✅ A. 立即断开所有受感染服务器的网络连接，防止横向移动，并开始收集内存和磁盘镜像作为取证数据

B. 直接重装所有受感染服务器的操作系统，以最快速度恢复业务运行

C. 向勒索攻击者支付赎金，获取解密密钥后即可恢复数据

D. 通知全体员工修改所有系统密码，无需保留现场证据

答案解析

应急响应事件调查阶段，首要任务是进行证据保全和遏制损害扩大。选项A正确：立即断网可阻止勒索软件横向扩散，同时收集内存和磁盘镜像能保留易失性证据和攻击痕迹，为后续溯源和恢复提供关键数据。选项B错误：重装系统会破坏原始证据，导致无法分析攻击路径和漏洞。选项C错误：支付赎金不仅违法（根据《网络安全法》及国家反勒索指引），且无法保证能成功解密，还会助长犯罪。选项D错误：简单修改密码而不保留现场，会丢失重要取证线索。

相关法规：《网络安全法》第二十一条、第二十五条