在被勒索軟件攻擊前,你必須學(xué)會這幾件事!

我們應(yīng)該制定災(zāi)難恢復(fù)計劃,以應(yīng)對勒索軟件攻擊,從阻止勒索軟件傳播、識別變種并準(zhǔn)備好恢復(fù)文件開始入手。

1.webp.jpg

如果你的計算環(huán)境容易受到大型勒索軟件攻擊,那么你肯定會制定災(zāi)難恢復(fù)計劃。但在開始恢復(fù)系統(tǒng)之前,你必須先確保已停止、識別并刪除感染。實(shí)際上,過于盲目地進(jìn)入到恢復(fù)階段,反而會使事情變得更糟。要了解為什么會這樣,了解勒索軟件的工作原理很重要。

勒索軟件如何在你的環(huán)境中傳播?

很多文章都描述過勒索軟件的機(jī)理,但是我們?nèi)杂斜匾獜?qiáng)調(diào):勒索軟件的目的很少是僅僅感染一個系統(tǒng)?,F(xiàn)代勒索軟件變種會立即嘗試識別和執(zhí)行操作系統(tǒng)的各種漏洞,以獲得管理訪問權(quán)限,并傳播到局域網(wǎng)的其他部分。攻擊會通過C&C(指揮和控制)服務(wù)器進(jìn)行協(xié)調(diào),而聯(lián)系這些服務(wù)器以獲取指令是每個勒索軟件變種所做的第一件事。對進(jìn)行中的勒索軟件攻擊做出響應(yīng),關(guān)鍵在于停止與C&C服務(wù)器的進(jìn)一步通信,并停止受感染系統(tǒng)與網(wǎng)絡(luò)其余部分之間的進(jìn)一步通信。

如果目前你沒有受到感染,那么現(xiàn)在是時候制定一項(xiàng)適合你的網(wǎng)絡(luò)響應(yīng)計劃,并像測試災(zāi)難恢復(fù)計劃一樣經(jīng)常測試它。

將幫助資源列出來

面對大型勒索軟件攻擊,不宜孤軍奮戰(zhàn),可以利用一些資源,它們會幫助你在似乎一切都亂套時控制局面、恢復(fù)正常,還可以采取一些措施來幫助當(dāng)局逮捕不法分子。你的勒索軟件響應(yīng)計劃的一部分應(yīng)包括這些資源的聯(lián)系信息。

如果你買了網(wǎng)絡(luò)保險,這會非常有幫助。它可以讓你與專家取得聯(lián)系,幫助指導(dǎo)你做出響應(yīng)。在你受到攻擊之前立即聯(lián)系他們,以明確對方的響應(yīng)流程,并記錄在你的計劃中。如果你沒有買這樣的保險,不妨考慮買一份。

你還應(yīng)該立即聯(lián)系當(dāng)?shù)氐膱?zhí)法部門。執(zhí)法部門在某起案子中的參與力度將取決于攻擊的范圍和性質(zhì),但執(zhí)法部門表示,把所有攻擊通報給他們,有助于他們更好地應(yīng)對勒索軟件。他們還可以訪問許多其他組織無法享有的工具和資源,這些工具和資源大有幫助,尤其是在將另一國家確定為源頭的情況下。

2.webp.jpg

尋求幫助時,要留意那些聲稱可以為你解密數(shù)據(jù)的公司。他們所做的無非是支付贖金,然后讓客戶掏這筆費(fèi)用?,F(xiàn)在不妨花點(diǎn)時間審查你在勒索軟件響應(yīng)期間希望雇用的公司。

阻止進(jìn)一步的感染

你要盡可能深入地了解勒索軟件如何傳播,并關(guān)閉它用來傳播的機(jī)制。你要采取的一些措施可能看起來很極端,但你將不得不決定哪種情況更糟:是極短的計劃外停機(jī)時間,還是很長的計劃外停機(jī)時間帶來的風(fēng)險。

立即切斷環(huán)境中所有計算機(jī)之間的通信。如果做不到這點(diǎn),至少要切斷你的局域網(wǎng)與外界之間的通信。這將阻止受感染的計算機(jī)從C&C服務(wù)器獲取更多的指令。

關(guān)閉RDP(遠(yuǎn)程桌面協(xié)議),因?yàn)镽DP是勒索軟件在你的環(huán)境中傳播開來的首要途徑。最簡單的方法是更改注冊表項(xiàng)。盡快執(zhí)行此操作很重要,應(yīng)通過powershell使其實(shí)現(xiàn)自動化。

更改管理員密碼,并結(jié)束當(dāng)前所有的管理會話。如果任何計算機(jī)受到攻擊,此舉將阻止它們受到進(jìn)一步的危害。這最好也通過powershell來完成。

如果你還沒有使它們實(shí)現(xiàn)自動化,那么所有這些任務(wù)可能需要很長時間,因此在你真正需要它們之前要做好開發(fā)和測試工作。

一旦完成了上述操作,最安全的做法是關(guān)閉所有計算機(jī),直到你確定哪些計算機(jī)已被感染,哪些是沒被感染的。這是一項(xiàng)極端的措施,但如果你這么做,絕對會阻止傳播和進(jìn)一步的危害,并且讓你在弄清楚下一步該怎么做時有時間深思熟慮。

識別勒索軟件

查清楚攻擊你的勒索軟件變種的最佳工具是ID ransomware(勒索軟件識別)項(xiàng)目,該項(xiàng)目只要根據(jù)你收到的勒索消息樣本以及已加密的文件,就可以識別勒索軟件。

在已知受感染的計算機(jī)上安裝惡意軟件掃描工具,并對其進(jìn)行掃描。假設(shè)它識別并隔離了勒索軟件,請?jiān)谀愕沫h(huán)境中的所有其他計算機(jī)上執(zhí)行同樣的操作。這個手動過程應(yīng)由盡可能多的人來執(zhí)行,因此應(yīng)將如何執(zhí)行該操作的培訓(xùn)列為勒索軟件恢復(fù)計劃的一部分。

視勒索軟件具體情況而定,如果受感染的計算機(jī)無法掃描,因?yàn)榈卿浕騿酉到y(tǒng)所需要的文件已被加密,這些計算機(jī)就必須完全擦除和恢復(fù)。

如果有人問恢復(fù)本身該怎么做?這方面也需要以特定的方式來完成。

現(xiàn)在,請立即規(guī)劃,如果發(fā)生攻擊,你就能有備無患。

作者:W.Curtis Preston是備份、存儲和恢復(fù)方面的專家,自1993年以來一直從事該領(lǐng)域。他以前是最終用戶、顧問和分析師,最近加入了基于云的數(shù)據(jù)保護(hù)公司Druva的團(tuán)隊(duì)。

原文網(wǎng)址:https://www.networkworld.com/article/

3623810/ransomware-recovery-plan-for-it-now.html

編譯:沈建苗

微信排版:??伸?/p>

排版審核:劉沙

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論

本月熱門