如果您的计算环境受到大型勒索软件攻击,那么您肯定要制定灾难恢复(DR)计划。但在你开始恢复系统之前,你必须首先确保你已经阻止了感染,识别了它,并清除了它。过快地跳到恢复阶段实际上会让事情变得更糟。要理解为什么会出现这种情况,了解勒索软件的工作原理是很重要的。
勒索软件如何在您的环境中传播
有许多文章,如这一个这描述了勒索软件所做的,但重要的是要强调赎金软件的目标很少只是感染一个系统。现代赎金软件变体将立即尝试识别和执行各种操作系统漏洞,以获得管理访问权限并传播到局域网的其余部分。该攻击将通过命令和控制(C&C)服务器协调,并联系这些服务器以获取指令是每个赎金软件变体的第一件事。它们响应有效赎金软件攻击的关键正在与C&C服务器进行进一步的通信,以及受感染系统与您的其余部分之间的进一步通信。
如果您目前没有被感染,现在是时候制定对您的网络量身定制的响应计划的时候,并在您测试DR计划时经常测试它。
排队帮助
一个大的赎金软件攻击不是时候独自走去的时间。有资源可用,可以帮助您停止和恢复,当感觉令人震惊时,有些步骤可能有助于当局抓住罪犯。您的赎金软件响应计划的一部分应包括这些资源的联系信息。
如果您有网络保险单,则会非常有帮助。它可以让您与专家联系,以帮助您通过您的回复指导您。在您被攻击之前,请立即联系他们,以在您的计划中建立响应过程并将其记录。如果你没有这样的政策,请考虑获得一个。
您还应立即联系FBI的当地外地办事处。其在特定情况下的参与水平将受到攻击的程度和性质的推动,但它说通知所有攻击的通知有助于他们更好地回应勒索沃尔沃版。他们还可以访问其他许多其他组织无法使用的工具和资源,特别是如果它将另一个国家作为源代码识别。
伸出帮助时,请注意声称为您解密数据的公司。他们所做的就是支付赎金并在其账单中取得价格。现在需要时间到vet公司在赎金软件响应期间使用。
再进一步感染
了解所有赎金软件如何传播和关闭它使用的机制。您可能需要的一些步骤似乎是极端的,您将不得不决定更糟糕的是:一点点意外停机或大量意外停机的风险。
立即关闭环境中所有计算机之间的通信。如果您不能这样做,您的LAN与外部世界之间的沟通最小。这将停止阻止您的受感染的计算机从C&C服务器中获取更多指令。
关闭远程桌面协议(RDP),因为它是RansomWare在环境中传播本身的数字。最简单的方法是改变一个注册表项。由于尽可能快地执行此操作,因此通过自动化电源外壳。
更改管理员密码并结束所有当前的管理会话。如果任何计算机都受到损害,这将不会损坏它们。这也是最好的通过电源外壳。
如果您没有将它们自动化,那么所有这些任务都需要很长时间,所以在真正需要它们之前,开发并测试它们。
一旦完成上述操作,最安全的做法是关闭所有计算机,直到确定哪些已感染,哪些已清除。这是一个极端的步骤,但如果你这样做,它绝对会阻止传播和进一步的损害,它会给你时间思考清楚,而你知道下一步该做什么。
id ransomware
找出攻击你的勒索软件变种的最好工具是id ransomware.项目可以通过您收到的赎金邮件样本和已加密的文件进行标识。
在已知受感染的电脑上安装恶意软件扫描工具并扫描它。假设它识别并隔离了勒索软件,在您的环境中的每一台其他计算机上做同样的事情。这个手动过程应该由尽可能多的人来执行,所以如何执行这个过程的培训应该包括在你的勒索软件恢复计划的一部分。
根据勒索软件的不同,受感染的电脑可能无法被扫描,因为登录或启动系统所需的文件已被加密。这些电脑必须被彻底清除并恢复。
你问的恢复本身怎么样?也需要以特定方式进行,并将下次涵盖。目前,会面谈谈这里提到的事情。现在计划,所以如果它发生了,你就绪。