如果您的计算环境容易受到重大勒索软件攻击,您肯定已经制定了灾难恢复计划。但在开始恢复系统之前,您必须首先确保已停止、识别和删除感染。事实上,过于盲目地进入恢复阶段会使事情变得更糟。要了解为什么会出现这种情况,了解勒索软件的工作原理很重要。勒索软件如何在您的环境中传播?许多文章已经描述了勒索软件的机制,但我们仍然需要强调的是,勒索软件的目的很少只是为了感染系统。现代勒索软件变体会立即尝试识别并执行操作系统的各种漏洞,以获得管理访问权限并传播到LAN的其他部分。攻击通过C&C(命令和控制)服务器进行协调,联系这些服务器以获取指令是每个勒索软件变体所做的第一件事。应对正在进行的勒索软件攻击的关键是停止与C&C服务器以及受感染系统与网络其余部分之间的进一步通信。如果您目前没有被感染,现在是制定适合您的网络响应计划并像测试灾难恢复计划一样经常测试它的时候了。列出可提供帮助的资源面对重大勒索软件攻击并不是一场一劳永逸的战斗,但有些资源可以帮助您在一切似乎都出了问题时控制局面并恢复正常,以及您可以采取的步骤来帮助当局逮捕不法分子。您的勒索软件响应计划的一部分应包括这些资源的联系信息。如果您有网络保险,这将非常有帮助。它让您与专家保持联系,以帮助指导您的回应。在您受到攻击之前立即与他们联系,以阐明响应过程并将其记录在您的计划中。如果您没有此类保险,请考虑购买一份。您还应该立即联系当地执法部门。执法部门参与特定案件的程度将取决于攻击的范围和性质,但执法部门表示,通知所有攻击有助于他们更好地应对勒索软件。他们还可以获得许多其他组织无法获得的工具和资源,这可以大有帮助,尤其是在另一个国家被确定为来源的情况下。寻求帮助时,请留意声称能够为您解密数据的公司。他们所做的就是支付赎金并让客户为此付出代价。现在花点时间审查您在勒索软件响应期间希望雇用的公司。阻止进一步的感染需要尽可能多地了解勒索软件如何传播并关闭它用于传播的机制。您将要采取的一些步骤可能看起来很极端,但您必须决定哪一个更糟糕:极短的计划外停机时间,或非常长的计划外停机时间带来的风险。立即切断环境中所有计算机之间的通信。如果做不到这一点,至少要切断您的LAN与外界之间的通信。这将阻止受感染的计算机从C&C服务器获得进一步的指令。关闭RDP(远程桌面协议),因为RDP是勒索软件在您的环境中传播的第一种方式。最简单的方法是更改??注册表项。尽快执行此操作很重要,它应该通过powershell自动执行。更改管理员密码并结束所有当前管理会话。如果任何计算机受到损害,这将防止它们进一步受到损害。这也最好通过powershell完成。如果您还没有将所有这些任务自动化,那么所有这些任务可能会花费很长时间,因此在您真正需要它们之前先进行开发和测试。完成此操作后,最安全的做法是关闭所有计算机,直到您可以确定哪些计算机已被感染,哪些未被感染。这是一个极端的措施,但如果你这样做,它绝对会阻止传播和进一步的伤害,并让你有时间认真思考下一步该怎么做。识别勒索软件找出正在攻击您的勒索软件变体的最佳工具是ID勒索软件(勒索软件识别)项目,它可以仅根据您收到的勒索软件消息样本以及加密文件来识别勒索软件。在已知受感染的计算机上安装恶意软件扫描工具并对其进行扫描。假设它识别并隔离了勒索软件,请在您环境中的所有其他计算机上执行相同的操作。这个手动过程应该由尽可能多的人来执行,所以关于如何操作的培训应该成为你的勒索软件恢复计划的一部分。根据勒索软件的不同,如果由于登录或启动系统所需的文件被加密而无法扫描受感染的计算机,则必须将它们完全擦除并恢复。如果有人问恢复本身怎么办?这方面也需要通过特定的方式来完成。现在,立即计划,以便在发生攻击时做好准备。
