江苏龙网

  1. 主页 > 生活百科 > >

遭遇勒索软件袭击,如何快速遏制病毒扩散,并找到“零号患者”?

勒索软件

应对勒索软件的步骤【遭遇勒索软件袭击,如何快速遏制病毒扩散,并找到“零号患者”?】如果您怀疑自己受到了勒索软件的攻击 , 那么此时快速地采取响应动作起着至关重要的作用 。您可以采取以下几个步骤 , 尽可能减少损失 , 并尽快恢复正常业务 。

  1. 隔离受感染的设备:当勒索软件感染了一台设备时 , 这个危害还不算是最严重的;但如果企业所有的设备都被感染 , 那就是一场大灾难了 , 甚至可能导致业务瘫痪 。这两种不同的结果往往是企业采取响应对策的不同反应速度所导致的 。为确保网络、共享磁盘和其他设备的安全 , 您必须尽快断开受感染的设备与本地网络、互联网和其他设备的连接 。越早这样做 , 就越有可能保护其他设备不受感染 。
  2. 停止扩散:由于勒索软件扩散速度很快 , 并且当前被勒索软件攻击的设备不一定就是“零号患者” , 因此立即隔离当前这个受感染的设备并不能保证勒索软件不会出现在网络的其他位置 。为了有效地限制其扩散范围 , 您需要将所有可疑设备断网 , 包括那些不在本地运行的设备 。只要这些设备连接到了网络 , 那么无论它们在哪里 , 都会构成风险 。此时也应该关闭无线连接(Wi-Fi、蓝牙等) 。
  3. 评估损失:检查最近被加密的、带有奇怪文件扩展名的文件 , 以便确定哪些设备受到了感染 。一旦发现任何尚未完全加密的设备 , 立即隔离并关闭这些设备 , 以遏制攻击并防止进一步的损坏和数据丢失 。您需要创建一个列表 , 包含所有受攻击的系统 , 包括网络存储设备、云存储、外置硬盘(及 U盘)、笔记本电脑、智能手机和任何其他可能涉及的设备 。此时 , 需要尽可能地关闭或限制所有的网络共享 。这样可以停止任何正在进行的加密过程 , 并且还可以防止在进行补救时感染其他共享 。但在此之前 , 您需要查看被加密的共享 。这样可以获得一些有用的信息:如果一台设备打开的文件数量比平时多得多 , 您可能已经准确地定位到了“零号患者” 。
  4. 找到“零号患者”:一旦确定了感染源 , 跟踪感染就变得容易多了 。请检查任何可能来自杀毒/防恶意软件、EDR 或任何活动监测平台的警报 。而且 , 由于大多数勒索软件通过恶意电子邮件链接和附件入侵网络 , 这个过程中需要最终用户的操作 , 因此询问用户做了哪些动作(如打开可疑电子邮件)以及他们曾经注意到了什么现象 , 这个方法也有一定的作用 。最后 , 查看文件自身的属性也可以提供一条线索 - 被列为文件所有者的人可能就是切入点 。(但请记住 , “零号患者”可能不止一个!)
  5. 识别勒索软件:在进一步分析之前 , 需要了解你所要处理的勒索软件是哪个变种 。一种方式是访问 nomoreransom 网站 , 一个全球性的自发组织网站 。对于某些已找到应对方法的勒索者病毒 , 该网站提供了相应工具 , 可以帮助用户释放被加密的数据:只需上传您的其中一份加密文件 , 就可以找到匹配的工具 。您也可以参照勒索信息:如果其中没有直接拼出勒索软件变体 , 请使用搜索引擎查询电子邮件地址或信息本身会有所帮助 。一旦识别出了勒索软件并快速研究了其行为 , 应该尽快提醒所有未受影响的员工 , 以便让他们警惕感染病毒迹象 。
  6. 评估备份:现在是时间开始采取响应动作了 。最快、最简单的办法就是从备份中还原系统 。最理想的情形是 , 您刚好留存有最近制作的、未被病毒感染的完整备份 , 可以借此顺利恢复系统 。如果是这样 , 那么下一步的操作就是使用杀毒/防恶意软件解决方案 , 将所有受感染的系统和设备中的恶意软件删除干净 —— 不然的话 , 它会继续锁定你的系统并加密文件 , 甚至可能会损坏您的备份 。将所有恶意软件都清除干净后 , 您就能从备份中恢复系统 。一旦确认所有数据都已恢复成功 , 所有应用和进程都并正常运行 , 这就表明恢复任务正常完成 。但是 , 不幸的是 , 许多组织事前并没有意识到创建和维护备份的重要性 , 直到需要备份数据的时候 , 才意识到它们的缺失 。现代勒索软件越来越复杂灵活 , 一些备份制作人员很快会发现 , 勒索软件甚至已经波及到了备份文件(已将其损坏或加密) , 致使它们无用武之地 。


    推荐阅读


上一篇:绿茶贮存五大忌,绿茶易保存

下一篇:彩农茶勐海小饼,彩农茶友天下