performing-ransomware-response
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
Best use case
performing-ransomware-response is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
Teams using performing-ransomware-response should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-ransomware-response/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-ransomware-response Compares
| Feature / Agent | performing-ransomware-response | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行勒索软件响应(Performing Ransomware Response) ## 适用场景 - 检测到勒索软件正在执行或文件加密正在进行中 - 用户反映无法打开带有未知扩展名的文件 - 在一个或多个系统上发现勒索信 - EDR 检测到与加密行为一致的大规模文件修改模式 - 威胁情报警告即将发生针对组织的勒索软件活动 **不适用场景**:不涉及文件加密或勒索的普通恶意软件事件;此类情况应使用恶意软件事件响应程序。 ## 前置条件 - 经高管层审阅和批准的勒索软件专项事件响应 Playbook - 已测试并验证的离线备份策略,含气隔离或不可变副本 - 与专业勒索软件响应公司(如 Mandiant、CrowdStrike Services、Kroll)的事件响应保留协议 - 预先委托法律顾问进行 OFAC 制裁筛查和法规通知 - 网络保险承保方联系信息和保单覆盖范围详情 - 比特币/加密货币分析能力或第三方支付追踪参与 ## 工作流程 ### 步骤 1:检测并确认勒索软件 验证事件为勒索软件并确定变体: - 通过分析勒索信文件名、附加到加密文件的扩展名和信件内容识别勒索软件 - 将勒索信和样本加密文件上传到 ID Ransomware(id-ransomware.malwarehunterteam.com) - 在 NoMoreRansom.org 检查可用的免费解密器 - 从 EDR/SIEM 日志确定勒索软件部署方式 - 识别勒索软件家族(如 LockBit、BlackCat/ALPHV、Royal、Akira、Play) ``` 勒索软件识别: ━━━━━━━━━━━━━━━━━━━━━━━━━ 变体: LockBit 3.0 (Black) 扩展名: .lockbit3 勒索信: README-LOCKBIT.txt Tor 站点: lockbit[已编辑].onion 部署方式: 通过 GPO 将 ransomware.exe 推送至所有域成员系统 初始访问: VPN 凭据攻陷(无 MFA) 驻留时间: 12 天 数据外泄: 是 - 加密前通过 rclone 上传 47GB 至 MEGA ``` ### 步骤 2:立即遏制 在评估损害前停止勒索软件传播: - **优先级 1**:将受影响网络段从核心基础设施断开(拔网线,不关机) - **优先级 2**:如怀疑 GPO 部署,立即隔离所有域控制器 - **优先级 3**:禁用用于部署的受攻陷账号 - **优先级 4**:阻断横向移动协议(SMB TCP/445、RDP TCP/3389、WinRM TCP/5985-5986) - **优先级 5**:至少保留一个加密系统处于运行状态(不要关机),用于内存取证 - **注意**:不要关闭已加密的系统;保持运行以保留内存中的加密密钥 ### 步骤 3:评估损害和范围 量化影响以支持恢复和业务决策: - 统计已加密系统数量(工作站、服务器、域控制器) - 确定哪些业务关键系统和数据受到影响 - 验证备份完整性:检查备份是否未被加密、删除或损坏 - 评估是否发生数据外泄(检查 rclone、WinSCP、MEGA、云存储活动) - 确定赎金要求金额和支付截止日期 - 检查 OFAC 制裁名单,验证勒索软件组织是否为受制裁实体(支付赎金可能面临法律风险) ``` 影响评估: 加密系统: 187/340 端点(55%) 加密服务器: 12/28(43%)- 含 2 台文件服务器、1 台数据库服务器 域控制器: 3 台中 2 台已加密 备份状态: Veeam 存储库完整(离线副本已验证干净) 数据外泄: 已确认 - 47GB 已传至 MEGA(文件清单分析中) 赎金要求: 250 万美元比特币(72 小时截止) OFAC 筛查: LockBit - 目前非受制裁实体(请与法律顾问核实) ``` ### 步骤 4:恢复决策矩阵 与法律、高管层和网络保险协商评估恢复选项: | 选项 | 优点 | 缺点 | 建议场景 | |------|------|------|----------| | 从备份恢复 | 无需支付、无法律风险 | 恢复时间可能需要数天 | 可用干净备份时 | | 免费解密器 | 无需支付、速度快 | 极少见 | 变体有已发布的解密器时 | | 谈判并支付 | 可能更快 | 无保证、法律风险、资助威胁行为者 | 无备份、业务生死存亡时 | | 从头重建 | 干净环境 | 时间最长、数据丢失 | 备份受损、可接受数据丢失时 | ### 步骤 5:执行恢复 实施所选恢复策略: **从备份恢复时:** 1. 建立用于恢复操作的干净隔离网络段 2. 首先从干净介质重建域控制器(不要还原驻留期内的 DC 备份) 3. 在将任何系统加入新域之前,重置所有用户和服务账号密码 4. 按优先顺序恢复服务器:认证服务、DNS、DHCP,然后是业务关键应用 5. 通过重新镜像而非文件级还原恢复工作站 6. 将已验证干净备份的数据恢复到重建的文件服务器 7. 验证后才重新连接到生产网络 **使用解密器时:** 1. 先在非关键系统上测试解密器 2. 按业务优先级顺序解密 3. 重新连接前扫描所有已解密系统的残留恶意软件 ### 步骤 6:勒索软件后加固 实施控制措施防止再次发生: - 在所有远程访问上强制执行 MFA(VPN、RDP、云门户) - 实施 3-2-1-1-0 备份策略(3 份副本、2 种介质、1 份异地、1 份不可变、0 个错误) - 在服务器上部署应用白名单 - 在工作站和服务器 VLAN 之间实施网络分段 - 为特权账号启用 Protected Users 安全组 - 在可能的情况下禁用 NTLM 认证 - 为本地管理员账号部署 LAPS(本地管理员密码解决方案) ## 核心概念 | 术语 | 定义 | |------|------| | **双重勒索(Double Extortion)** | 结合文件加密与数据外泄并威胁公开被盗数据的勒索软件策略 | | **不可变备份(Immutable Backup)** | 在规定保留期内无法修改或删除的备份存储,防止勒索软件针对备份 | | **OFAC 制裁** | 美国外国资产控制办公室的限制,可能禁止向受制裁实体或司法管辖区支付赎金 | | **驻留时间(Dwell Time)** | 攻击者在部署勒索软件前的存在天数;是确定哪些备份干净的关键依据 | | **勒索软件即服务(RaaS)** | 勒索软件开发者将恶意软件租赁给执行攻击的附属者的犯罪商业模式 | | **Rclone** | 勒索软件运营者在加密前常用于数据外泄的合法云同步工具 | | **3-2-1-1-0 备份规则** | 要求 3 份副本、2 种介质、1 份异地、1 份不可变/气隔离、0 个恢复测试错误的备份策略 | ## 工具与系统 - **ID Ransomware**:通过勒索信或加密文件样本识别勒索软件变体的在线服务 - **NoMoreRansom.org**:欧洲刑警组织支持的项目,为特定勒索软件家族提供免费解密工具 - **Veeam / Commvault**:具有不可变存储库和即时虚拟机恢复能力的企业备份平台 - **KAPE**:对加密系统进行快速取证分类采集,以确定初始访问方式和驻留时间 - **Cado Response**:用于调查影响云基础设施的勒索软件的云原生取证平台 ## 常见场景 ### 场景:通过受攻陷 VPN 的 LockBit 3.0 **背景**:攻击者攻陷 VPN 凭据(无 MFA),用了 12 天进行侦察,通过 GPO 禁用防病毒软件,外泄了 47GB 数据,并在周日凌晨 2:00 通过 GPO 在整个域内部署了 LockBit 3.0。 **方法**: 1. 在核心交换机层面断开所有网络段 2. 验证离线备份完整性(Veeam 不可变存储上的存储库) 3. 保留两台已加密服务器运行,用于内存取证 4. 启动事件响应保留协议和网络保险承保方 5. 在隔离网络中开始恢复:重建域控制器、重置所有密码、按优先顺序恢复 6. 同步进行取证调查以确定初始访问方式和完整的攻击者活动 **注意事项**: - 从 12 天驻留期内创建的备份中恢复(可能包含后门) - 未进行 OFAC 筛查和法律顾问审查就支付赎金 - 在完整密码重置前将已恢复系统重新连接到生产网络 - 未检查数据外泄,使组织面临持续勒索威胁 ## 输出格式 ``` 勒索软件事件报告 =========================== 事件: INC-2025-1892 勒索软件家族: LockBit 3.0 (Black) 检测时间: 2025-11-17T06:45:00Z 初始访问: VPN 凭据攻陷(无 MFA) 驻留时间: 12 天 影响摘要 加密系统: 187 个端点、12 台服务器 业务影响: 运营完全中断 外泄数据: 47GB(财务、HR、法律文件) 赎金要求: 250 万美元 BTC(72 小时截止) 备份状态: Veeam 不可变存储库 - 干净 恢复方案 决策: 从备份恢复(不支付赎金) 恢复开始: 2025-11-17T10:00:00Z DC 重建: 完成 - 2025-11-17T18:00:00Z 关键系统: 已恢复 - 2025-11-18T12:00:00Z 完全恢复: 预计 2025-11-21 遏制时间线 06:45 UTC - SOC 分析员检测到勒索软件 07:00 UTC - 网络段已断开 07:15 UTC - 事件指挥官启动 IR 计划 07:30 UTC - 备份完整性验证开始 08:00 UTC - 对 2 台运行中系统启动内存取证 10:00 UTC - 在隔离环境中开始恢复操作 事后行动 1. 在所有 VPN 和远程访问上强制执行 MFA 2. 实施 3-2-1-1-0 备份架构 3. 工作站/服务器 VLAN 之间的网络分段 4. 为本地管理员密码部署 LAPS 5. 提交法规通知(GDPR 72 小时、州检察长) ```
Related Skills
reverse-engineering-ransomware-encryption-routine
对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。