1. 病毒检测与初步隔离

发现服务器异常时，应立即执行以下操作流程：

1. 使用systemctl list-unit-files（Linux）或services.msc（Windows）检查异常服务
2. 通过ClamAV等工具执行全盘扫描：sudo clamscan -r /
3. 立即禁用网卡：ifconfig [NIC_NAME] down或netsh interface set interface disable

注意禁止插入移动存储设备，防止病毒扩散。

2. 深度查杀与系统修复

完成隔离后需进行深度处理：

• 使用卡巴斯基、Windows Defender等工具二次查杀
• 手动删除残留恶意文件：rm -f /path/to/malicious/file
• 修复系统文件：Linux使用apt-get install --reinstall，Windows通过SFC扫描

建议制作系统镜像备份后再执行修复操作。

3. 网络隔离与防护加固

网络防护应采取多层次策略：

建议定期更新安全组规则，关闭非必要端口。

4. 报警与证据收集流程

立案报案应准备以下材料：

1. 系统日志（/var/log目录及Windows事件查看器记录）
2. 病毒样本及加密文件副本
3. 网络流量抓包数据

需在48小时内向属地网信办及公安机关网络安全部门报案。