被勒索软件攻击后，我做了5件事

勒索软件已被许多人视为组织面临的最具威胁性的网络安全风险，2019年，超过50％的企业受到勒索软件攻击。...



勒索软件已被许多人视为组织面临的最具威胁性的网络安全风险，2019年，超过50％的企业受到勒索软件攻击，估计损失了115亿美元。

仅在去年12月，包括佳能、Garmin、柯尼卡美能达和嘉年华在内的主要消费者公司就成为主要勒索软件攻击的受害者，从而导致支付数百万美元以换取文件访问权。

那么，遭遇勒索软件攻击后该怎么办？采取哪些步骤有效地恢复？以下是一些技巧分享。

意识到被攻击了！检测到感染

最具挑战性的步骤就是，意识到出了问题。

越早检测到勒索软件攻击，受影响的数据就越少。这也直接影响恢复环境所需的时间。不过现实往往是企业看到了赎金文件后才认识到自己中招了，但损害已经造成。因此，拥有可以识别异常行为（例如异常文件共享）的网络安全解决方案，可以帮助快速隔离勒索软件感染并在其进一步蔓延之前将其阻止。

与基于签名或基于网络流量的检测相比，异常文件行为检测是检测勒索软件攻击的最有效方法之一，并且有着最少的误报。

“基于签名”的检测方法有一定作用，但需要勒索软件是已知的。如果有可用的代码，则可以训练软件查找该代码。但是，复杂的勒索软件攻击正在使用新的、未知的勒索软件形式，因此训练效果也不理想。建议使用基于AI / ML的方法，通过查找行为来确定是否存在攻击，例如文件的快速连续加密。

此外，由于勒索软件通常通过网络钓鱼电子邮件攻击——带有危险文件附件或超链接的电子邮件来影响组织。电子邮件等业务关键系统的良好防御机制也是必须的。

及时止损

检测到感染后，就可以隔离勒索软件进程并阻止其进一步传播。如果是在云环境中，这些攻击通常源自远程文件同步或由运行勒索软件加密过程的第三方应用程序或浏览器插件驱动的其他进程。只要挖掘并隔离勒索软件攻击的来源就能帮助我们遏制感染，从而减轻对数据的破坏。

为了快速有效，这个过程必须自动化。在识别出感染后，自动化程序会通过删除可执行文件或扩展名来阻止攻击，并将受感染的文件与环境的其余部分隔离。

另外一种止损的方法是购买网络责任保险，保护企业（以及企业中的个人）免受基于互联网的风险（如勒索软件攻击）以及与信息技术基础架构，信息隐私，信息治理责任以及其他相关风险相关的风险。

恢复受影响的数据

在大多数情况下，即使快速检测到并遏制了勒索软件攻击，仍然会有一部分数据需要还原。这需要对数据进行良好的备份才能恢复到生产状态。

一般来说，按照3-2-1备份最佳实践，且必须将备份数据与生产环境分开。

1.保留所有重要文件的3个副本，即一个主要文件和两个备份文件

2.将文件保留在2种不同的媒介类型上

3.异地维护1份副本

如果备份是在云SaaS环境中进行的，则可以使用云到云的备份来进行“异地”存储，减少备份数据与生产数据同时受到影响的概率。

数据备份，是从勒索软件攻击中恢复的救命稻草。

上报通知

当今大多数组织需要遵循的许多合规性法规，都要求组织将违规行为通知监管机构，接下来则应通知当地执法部门。如果是关键领域的企事业单位，则在通知上报方面有着更加严格的准则。

再次检查！测试访问权限

恢复数据后，需要测试对数据和任何受影响的关键业务系统的访问权限，以确保成功恢复数据和服务，一定要解决所有遗留的问题，然后再将整个系统重新投入生产。

如果在检查过程中发现IT环境中的一些响应时间比平常慢，或者文件大小大于正常大小，则可能表明数据库或存储中仍存在一些未被处理的威胁。

最后

有时最好的进攻才是好的防守。对于勒索软件攻击和重新获得对关键文件的访问权，只有两种选择：对抗或乖乖支付赎金。如果是后者，那么根据最近的一份报告，支付赎金的组织中约有42％的文件未被解密……

鉴于针对企业的勒索软件攻击的数量不断增加，如果没有适当的安全备份和检测系统，后果将是灾难性的。

参考来源：https://www.helpnetsecurity.com/2020/09/15/attacked-by-ransomware-five-steps-to-recovery/

    关注 黑客与极客