应对勒索软件的步骤
如果您怀疑自己受到了勒索软件的攻击,那么此时快速地采取响应动作起着至关重要的作用。您可以采取以下几个步骤,尽可能减少损失,并尽快恢复正常业务。
- 隔离受感染的设备:当勒索软件感染了一台设备时,这个危害还不算是最严重的;但如果企业所有的设备都被感染,那就是一场大灾难了,甚至可能导致业务瘫痪。这两种不同的结果往往是企业采取响应对策的不同反应速度所导致的。为确保网络、共享磁盘和其他设备的安全,您必须尽快断开受感染的设备与本地网络、互联网和其他设备的连接。越早这样做,就越有可能保护其他设备不受感染。
- 停止扩散:由于勒索软件扩散速度很快,并且当前被勒索软件攻击的设备不一定就是“零号患者”,因此立即隔离当前这个受感染的设备并不能保证勒索软件不会出现在网络的其他位置。为了有效地限制其扩散范围,您需要将所有可疑设备断网,包括那些不在本地运行的设备。只要这些设备连接到了网络,那么无论它们在哪里,都会构成风险。此时也应该关闭无线连接(Wi-Fi、蓝牙等)。
- 评估损失:检查最近被加密的、带有奇怪文件扩展名的文件,以便确定哪些设备受到了感染。一旦发现任何尚未完全加密的设备,立即隔离并关闭这些设备,以遏制攻击并防止进一步的损坏和数据丢失。您需要创建一个列表,包含所有受攻击的系统,包括网络存储设备、云存储、外置硬盘(及 U盘)、笔记本电脑、智能手机和任何其他可能涉及的设备。此时,需要尽可能地关闭或限制所有的网络共享。这样可以停止任何正在进行的加密过程,并且还可以防止在进行补救时感染其他共享。但在此之前,您需要查看被加密的共享。这样可以获得一些有用的信息:如果一台设备打开的文件数量比平时多得多,您可能已经准确地定位到了“零号患者”。
- 找到“零号患者”:一旦确定了感染源,跟踪感染就变得容易多了。请检查任何可能来自杀毒/防恶意软件、EDR 或任何活动监测平台的警报。而且,由于大多数勒索软件通过恶意电子邮件链接和附件入侵网络,这个过程中需要最终用户的操作,因此询问用户做了哪些动作(如打开可疑电子邮件)以及他们曾经注意到了什么现象,这个方法也有一定的作用。最后,查看文件自身的属性也可以提供一条线索 - 被列为文件所有者的人可能就是切入点。(但请记住,“零号患者”可能不止一个!)
- 识别勒索软件:在进一步分析之前,需要了解你所要处理的勒索软件是哪个变种。一种方式是访问 nomoreransom 网站,一个全球性的自发组织网站。对于某些已找到应对方法的勒索者病毒,该网站提供了相应工具,可以帮助用户释放被加密的数据:只需上传您的其中一份加密文件,就可以找到匹配的工具。您也可以参照勒索信息:如果其中没有直接拼出勒索软件变体,请使用搜索引擎查询电子邮件地址或信息本身会有所帮助。一旦识别出了勒索软件并快速研究了其行为,应该尽快提醒所有未受影响的员工,以便让他们警惕感染病毒迹象。
- 评估备份:现在是时间开始采取响应动作了。最快、最简单的办法就是从备份中还原系统。最理想的情形是,您刚好留存有最近制作的、未被病毒感染的完整备份,可以借此顺利恢复系统。如果是这样,那么下一步的操作就是使用杀毒/防恶意软件解决方案,将所有受感染的系统和设备中的恶意软件删除干净 —— 不然的话,它会继续锁定你的系统并加密文件,甚至可能会损坏您的备份。将所有恶意软件都清除干净后,您就能从备份中恢复系统。一旦确认所有数据都已恢复成功,所有应用和进程都并正常运行,这就表明恢复任务正常完成。但是,不幸的是,许多组织事前并没有意识到创建和维护备份的重要性,直到需要备份数据的时候,才意识到它们的缺失。现代勒索软件越来越复杂灵活,一些备份制作人员很快会发现,勒索软件甚至已经波及到了备份文件(已将其损坏或加密),致使它们无用武之地。
- 研究解密办法:如果您没有可用的备份,但仍有机会恢复数据。nomoreransom 网站中的免费解密密钥列表仍在不断扩充之中。如果从该网站中,可以找到您当前正在处理的勒索软件变体的密钥(假设您现在已经将系统中的所有恶意软件清除干净),您就能够使用这个解密密钥来解密数据。但是,即便您有幸找到了解密密钥,您的任务也还没彻底完成 – 仍需停机数小时或数天来进行修复工作。
- 继续向前:如果很不幸你没有可用来进行恢复的备份,无法找到解密密钥,你唯一的选择可能就是尽量减少您的损失,然后从头开始部署系统。重建过程需要一定的时间和成本,但在没有其他办法的情况下,这就是最好的办法了。
及时备份并保护好备份文件
根据以上分析可知,及时进行备份,并保护好备份文件(异地保存),是不幸遭遇勒索软件情形下最好的情形。
鸿萌易备数据备份软件支持向多种目标位置复制多个备份文件副本,支持 AES 256 位加密和 zip 压缩。支持系统备份、驱动器镜像、数据库备份、虚拟机备份、Exchange 服务器备份等。
防患于未然,做好备份工作,是预防勒索软件的重要措施。
