勒索軟件已被許多人視為組織面臨的最具威脅性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，2019年，超過50%的企業(yè)受到勒索軟件攻擊，估計(jì)損失了115億美元。

僅在去年12月，包括佳能、Garmin、柯尼卡美能達(dá)和嘉年華在內(nèi)的主要消費(fèi)者公司就成為主要勒索軟件攻擊的受害者，從而導(dǎo)致支付數(shù)百萬美元以換取文件訪問權(quán)。

那么，遭遇勒索軟件攻擊后該怎么辦?采取哪些步驟有效地恢復(fù)?以下是一些技巧分享。

[[342923]]

意識(shí)到被攻擊了!檢測(cè)到感染

最具挑戰(zhàn)性的步驟就是，意識(shí)到出了問題。

越早檢測(cè)到勒索軟件攻擊，受影響的數(shù)據(jù)就越少。這也直接影響恢復(fù)環(huán)境所需的時(shí)間。不過現(xiàn)實(shí)往往是企業(yè)看到了贖金文件后才認(rèn)識(shí)到自己中招了，但損害已經(jīng)造成。因此，擁有可以識(shí)別異常行為(例如異常文件共享)的網(wǎng)絡(luò)安全解決方案，可以幫助快速隔離勒索軟件感染并在其進(jìn)一步蔓延之前將其阻止。

與基于簽名或基于網(wǎng)絡(luò)流量的檢測(cè)相比，異常文件行為檢測(cè)是檢測(cè)勒索軟件攻擊的最有效方法之一，并且有著最少的誤報(bào)。

“基于簽名”的檢測(cè)方法有一定作用，但需要勒索軟件是已知的。如果有可用的代碼，則可以訓(xùn)練軟件查找該代碼。但是，復(fù)雜的勒索軟件攻擊正在使用新的、未知的勒索軟件形式，因此訓(xùn)練效果也不理想。建議使用基于AI / ML的方法，通過查找行為來確定是否存在攻擊，例如文件的快速連續(xù)加密。

此外，由于勒索軟件通常通過網(wǎng)絡(luò)釣魚電子郵件攻擊——帶有危險(xiǎn)文件附件或超鏈接的電子郵件來影響組織。電子郵件等業(yè)務(wù)關(guān)鍵系統(tǒng)的良好防御機(jī)制也是必須的。

及時(shí)止損

檢測(cè)到感染后，就可以隔離勒索軟件進(jìn)程并阻止其進(jìn)一步傳播。如果是在云環(huán)境中，這些攻擊通常源自遠(yuǎn)程文件同步或由運(yùn)行勒索軟件加密過程的第三方應(yīng)用程序或?yàn)g覽器插件驅(qū)動(dòng)的其他進(jìn)程。只要挖掘并隔離勒索軟件攻擊的來源就能幫助我們遏制感染，從而減輕對(duì)數(shù)據(jù)的破壞。

為了快速有效，這個(gè)過程必須自動(dòng)化。在識(shí)別出感染后，自動(dòng)化程序會(huì)通過刪除可執(zhí)行文件或擴(kuò)展名來阻止攻擊，并將受感染的文件與環(huán)境的其余部分隔離。

另外一種止損的方法是購(gòu)買網(wǎng)絡(luò)責(zé)任保險(xiǎn)，保護(hù)企業(yè)(以及企業(yè)中的個(gè)人)免受基于互聯(lián)網(wǎng)的風(fēng)險(xiǎn)(如勒索軟件攻擊)以及與信息技術(shù)基礎(chǔ)架構(gòu)，信息隱私，信息治理責(zé)任以及其他相關(guān)風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)。

恢復(fù)受影響的數(shù)據(jù)

在大多數(shù)情況下，即使快速檢測(cè)到并遏制了勒索軟件攻擊，仍然會(huì)有一部分?jǐn)?shù)據(jù)需要還原。這需要對(duì)數(shù)據(jù)進(jìn)行良好的備份才能恢復(fù)到生產(chǎn)狀態(tài)。

一般來說，按照3-2-1備份最佳實(shí)踐，且必須將備份數(shù)據(jù)與生產(chǎn)環(huán)境分開。

• 保留所有重要文件的3個(gè)副本，即一個(gè)主要文件和兩個(gè)備份文件
• 將文件保留在2種不同的媒介類型上
• 異地維護(hù)1份副本

如果備份是在云SaaS環(huán)境中進(jìn)行的，則可以使用云到云的備份來進(jìn)行“異地”存儲(chǔ)，減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)同時(shí)受到影響的概率。

數(shù)據(jù)備份，是從勒索軟件攻擊中恢復(fù)的救命稻草。

上報(bào)通知

當(dāng)今大多數(shù)組織需要遵循的許多合規(guī)性法規(guī)，都要求組織將違規(guī)行為通知監(jiān)管機(jī)構(gòu)，接下來則應(yīng)通知當(dāng)?shù)貓?zhí)法部門。如果是關(guān)鍵領(lǐng)域的企事業(yè)單位，則在通知上報(bào)方面有著更加嚴(yán)格的準(zhǔn)則。

再次檢查!測(cè)試訪問權(quán)限

恢復(fù)數(shù)據(jù)后，需要測(cè)試對(duì)數(shù)據(jù)和任何受影響的關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問權(quán)限，以確保成功恢復(fù)數(shù)據(jù)和服務(wù)，一定要解決所有遺留的問題，然后再將整個(gè)系統(tǒng)重新投入生產(chǎn)。

如果在檢查過程中發(fā)現(xiàn)IT環(huán)境中的一些響應(yīng)時(shí)間比平常慢，或者文件大小大于正常大小，則可能表明數(shù)據(jù)庫(kù)或存儲(chǔ)中仍存在一些未被處理的威脅。

最后

有時(shí)最好的進(jìn)攻才是好的防守。對(duì)于勒索軟件攻擊和重新獲得對(duì)關(guān)鍵文件的訪問權(quán)，只有兩種選擇：對(duì)抗或乖乖支付贖金。如果是后者，那么根據(jù)最近的一份報(bào)告，支付贖金的組織中約有42%的文件未被解密……

鑒于針對(duì)企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，如果沒有適當(dāng)?shù)陌踩珎浞莺蜋z測(cè)系統(tǒng)，后果將是災(zāi)難性的。

參考來源：helpnetsecurity