如果你的計(jì)算環(huán)境容易受到大型勒索軟件攻擊，那么你肯定會(huì)制定災(zāi)難恢復(fù)計(jì)劃。但在開始恢復(fù)系統(tǒng)之前，你必須先確保已停止、識(shí)別并刪除感染。實(shí)際上，過(guò)于盲目地進(jìn)入到恢復(fù)階段，反而會(huì)使事情變得更糟。要了解為什么會(huì)這樣，了解勒索軟件的工作原理很重要。

勒索軟件如何在你的環(huán)境中傳播?

很多文章都描述過(guò)勒索軟件的機(jī)理，但是我們?nèi)杂斜匾獜?qiáng)調(diào)：勒索軟件的目的很少是僅僅感染一個(gè)系統(tǒng)?，F(xiàn)代勒索軟件變種會(huì)立即嘗試識(shí)別和執(zhí)行操作系統(tǒng)的各種漏洞，以獲得管理訪問(wèn)權(quán)限，并傳播到局域網(wǎng)的其他部分。攻擊會(huì)通過(guò)C&C(指揮和控制)服務(wù)器進(jìn)行協(xié)調(diào)，而聯(lián)系這些服務(wù)器以獲取指令是每個(gè)勒索軟件變種所做的第一件事。對(duì)進(jìn)行中的勒索軟件攻擊做出響應(yīng)，關(guān)鍵在于停止與C&C服務(wù)器的進(jìn)一步通信，并停止受感染系統(tǒng)與網(wǎng)絡(luò)其余部分之間的進(jìn)一步通信。

如果目前你沒(méi)有受到感染，那么現(xiàn)在是時(shí)候制定一項(xiàng)適合你的網(wǎng)絡(luò)響應(yīng)計(jì)劃，并像測(cè)試災(zāi)難恢復(fù)計(jì)劃一樣經(jīng)常測(cè)試它。

將幫助資源列出來(lái)

面對(duì)大型勒索軟件攻擊，不宜孤軍奮戰(zhàn)，可以利用一些資源，它們會(huì)幫助你在似乎一切都亂套時(shí)控制局面、恢復(fù)正常，還可以采取一些措施來(lái)幫助當(dāng)局逮捕不法分子。你的勒索軟件響應(yīng)計(jì)劃的一部分應(yīng)包括這些資源的聯(lián)系信息。

如果你買了網(wǎng)絡(luò)保險(xiǎn)，這會(huì)非常有幫助。它可以讓你與專家取得聯(lián)系，幫助指導(dǎo)你做出響應(yīng)。在你受到攻擊之前立即聯(lián)系他們，以明確對(duì)方的響應(yīng)流程，并記錄在你的計(jì)劃中。如果你沒(méi)有買這樣的保險(xiǎn)，不妨考慮買一份。

你還應(yīng)該立即聯(lián)系當(dāng)?shù)氐膱?zhí)法部門。執(zhí)法部門在某起案子中的參與力度將取決于攻擊的范圍和性質(zhì)，但執(zhí)法部門表示，把所有攻擊通報(bào)給他們，有助于他們更好地應(yīng)對(duì)勒索軟件。他們還可以訪問(wèn)許多其他組織無(wú)法享有的工具和資源，這些工具和資源大有幫助，尤其是在將另一國(guó)家確定為源頭的情況下。

尋求幫助時(shí)，要留意那些聲稱可以為你解密數(shù)據(jù)的公司。他們所做的無(wú)非是支付贖金，然后讓客戶掏這筆費(fèi)用。現(xiàn)在不妨花點(diǎn)時(shí)間審查你在勒索軟件響應(yīng)期間希望雇用的公司。

阻止進(jìn)一步的感染

你要盡可能深入地了解勒索軟件如何傳播，并關(guān)閉它用來(lái)傳播的機(jī)制。你要采取的一些措施可能看起來(lái)很極端，但你將不得不決定哪種情況更糟：是極短的計(jì)劃外停機(jī)時(shí)間，還是很長(zhǎng)的計(jì)劃外停機(jī)時(shí)間帶來(lái)的風(fēng)險(xiǎn)。

立即切斷環(huán)境中所有計(jì)算機(jī)之間的通信。如果做不到這點(diǎn)，至少要切斷你的局域網(wǎng)與外界之間的通信。這將阻止受感染的計(jì)算機(jī)從C&C 服務(wù)器獲取更多的指令。

關(guān)閉RDP(遠(yuǎn)程桌面協(xié)議)，因?yàn)镽DP是勒索軟件在你的環(huán)境中傳播開來(lái)的首要途徑。最簡(jiǎn)單的方法是更改注冊(cè)表項(xiàng)。盡快執(zhí)行此操作很重要，應(yīng)通過(guò)powershell使其實(shí)現(xiàn)自動(dòng)化。

更改管理員密碼，并結(jié)束當(dāng)前所有的管理會(huì)話。如果任何計(jì)算機(jī)受到攻擊，此舉將阻止它們受到進(jìn)一步的危害。這最好也通過(guò)powershell來(lái)完成。

如果你還沒(méi)有使它們實(shí)現(xiàn)自動(dòng)化，那么所有這些任務(wù)可能需要很長(zhǎng)時(shí)間，因此在你真正需要它們之前要做好開發(fā)和測(cè)試工作。

一旦完成了上述操作，最安全的做法是關(guān)閉所有計(jì)算機(jī)，直到你確定哪些計(jì)算機(jī)已被感染，哪些是沒(méi)被感染的。這是一項(xiàng)極端的措施，但如果你這么做，絕對(duì)會(huì)阻止傳播和進(jìn)一步的危害，并且讓你在弄清楚下一步該怎么做時(shí)有時(shí)間深思熟慮。

識(shí)別勒索軟件

查清楚攻擊你的勒索軟件變種的最佳工具是ID ransomware(勒索軟件識(shí)別)項(xiàng)目，該項(xiàng)目只要根據(jù)你收到的勒索消息樣本以及已加密的文件，就可以識(shí)別勒索軟件。

在已知受感染的計(jì)算機(jī)上安裝惡意軟件掃描工具，并對(duì)其進(jìn)行掃描。假設(shè)它識(shí)別并隔離了勒索軟件，請(qǐng)?jiān)谀愕沫h(huán)境中的所有其他計(jì)算機(jī)上執(zhí)行同樣的操作。這個(gè)手動(dòng)過(guò)程應(yīng)由盡可能多的人來(lái)執(zhí)行，因此應(yīng)將如何執(zhí)行該操作的培訓(xùn)列為勒索軟件恢復(fù)計(jì)劃的一部分。

視勒索軟件具體情況而定，如果受感染的計(jì)算機(jī)無(wú)法掃描，因?yàn)榈卿浕騿?dòng)系統(tǒng)所需要的文件已被加密，這些計(jì)算機(jī)就必須完全擦除和恢復(fù)。

如果有人問(wèn)恢復(fù)本身該怎么做?這方面也需要以特定的方式來(lái)完成。

現(xiàn)在，請(qǐng)立即規(guī)劃，如果發(fā)生攻擊，你就能有備無(wú)患。