在被勒索软件攻击前,你应该学会这几件事!

安全 应用安全
我们应该制定灾难恢复计划,以应对勒索软件攻击,从阻止勒索软件传播、识别变种并准备好恢复文件开始入手。

如果你的计算环境容易受到大型勒索软件攻击,那么你肯定会制定灾难恢复计划。但在开始恢复系统之前,你必须先确保已停止、识别并删除感染。实际上,过于盲目地进入到恢复阶段,反而会使事情变得更糟。要了解为什么会这样,了解勒索软件的工作原理很重要。

勒索软件如何在你的环境中传播?

很多文章都描述过勒索软件的机理,但是我们仍有必要强调:勒索软件的目的很少是仅仅感染一个系统。现代勒索软件变种会立即尝试识别和执行操作系统的各种漏洞,以获得管理访问权限,并传播到局域网的其他部分。攻击会通过C&C(指挥和控制)服务器进行协调,而联系这些服务器以获取指令是每个勒索软件变种所做的第一件事。对进行中的勒索软件攻击做出响应,关键在于停止与C&C服务器的进一步通信,并停止受感染系统与网络其余部分之间的进一步通信。

如果目前你没有受到感染,那么现在是时候制定一项适合你的网络响应计划,并像测试灾难恢复计划一样经常测试它。

将帮助资源列出来

面对大型勒索软件攻击,不宜孤军奋战,可以利用一些资源,它们会帮助你在似乎一切都乱套时控制局面、恢复正常,还可以采取一些措施来帮助当局逮捕不法分子。你的勒索软件响应计划的一部分应包括这些资源的联系信息。

如果你买了网络保险,这会非常有帮助。它可以让你与专家取得联系,帮助指导你做出响应。在你受到攻击之前立即联系他们,以明确对方的响应流程,并记录在你的计划中。如果你没有买这样的保险,不妨考虑买一份。

你还应该立即联系当地的执法部门。执法部门在某起案子中的参与力度将取决于攻击的范围和性质,但执法部门表示,把所有攻击通报给他们,有助于他们更好地应对勒索软件。他们还可以访问许多其他组织无法享有的工具和资源,这些工具和资源大有帮助,尤其是在将另一国家确定为源头的情况下。

寻求帮助时,要留意那些声称可以为你解密数据的公司。他们所做的无非是支付赎金,然后让客户掏这笔费用。现在不妨花点时间审查你在勒索软件响应期间希望雇用的公司。

阻止进一步的感染

你要尽可能深入地了解勒索软件如何传播,并关闭它用来传播的机制。你要采取的一些措施可能看起来很极端,但你将不得不决定哪种情况更糟:是极短的计划外停机时间,还是很长的计划外停机时间带来的风险。

立即切断环境中所有计算机之间的通信。如果做不到这点,至少要切断你的局域网与外界之间的通信。这将阻止受感染的计算机从C&C 服务器获取更多的指令。

关闭RDP(远程桌面协议),因为RDP是勒索软件在你的环境中传播开来的首要途径。最简单的方法是更改注册表项。尽快执行此操作很重要,应通过powershell使其实现自动化。

更改管理员密码,并结束当前所有的管理会话。如果任何计算机受到攻击,此举将阻止它们受到进一步的危害。这最好也通过powershell来完成。

如果你还没有使它们实现自动化,那么所有这些任务可能需要很长时间,因此在你真正需要它们之前要做好开发和测试工作。

一旦完成了上述操作,最安全的做法是关闭所有计算机,直到你确定哪些计算机已被感染,哪些是没被感染的。这是一项极端的措施,但如果你这么做,绝对会阻止传播和进一步的危害,并且让你在弄清楚下一步该怎么做时有时间深思熟虑。

识别勒索软件

查清楚攻击你的勒索软件变种的最佳工具是ID ransomware(勒索软件识别)项目,该项目只要根据你收到的勒索消息样本以及已加密的文件,就可以识别勒索软件。

在已知受感染的计算机上安装恶意软件扫描工具,并对其进行扫描。假设它识别并隔离了勒索软件,请在你的环境中的所有其他计算机上执行同样的操作。这个手动过程应由尽可能多的人来执行,因此应将如何执行该操作的培训列为勒索软件恢复计划的一部分。

视勒索软件具体情况而定,如果受感染的计算机无法扫描,因为登录或启动系统所需要的文件已被加密,这些计算机就必须完全擦除和恢复。

如果有人问恢复本身该怎么做?这方面也需要以特定的方式来完成。

现在,请立即规划,如果发生攻击,你就能有备无患。

 

责任编辑:赵宁宁 来源: 计算机世界
相关推荐

2020-09-30 10:25:38

IT工具技术

2020-07-14 08:16:13

代码互联网 PC

2011-06-30 15:06:19

SEO

2012-05-22 09:41:12

Python

2010-09-16 08:38:19

数据库索引

2010-05-10 11:08:28

IPv6

2013-12-02 14:07:02

Hadoop大数据集群

2011-05-10 12:25:24

反向链接

2016-06-16 10:16:12

CTO训练营技术创业

2015-09-16 14:13:53

应用集成应用开发企业架构

2021-08-20 10:53:21

技术阿里P8

2021-09-05 08:46:29

CSPM网络安全网络攻击

2015-08-19 14:09:46

Android手机切忌

2011-04-25 09:45:09

C#委托

2015-01-20 11:24:52

Win 10

2012-04-26 14:34:22

HTML5

2013-08-05 10:37:18

Aerohive802.11ac千兆WiFi

2020-06-04 13:52:00

CRM选型

2013-01-15 11:44:10

VMware

2011-06-14 14:04:11

测试用例
点赞
收藏

51CTO技术栈公众号