在网络安全领域,组织确实有必要采取措施,防止勒索软件并将其数据作为人质是非常重要的。然而,即使是谨慎的准备,一些仍然可以通过。知道如何做,如何应对,如果您的组织成为勒索软件的受害者,以及用于帮助识别和控制的工具可能意味着丢失一台计算机和将整个网络连续数小时,几天甚至几周之间的区别。
以下可以帮助您有效地解决针对您的组织的勒索软件,并尽快恢复正常的业务运营。
1. 阻止勒索软件通信
许多类型的勒索软件(但不是全部)需要与连接命令和控制服务器(C&C服务器)以获得加密密钥才能运行。以阻止勒索软件和其他形式的恶意软件与命令和控制服务器连接和通信可能会限制并可能消除勒索软件运行的能力。
2. 控制感染,防止传播,较大限度地减少业务影响
虽然一些勒索软件需要与C&C服务器通信才能获得加密密钥,但其他变种则不需要。有些人现在将公共加密密钥与恶意软件本身捆绑在一起,在文件甚至到达其命令和控制网络之前加密文件。这使得防止加密变得更加困难,因为这些变体甚至不需要初始连接来激活。
但是,即使勒索软件设法加密受感染设备上的文件,所有的希望也不会丢失。反病毒技术可以识别和隔离恶意进程和通信,并自动锁定受感染的设备。快速遏制可能会阻止勒索软件传播到网络存储,文件共享位置或其他系统。这可以大大减少勒索软件造成的损害,并限制对您业务的影响。
首先必须采用强有力的方法主动预防感染。将反病毒等工具集成到您的安全策略中可以帮助检测和控制勒索软件和其他恶意软件感染。
3. 不要惊慌,可能是现有的解决方案
如果您确实成为勒索软件的受害者,请不要惊慌。可能存在现有解决方案。立即联系您的IT人员,因为他们最有能力确定适当的响应。在某些情况下,您可能只有两个选项,从备份恢复加密文件或支付赎金。然而,这并非总是如此。勒索软件正在迅速发展,安全人员不断追求攻击者以及如何禁用攻击。在一些情况下,例如TeslaCrypt和Shade勒索软件,解密密钥可以在互联网上获得。快速搜索可以为您的团队节省大量时间和金钱来应对攻击。
4. 分析并理解攻击并确定适当的响应
一旦您设法包含勒索软件,重要的是进行必要的研究以完全理解它。根本原因是什么?它是如何进入的?是用户错误吗?究竟发生了什么?为了充分了解整个攻击,进行研究至关重要,因此您可以制定一个整个感染的计划,并防止它在一周或几个月后再次发生,或者在不久的将来再次发生。
您的事件响应团队需要利用取证数据来全面分析攻击的各个方面,从进入点和行进路径到损坏范围。此信息需要手动编译,或使用自动化工具汇总。在勒索软件攻击的情况下,请记住,大多数事件响应团队需要提取所有信息并手动构建报告,这都是需要时间的。
近年来,自动化解决方案已经可用于使组织能够解决此限制。实施自动取证分析工具极大地提高了事件响应团队理解攻击的全面视图的能力,并且一些解决方案甚至提供了补救指导。这些工具大大缩短了事件分析的时间,将之前需要花费数小时或数天的时间,并将其减少到几分钟,使信息安全人员能够更有效地理解和响应攻击。
如今勒索软件正在崛起。组织必须采取措施主动保护其文件,数据和系统。同样重要的是,他们实施的工具使他们的响应团队能够快速控制威胁并彻底了解攻击的各个方面。通过综合分析,组织可以开发有效且高效的响应来限制攻击范围并尝试避免支付赎金,同时检索可能已加密的任何文件。