确定哪些系统受到影响,并立即隔离它们。
如果多个系统或子网受到病毒攻击,请在交换机级别使网络脱机。在攻击事件期间断开单个系统可能是不可行的。
如果无法立即使网络暂时脱机,请找到网络电缆并将受影响的设备从网络上拔下或将它们从 Wi-Fi 中移除以遏制感染。
在感染系统的期间,攻击者可能会监视您组织的活动或通信,以了解他们的行为是否已被检测到。确保以协调的方式隔离系统,以避免向参与者透露他们已被发现并且正在采取缓解措施。不这样做可能会导致参与者横向移动以保留他们的访问权限(这已经是一种常见的策略)或在网络脱机之前广泛部署勒索软件。