本文档记录了一家企业针对勒索病毒开展的应急演练全流程。演练模拟钓鱼邮件攻击，验证了应急预案有效性，涵盖发现、隔离、溯源、恢复及加固环节。结果显示处置规范，但也暴露员工意识薄弱、备份效率低等问题。建议强化培训、优化备份策略并完善沟通机制以提升应急能力。 综合评分： 85 文章分类： 应急响应,实战经验,安全建设,恶意软件,安全意识

勒索病毒应急演练，完整呈现全流程记录（纯干货、没废话）

北京昊网 北京昊网

北京昊网CTF题解

2026年3月5日 15:52 北京

关注北京昊网公众号，与大家共话网络安全。

企业网络安全应急演练全流程记录

一、演练基本信息

| 项目 | 详情 | | — | — | | 演练主题 | 内网终端感染勒索病毒及应急处置演练 | | 演练时间 | XXXX年XX月XX日 9:00-11:30（共计2.5小时） | | 演练地点 | 企业总部办公楼（网络机房、各部门办公区、应急指挥室） | | 组织部门 | 网络安全部（牵头） | | 参与部门 | 网络安全部、信息技术部、行政部、财务部、业务运营部、人力资源部、合规部 | | 参与人员 | 总指挥（CTO）、副总指挥（网安部经理）、网安工程师、运维工程师、各部门安全员、终端用户代表、合规专员、行政保障人员 | | 演练目标 | 1. 检验《企业网络安全应急处置预案》的实用性和可操作性，暴露预案漏洞；2. 提升各部门协同处置能力，明确各岗位职责；3. 强化员工勒索病毒识别和应急响应意识；4. 验证终端防护、数据备份、网络隔离等措施的有效性；5. 确保突发勒索病毒事件时，能快速阻断、溯源、查杀、恢复，降低业务损失，满足等保2.0及关基保护相关应急要求。 |

二、单位性质及演练背景

（一）单位性质

本单位为中型制造业企业，属于当地重点企业，拥有员工300余人，核心业务涵盖产品研发、生产制造、销售及售后，涉及核心业务系统（生产管理系统、客户管理系统、财务系统）、内网终端200余台、服务器15台，其中生产管理系统、财务系统属于等保三级保护范围，需严格落实应急演练相关合规要求，一旦发生网络安全事件，可能导致生产中断、核心数据泄露，造成重大经济损失和不良影响，因此定期开展应急演练是保障企业安全运营的重要举措。

（二）演练背景

近年来，勒索病毒攻击频发，工业制造企业成为攻击重点目标，多起案例显示，勒索病毒可通过钓鱼邮件、恶意附件、违规接入设备等途径入侵内网，加密终端及服务器文件，索要赎金，导致业务中断、数据丢失。结合本单位实际，模拟员工点击伪装成“内部通知”的钓鱼邮件附件，导致内网1台业务部门终端感染勒索病毒，病毒逐步尝试向内网服务器渗透，模拟真实攻击场景，开展本次应急演练，检验企业应急处置能力，强化全员安全防护意识，同时落实等保2.0关于应急演练的合规要求。本次演练严格遵循“全面覆盖、协同联动、有效融合”的原则，采用1:1还原真实攻击场景的方式，确保演练效果贴合实际需求。

三、事件发现及初步处置

（一）事件发现

XXXX年XX月XX日 9:00，业务运营部员工张某（终端用户代表）在办公时，收到标题为“关于开展XX月度业务培训的通知”的邮件，发件人伪装为行政部邮箱，张某未仔细核实，点击邮件附件“培训通知.exe”，随后终端出现卡顿、弹窗异常，桌面文件被加密，弹出勒索提示框，要求支付比特币解锁文件，否则将删除所有加密文件并扩散至内网其他设备。张某立即停止操作，第一时间联系本部门安全员李某。

（二）初步处置及上报

9:05，部门安全员李某到达现场，确认终端感染勒索病毒，立即断开该终端的内网连接（拔掉网线、关闭无线连接），禁止该终端接入任何网络，防止病毒扩散，同时拍摄终端异常界面、加密文件截图，留存初步证据，同步记录事件发生时间、终端编号、涉及人员及初步情况。

9:10，李某通过企业内部应急联络群（含网安部、信息技术部、合规部相关人员），向网络安全部上报事件详情，提交初步证据，说明“业务运营部1台终端疑似感染勒索病毒，已断开网络连接，未发现其他终端异常”。

9:15，网络安全部工程师王某接到上报后，立即赶赴现场，对感染终端进行初步检测，确认该终端感染的是新型勒索病毒，病毒已加密桌面文档、业务数据等文件，未发现病毒已渗透至内网服务器的痕迹，同时将事件上报至网安部经理（副总指挥）。

9:20，副总指挥接到上报后，核实事件情况，判断事件等级为一般网络安全事件（未波及核心系统、未造成大规模感染），立即向总指挥（CTO）汇报，申请启动企业网络安全应急处置预案（三级响应）。

9:25，总指挥批准启动应急响应，下达应急处置指令，明确各部门职责，要求各部门密切配合，快速开展处置工作，同时由合规部同步记录处置过程，确保符合合规要求。

四、涉猎部门与人员的沟通处理（协同处置）

演练过程中，各部门严格按照应急预案分工，高效沟通、协同配合，具体沟通处理流程如下，确保信息传递及时、职责落实到位，形成处置合力：

（一）跨部门沟通机制

建立“应急指挥室+内部联络群+电话通知”三重沟通渠道，由网安部作为沟通枢纽，实时同步事件处置进展，确保各部门信息同步、行动一致；总指挥统筹全局，副总指挥具体协调，各部门安全员作为本部门联络人，负责信息传递和人员调度，避免沟通脱节。

（二）各部门沟通及处置职责

网络安全部（核心处置部门）：安排2名工程师负责病毒溯源、终端查杀、网络隔离；1名工程师负责实时监测内网流量，排查是否有其他终端被感染；同步向各部门推送病毒识别要点，提醒员工警惕钓鱼邮件，避免二次感染。沟通重点：及时向总指挥、副总指挥汇报处置进展，向信息技术部同步病毒特征，向各部门传达防护要求，向合规部提供处置记录。

信息技术部：安排1名运维工程师协助网安部，提供感染终端的配置信息、系统日志，协助排查内网服务器是否存在异常；准备终端系统重装、数据恢复所需的工具和备份文件；同步检查内网防火墙、EDR终端防护系统的策略，确保防护生效。沟通重点：向网安部反馈服务器排查结果、备份数据可用性，协助解决处置过程中的技术难题，向各部门提供终端技术支持。

业务运营部：部门安全员组织本部门员工开展自查，检查各自终端是否存在异常，禁止点击陌生邮件、附件；配合网安部，提供感染终端的使用记录、近期操作情况，协助溯源病毒入侵途径；同步梳理该终端存储的业务数据，确认是否有核心数据被加密，评估业务影响。沟通重点：向网安部反馈本部门自查结果、业务数据情况，向员工传达应急处置要求，协调业务人员配合处置工作。

财务部：安排专人自查财务终端及财务系统，确认是否存在异常，重点保护财务数据、资金相关信息；配合网安部，排查财务系统与感染终端的关联，防止病毒渗透至财务系统。沟通重点：向网安部反馈财务终端及系统排查结果，确保财务数据安全，同步评估事件可能造成的财务损失。

行政部：负责应急保障工作，准备应急处置所需的设备、物资（如U盘、系统安装光盘、消毒用品）；协调办公场地，保障应急指挥室正常运转；同步通知各部门，禁止违规接入外部设备、点击陌生邮件，强化员工安全意识。沟通重点：向各部门提供应急保障支持，及时传达应急通知，记录应急处置过程中的物资使用情况。

人力资源部：配合网安部，组织员工开展应急防护培训（现场同步讲解钓鱼邮件识别、勒索病毒防范要点）；记录演练过程中员工的参与情况，后续纳入员工安全培训考核。沟通重点：向网安部反馈培训开展情况，协助组织员工配合演练，整理员工参与记录。

合规部：全程监督应急处置流程，记录处置过程中的关键节点、措施，核查处置流程是否符合等保2.0、企业应急预案及相关合规要求；同步收集处置过程中的证据（截图、日志、沟通记录），用于后续演练复盘和合规备案。沟通重点：向总指挥、副总指挥反馈合规核查意见，提醒各部门规范处置流程，留存相关证据。

（三）沟通处置重点

1.  所有沟通均留存记录（文字、截图、电话录音），确保可追溯，满足合规要求；2.  明确沟通时效，重大处置进展（如发现新的感染终端、病毒渗透至服务器）需在5分钟内上报总指挥；3.  避免信息泄露，严禁向无关人员透露演练细节及事件处置情况；4.  针对处置过程中出现的分歧，由副总指挥协调，确保处置工作有序推进，不耽误处置时效。

五、演练全流程（应急处置实施）

本次演练严格按照“启动响应—隔离阻断—溯源排查—病毒查杀—数据恢复—系统加固—应急结束”的流程推进，各环节衔接顺畅，具体实施过程如下：

（一）第一阶段：启动应急响应（9:00-9:25）

1.  事件发现及初步上报（9:00-9:20）：完成终端感染确认、初步隔离、逐级上报，详细流程见“三、事件发现及初步处置”；2.  启动应急预案（9:20-9:25）：总指挥批准启动三级应急响应，明确各部门职责，成立应急处置小组，明确分工（溯源组、查杀组、监测组、保障组、合规组），下达处置指令，应急指挥室正式启动，各部门人员到位。

（二）第二阶段：隔离阻断（9:25-9:40）

终端隔离：网安部工程师对感染终端进行彻底隔离，拔掉网线、关闭无线网卡，禁用USB接口，防止病毒通过移动设备、网络扩散；同时对该终端进行标记，禁止任何人擅自操作。

网络隔离：信息技术部运维工程师配合网安部，在防火墙、交换机上添加临时策略，阻断感染终端所在IP段与内网其他终端、服务器的通信，限制该IP段的网络访问权限；同时检查内网路由、网关，确保隔离策略生效，避免病毒横向渗透，该操作全程留存策略配置记录。

全员警示：行政部通过企业内部通知、工作群，向全体员工推送病毒警示，告知员工“近期有钓鱼邮件传播勒索病毒，禁止点击陌生邮件及附件，发现终端异常立即断开网络并上报部门安全员”；人力资源部同步在各部门办公区现场提醒，强化员工警惕性。

（三）第三阶段：溯源排查（9:40-10:10）

病毒溯源：溯源组（网安部2名工程师）对感染终端进行深度检测，通过查看系统日志、邮件日志、进程记录，确认病毒入侵途径为“点击钓鱼邮件附件”，获取钓鱼邮件发件人IP、附件MD5值、病毒特征码，同步将病毒特征上报至安全厂商，获取查杀方案；同时排查该终端近期的网络连接记录、文件传输记录，确认是否有其他终端与其建立过连接。

内网排查：监测组（网安部1名工程师）通过内网态势感知平台、EDR终端防护系统，实时监测内网所有终端、服务器的运行状态，排查是否有其他终端出现病毒感染迹象（如文件加密、异常进程、陌生连接）；信息技术部运维工程师同步检查核心服务器（生产管理系统、财务系统）的日志、进程，确认服务器未被感染，未发现病毒渗透痕迹，全程记录排查结果。

结果汇总：溯源组汇总溯源及排查结果，向副总指挥、总指挥汇报，明确“病毒入侵途径为钓鱼邮件，仅1台终端感染，未扩散至内网其他设备及服务器，病毒特征已获取，可开展查杀工作”，同时将溯源报告提交至合规部备案。

（四）第四阶段：病毒查杀（10:10-10:40）

查杀准备：查杀组（网安部1名工程师+信息技术部1名运维工程师）根据安全厂商提供的查杀方案，准备查杀工具、病毒库升级包，对感染终端进行系统备份（避免查杀过程中丢失未加密文件），同时关闭终端所有无关进程，确保查杀环境安全。

病毒查杀：使用专业查杀工具，对感染终端进行全盘扫描，查杀病毒程序、恶意进程，删除病毒文件及感染文件；针对已加密的文件，尝试使用安全厂商提供的解密工具进行解密，同时记录查杀过程中的关键操作、查杀结果（如查杀病毒数量、解密文件数量）。

查杀验证：查杀完成后，对终端进行重启，检查终端运行状态，确认无异常弹窗、无病毒进程，文件加密状态已解除（可正常打开）；同时通过EDR终端防护系统，对终端进行二次扫描，确认无病毒残留，确保查杀彻底，验证结果同步反馈至总指挥。

（五）第五阶段：数据恢复（10:40-11:00）

数据核查：业务运营部配合网安部、信息技术部，核查感染终端内的业务数据，确认加密文件已全部解密，未丢失核心业务数据；对部分无法解密的文件，通过企业数据备份系统，恢复至最近一次备份版本（备份时间为前一日22:00），确保业务数据完整。

数据恢复：信息技术部运维工程师操作数据备份系统，提取备份数据，同步至感染终端，恢复终端内的业务数据、办公文件，恢复完成后，由业务运营部员工验证数据完整性、可用性，确认数据恢复正常，无缺失、无错误。

备份验证：网安部工程师检查数据备份系统的运行状态，确认备份策略有效，备份数据完整，同时测试备份恢复流程，确保后续发生类似事件时，可快速完成数据恢复，满足等保2.0关于数据备份与恢复的要求。

（六）第六阶段：系统加固（11:00-11:20）

终端加固：查杀组对感染终端进行系统加固，升级操作系统补丁、杀毒软件病毒库，修改终端登录密码（设置复杂密码），禁用不必要的进程、端口，开启终端加密功能，安装EDR终端防护系统，确保终端防护能力达标。

内网加固：信息技术部运维工程师优化内网防火墙、WAF、EDR等安全设备的策略，添加钓鱼邮件拦截规则、病毒特征拦截规则，阻断陌生IP的访问；同时梳理内网终端的权限，落实最小权限原则，删除冗余权限，禁止终端擅自接入外部网络。

全员加固：各部门安全员组织本部门员工，对各自终端进行自查，升级杀毒软件、修改复杂密码，删除陌生邮件、附件，禁止保存敏感数据至桌面，强化终端防护意识，网安部同步抽查各部门终端加固情况，确保加固到位。

（七）第七阶段：应急结束（11:20-11:30）

处置复盘：各部门向总指挥、副总指挥汇报本次应急处置工作情况，包括事件处置过程、措施、结果，排查处置过程中存在的问题，同步提交处置报告。

效果评估：总指挥、副总指挥结合各部门汇报情况，评估本次应急演练的效果，确认“病毒已彻底查杀、数据已恢复、系统已加固、未造成业务损失、应急处置流程符合预案要求”，同时明确演练中存在的不足。

应急终止：总指挥下达应急终止指令，宣布本次勒索病毒应急演练圆满结束，解除应急响应状态，各部门恢复正常办公；合规部同步整理应急处置全过程记录，用于合规备案和后续复盘优化。

六、演练复盘与改进措施

（一）演练复盘（11:30-11:45）

演练结束后，总指挥组织全体参与人员开展复盘会议，总结本次演练的亮点和不足，确保演练效果落地，具体复盘内容如下：

演练亮点：1. 事件发现及时，员工上报流程规范，初步隔离措施到位，有效防止病毒扩散；2. 各部门协同配合高效，沟通渠道畅通，处置职责明确，未出现推诿、脱节情况；3. 病毒溯源、查杀、数据恢复流程规范，符合应急预案要求，圆满完成演练目标；4. 全程留存处置记录，符合合规要求，可追溯；5. 演练场景贴合实际，有效检验了应急处置能力和安全防护措施的有效性。

存在不足：1. 部分员工对钓鱼邮件的识别能力不足，模拟场景中仍有2名员工点击了测试钓鱼邮件，安全意识有待提升；2. 数据恢复过程中，部分备份文件提取速度较慢，备份恢复效率有待优化；3. 跨部门沟通时，部分信息传递不够精准，导致个别处置环节出现轻微延误；4. 应急处置过程中，部分员工对处置流程不熟悉，操作不够熟练。

（二）改进措施

强化员工培训：人力资源部联合网安部，每月开展1次网络安全培训，重点讲解钓鱼邮件识别、勒索病毒防范、应急处置流程，定期开展模拟钓鱼测试，对测试不合格的员工进行二次培训，提升全员安全意识和应急处置能力，培训记录留存归档。

优化数据备份策略：信息技术部优化数据备份系统，提升备份数据提取速度，增加实时备份节点，定期开展备份恢复测试，确保备份数据可用、恢复高效，满足等保2.0及业务连续性要求，每季度提交备份测试报告。

完善沟通机制：网安部梳理跨部门应急沟通流程，明确沟通内容、时效、责任人，定期组织各部门安全员开展沟通演练，确保信息传递精准、及时，避免出现沟通延误，修订应急沟通相关制度并下发执行。

优化应急预案：网安部结合本次演练存在的不足，修订《企业网络安全应急处置预案》，补充勒索病毒处置的细节流程，明确各环节的操作标准、责任人、时效要求，确保预案更具实用性和可操作性，修订后报合规部备案。

加强日常监测：网安部强化内网态势感知、EDR终端防护系统的日常监测，及时发现异常情况，提前预警，避免安全事件发生；同时定期开展内网安全排查，及时发现并整改安全隐患，形成排查整改闭环，留存排查记录。

七、演练总结

本次应急演练严格按照预设流程推进，圆满完成了所有处置环节，达到了演练目标，有效检验了《企业网络安全应急处置预案》的实用性，提升了各部门协同处置能力和员工安全意识，验证了终端防护、数据备份、网络隔离等安全措施的有效性，同时排查出了应急处置过程中存在的不足，明确了后续改进方向。本次演练严格遵循相关合规要求，全程留存处置记录、复盘报告，可用于等保合规备案。后续，企业将以本次演练为契机，不断完善应急处置体系，强化日常安全防护，定期开展应急演练（每年至少2次实战化演练），持续提升企业网络安全应急处置能力，守住网络安全底线，保障企业核心业务稳定运行和核心数据安全，切实履行网络安全主体责任。

八、附件（留存归档）

应急演练通知及方案

事件上报记录、沟通记录（文字、截图、录音）

病毒溯源报告、查杀记录、数据恢复记录

应急处置全过程照片、视频记录

演练复盘会议纪要、改进措施清单

合规核查记录、演练评估报告

应急演练资料归档清单

记录人：XXX（网安部）

审核人：XXX（网安部经理）

批准人：XXX（CTO）

记录日期：XXXX年XX月XX日

| | | | | | — | — | — | — | | | | | |

学网安，找北京昊网，就业有保障，带你冲刺10-40万年薪！

很多人想入行网络安全，却困在没人带、没方向、练不会、找不到工作，

自学半年、一年，依然停留在 “看视频懂，动手就废”。

其实小白入行网安，最怕的不是难，而是瞎努力。

咨询对接：黎歌｜18500324210（同微信）

签约《就业保障服务协议》，未达成协议内就业标准，全额退费。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北京昊网CTF题解 北京昊网 北京昊网《勒索病毒应急演练，完整呈现全流程记录（纯干货、没废话）》