事件應變

救援服務

提供 24/7 資安事件應變與現場支援服務,協助企業在勒索軟體、帳號入侵、資料外洩與系統異常發生時,快速止血、釐清原因並完成復原。

緊急報案 立即通報

勒索病毒救援流程

電腦中毒或被勒索的救援流程介紹

以下流程依照勒索病毒事件處置的標準節奏整理,從緊急通報、災情評估、解密與復原,到威脅清除與結案強化,協助企業快速掌握每一個關鍵處置階段。

01
第一階段

緊急通報與損害控制

Emergency Response & Containment。當系統被加密時,首要任務是防止災情擴大並保護尚未被感染的資產。

  • 立即斷網隔離受害主機,將受害區段與核心網路及備份伺服器進行實體或邏輯隔離。
  • 視情況保持主機開機,保留記憶體取證機會,以利後續尋找解密金鑰或惡意程式殘留。
  • 啟動緊急應變小組,建立專屬且非公司內部的通訊管道,避免既有網路遭全面監聽。
02
第二階段

災情評估與鑑識調查

Assessment & Forensics。在進行任何復原動作前,必須先釐清威脅型態、受害範圍與可用資源。

  • 收集勒索信與樣本檔案,識別勒索軟體變種、駭客組織或勒索家族。
  • 盤點受影響的伺服器與端點設備,並確認是否存在資料外洩風險。
  • 驗證離線、異地或雲端備份可用性,同步追查入侵根因,如 RDP、釣魚郵件或 VPN 漏洞。
03
第三階段

解密評估與資料復原

Decryption Assessment & Recovery。若駭客採用高等級加密,在沒有私鑰的情況下通常無法暴力破解,必須審慎評估復原路徑。

  • 比對國際資安組織與 No More Ransom 計畫,確認是否有可用的公用免費解密工具。
  • 若備份安全可用,於乾淨且隔離的環境中進行還原測試,確認資料完整性。
  • 若無備份且無公開工具,可評估第三方資料救援技術介入;強烈不建議支付贖金。
04
第四階段

威脅清除與系統重建

Eradication & Rebuilding。在資料準備就緒後,必須確保環境已經徹底乾淨,避免還原後立刻遭到二次加密。

  • 清除駭客植入的後門程式、木馬、Web Shell 與未經授權建立的帳號。
  • 針對第二階段發現的入侵管道進行漏洞修補、權限限縮與防護補強。
  • 最佳實務是格式化受害主機,重建作業系統與防護軟體後,再匯入乾淨資料。
05
第五階段

結案報告與防護強化

Reporting & Hardening。事件平息後,需提供完整記錄並協助客戶強化未來的防禦能力與備援韌性。

  • 提交完整的鑑識與處置報告,包含事件時間軸、入侵指標、受損範圍與處理結果。
  • 提出資安架構改善建議,如導入 EDR、次世代防毒、不可變異備份與網路微切分。
  • 強制啟用 MFA,落實 3-2-1 備份原則,並建立後續演練與防護強化計畫。

成功案例

企業遭受攻擊後的實際救援成果

以下案例模擬一間企業遭遇勒索病毒與橫向感染時的處理情境,呈現聯眾安信如何在有限時間內完成止血、清除與復原。

測試名稱

產業別:精密製造業

事件類型:勒索軟體感染、檔案伺服器遭加密、帳號權限外洩

企業在週一清晨發現多台電腦無法開啟共用資料夾,MES 檔案同步中斷,勒索訊息同步出現在內部檔案伺服器與 3 台作業站上。

24 小時內恢復核心系統
未支付贖金
製造業事件應變
  • 攻擊者透過外洩帳密登入遠端存取服務,進一步橫向移動到檔案伺服器與備份管理主機。
  • 現場共 17 台端點出現異常登入與惡意排程,其中 4 台遭實際加密,造成設計圖檔與內部報表暫時無法存取。
  • 企業最擔心的風險是產線排程延誤與備份是否已被破壞,因此需要立即判斷可用資料範圍。
平台如何解決
  • 第一時間協助企業中斷外部連線、封鎖高風險帳號,並將受感染端點與主機從網段中隔離。
  • 透過事件應變流程比對日誌、排程與權限異動,快速找出初始入侵路徑與橫向擴散範圍。
  • 使用乾淨備份復原關鍵檔案伺服器,同步重建帳號權限、補上 MFA 與遠端存取限制。
6 小時 完成感染範圍確認與高風險主機隔離
22 小時 恢復主要檔案伺服器與核心共用資料服務
3 天 完成權限補強、備份檢查與事件報告交付
0 元贖金 採用復原與補強流程完成重建,避免支付贖金

測試名稱

產業別:醫療資訊服務

事件類型:郵件帳號遭入侵、內部資料外寄、雲端權限異常

客服部門發現多封異常外寄郵件,後續追查確認有管理者帳號遭釣魚登入,並試圖透過雲端硬碟共享外流內部病歷交換文件。

8 小時內止血
雲端權限重整
郵件安全補強
  • 異常登入來自海外 IP,短時間內建立多組轉寄規則,並大量搜尋特定關鍵字文件。
  • 雲端共用資料夾權限遭調整,造成多個外部帳號可檢視含敏感欄位的合作文件。
  • 企業需要在不中斷客服與交換作業的前提下,快速控制外流風險。
平台如何解決
  • 立即停用高風險帳號工作階段、清除惡意轉寄規則,並全面重設管理者驗證流程。
  • 盤點近 14 天雲端存取紀錄與共享連結,回收異常權限並建立外部分享白名單。
  • 補強郵件防護策略、啟用條件式存取與高風險登入警示機制。
2 小時 封鎖異常登入工作階段與可疑轉寄規則
8 小時 完成雲端共享權限盤點與外流風險止血
48 小時 交付調查結果與權限補強建議
100% 高權限帳號完成 MFA 與條件式存取套用

測試名稱

產業別:電商與物流

事件類型:網站被植入惡意程式、金流頁面遭竄改、流量異常暴增

促銷活動前夕,官網結帳頁被植入惡意腳本,部分使用者回報付款流程異常,監控同時偵測到可疑海外流量與 API 請求尖峰。

4 小時內恢復前台
電商事故處理
金流頁面清理
  • 攻擊者利用過期外掛與未更新的 API 金鑰植入前端惡意腳本,試圖截取結帳資料。
  • 網站流量在短時間內暴增,導致客服、訂單與倉儲系統同步受到延遲影響。
  • 企業需要兼顧品牌信任與活動營收,必須快速恢復結帳功能並確認資料未進一步外洩。
平台如何解決
  • 啟動緊急切換機制,先以乾淨版本恢復前台結帳頁,並阻擋高風險來源流量。
  • 全面檢查網站原始碼、外掛、CDN 與金流串接設定,清除惡意腳本與異常憑證。
  • 後續導入 WAF 規則、部署檔案完整性監控,並加強發布流程審核。
90 分鐘 完成網站應急切換與高風險來源封鎖
4 小時 恢復前台下單與付款流程
2 天 完成根因調查與全站部署補強
0 筆 確認事件期間未有新增付款資料外洩紀錄
01 / 03