试题三（共25分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

案例一：

2021年5月9日，美国宣布进入国家紧急状态，原因是当地最大燃油管道运营商遭网络攻击下线。据报道称，美国最大的成品油管道运营商ColonialPipeline在当地时间周五(5月7日)因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。受影响的Colonial管道每天运输汽油、柴油、航空燃油等约250万桶，其中美国东海岸近一半燃油供应依赖于此。该事件涉事的黑客团队DarkSide索要高达数百万美元虚拟币。该事件也是2021年造成实质影响最大的网络安全事件。

案例二：

某企业系统管理员接到业务使用人员的反馈，得知相关系统服务器业务突然无法访问，管理员登入服务器后发现服务器操作系统内的相关应用程序和数据均无法正常访问，且服务器桌面上收到一封醒目的勒索告知书。管理员采取了如下措施：

第一，根据网上非权威的解密方式或解密工具，对中毒主机磁盘的文件进行反复读写，尝试破解；

第二，管理员想要自行研究中毒文件，使用U盘拷贝出源中毒服务器的中毒文件；

第三，为了快速恢复生产，进行了重装系统，使用备份数据恢复业务后，暂时恢复了业务；

【问题3答案】

1、发现感染勒索病毒后，依然在中毒主机、服务器上使用U盘、移动硬盘等移动存储介质，造成勒索病毒通过以上设备，进一步完成传播扩散。

2、轻信网上非权威的解密方式或解密工具，对中毒主机磁盘的文件进行反复读写。这种做法，会破坏磁盘空间中的原始文件，进一步降低数据正确恢复的概率。

3、急于恢复生产，未对网络资产全面进行病毒排查，导致残留勒索病毒持续传播。在重装系统，使用备份数据恢复业务后，又遭遇二次勒索。

4、未对中毒主机进行病毒样本、日志文件、系统镜像的留存，导致事后进行事件溯源、病毒分析时无从下手；追究法律责任时，无凭无据。

系统管理员在面对服务器被勒索病毒感染的情况时，需要采取恰当的措施来应对。在案例二中，管理员的一些做法存在明显的问题。首先，使用U盘等移动存储介质在感染病毒的主机和服务器上操作是非常危险的，因为这可能会导致病毒扩散。其次，尝试使用不可靠的解密方式或工具进行文件读写可能会破坏数据。此外，仅仅恢复生产而不进行全面病毒排查是不足够的，否则可能导致病毒继续传播。最后，没有留存中毒主机的相关证据，如病毒样本、日志文件和系统镜像，这对于后续的事件溯源和法律责任追究是非常不利的。