應(yīng)對勒索軟件的步驟

如果您懷疑自己受到了勒索軟件的攻擊，那么此時快速地采取響應(yīng)動作起著至關(guān)重要的作用。您可以采取以下幾個步驟，盡可能減少損失，并盡快恢復(fù)正常業(yè)務(wù)。

1. 隔離受感染的設(shè)備：當(dāng)勒索軟件感染了一臺設(shè)備時，這個危害還不算是最嚴(yán)重的；但如果企業(yè)所有的設(shè)備都被感染，那就是一場大災(zāi)難了，甚至可能導(dǎo)致業(yè)務(wù)癱瘓。這兩種不同的結(jié)果往往是企業(yè)采取響應(yīng)對策的不同反應(yīng)速度所導(dǎo)致的。為確保網(wǎng)絡(luò)、共享磁盤和其他設(shè)備的安全，您必須盡快斷開受感染的設(shè)備與本地網(wǎng)絡(luò)、互聯(lián)網(wǎng)和其他設(shè)備的連接。越早這樣做，就越有可能保護其他設(shè)備不受感染。
2. 停止擴散：由于勒索軟件擴散速度很快，并且當(dāng)前被勒索軟件攻擊的設(shè)備不一定就是“零號患者”，因此立即隔離當(dāng)前這個受感染的設(shè)備并不能保證勒索軟件不會出現(xiàn)在網(wǎng)絡(luò)的其他位置。為了有效地限制其擴散范圍，您需要將所有可疑設(shè)備斷網(wǎng)，包括那些不在本地運行的設(shè)備。只要這些設(shè)備連接到了網(wǎng)絡(luò)，那么無論它們在哪里，都會構(gòu)成風(fēng)險。此時也應(yīng)該關(guān)閉無線連接（Wi-Fi、藍(lán)牙等）。
3. 評估損失：檢查最近被加密的、帶有奇怪文件擴展名的文件，以便確定哪些設(shè)備受到了感染。一旦發(fā)現(xiàn)任何尚未完全加密的設(shè)備，立即隔離并關(guān)閉這些設(shè)備，以遏制攻擊并防止進一步的損壞和數(shù)據(jù)丟失。您需要創(chuàng)建一個列表，包含所有受攻擊的系統(tǒng)，包括網(wǎng)絡(luò)存儲設(shè)備、云存儲、外置硬盤（及 U盤）、筆記本電腦、智能手機和任何其他可能涉及的設(shè)備。此時，需要盡可能地關(guān)閉或限制所有的網(wǎng)絡(luò)共享。這樣可以停止任何正在進行的加密過程，并且還可以防止在進行補救時感染其他共享。但在此之前，您需要查看被加密的共享。這樣可以獲得一些有用的信息：如果一臺設(shè)備打開的文件數(shù)量比平時多得多，您可能已經(jīng)準(zhǔn)確地定位到了“零號患者”。
4. 找到“零號患者”：一旦確定了感染源，跟蹤感染就變得容易多了。請檢查任何可能來自殺毒/防惡意軟件、EDR 或任何活動監(jiān)測平臺的警報。而且，由于大多數(shù)勒索軟件通過惡意電子郵件鏈接和附件入侵網(wǎng)絡(luò)，這個過程中需要最終用戶的操作，因此詢問用戶做了哪些動作（如打開可疑電子郵件）以及他們曾經(jīng)注意到了什么現(xiàn)象，這個方法也有一定的作用。最后，查看文件自身的屬性也可以提供一條線索 - 被列為文件所有者的人可能就是切入點。（但請記住，“零號患者”可能不止一個！）
5. 識別勒索軟件：在進一步分析之前，需要了解你所要處理的勒索軟件是哪個變種。一種方式是訪問 nomoreransom 網(wǎng)站，一個全球性的自發(fā)組織網(wǎng)站。對于某些已找到應(yīng)對方法的勒索者病毒，該網(wǎng)站提供了相應(yīng)工具，可以幫助用戶釋放被加密的數(shù)據(jù)：只需上傳您的其中一份加密文件，就可以找到匹配的工具。您也可以參照勒索信息：如果其中沒有直接拼出勒索軟件變體，請使用搜索引擎查詢電子郵件地址或信息本身會有所幫助。一旦識別出了勒索軟件并快速研究了其行為，應(yīng)該盡快提醒所有未受影響的員工，以便讓他們警惕感染病毒跡象。
6. 評估備份：現(xiàn)在是時間開始采取響應(yīng)動作了。最快、最簡單的辦法就是從備份中還原系統(tǒng)。最理想的情形是，您剛好留存有最近制作的、未被病毒感染的完整備份，可以借此順利恢復(fù)系統(tǒng)。如果是這樣，那么下一步的操作就是使用殺毒/防惡意軟件解決方案，將所有受感染的系統(tǒng)和設(shè)備中的惡意軟件刪除干凈 —— 不然的話，它會繼續(xù)鎖定你的系統(tǒng)并加密文件，甚至可能會損壞您的備份。將所有惡意軟件都清除干凈后，您就能從備份中恢復(fù)系統(tǒng)。一旦確認(rèn)所有數(shù)據(jù)都已恢復(fù)成功，所有應(yīng)用和進程都并正常運行，這就表明恢復(fù)任務(wù)正常完成。但是，不幸的是，許多組織事前并沒有意識到創(chuàng)建和維護備份的重要性，直到需要備份數(shù)據(jù)的時候，才意識到它們的缺失。現(xiàn)代勒索軟件越來越復(fù)雜靈活，一些備份制作人員很快會發(fā)現(xiàn)，勒索軟件甚至已經(jīng)波及到了備份文件（已將其損壞或加密），致使它們無用武之地。
7. 研究解密辦法：如果您沒有可用的備份，但仍有機會恢復(fù)數(shù)據(jù)。nomoreransom 網(wǎng)站中的免費解密密鑰列表仍在不斷擴充之中。如果從該網(wǎng)站中，可以找到您當(dāng)前正在處理的勒索軟件變體的密鑰（假設(shè)您現(xiàn)在已經(jīng)將系統(tǒng)中的所有惡意軟件清除干凈），您就能夠使用這個解密密鑰來解密數(shù)據(jù)。但是，即便您有幸找到了解密密鑰，您的任務(wù)也還沒徹底完成 – 仍需停機數(shù)小時或數(shù)天來進行修復(fù)工作。
8. 繼續(xù)向前：如果很不幸你沒有可用來進行恢復(fù)的備份，無法找到解密密鑰，你唯一的選擇可能就是盡量減少您的損失，然后從頭開始部署系統(tǒng)。重建過程需要一定的時間和成本，但在沒有其他辦法的情況下，這就是最好的辦法了。

及時備份并保護好備份文件

根據(jù)以上分析可知，及時進行備份，并保護好備份文件（異地保存），是不幸遭遇勒索軟件情形下最好的情形。

鴻萌易備數(shù)據(jù)備份軟件支持向多種目標(biāo)位置復(fù)制多個備份文件副本，支持 AES 256 位加密和 zip 壓縮。支持系統(tǒng)備份、驅(qū)動器鏡像、數(shù)據(jù)庫備份、虛擬機備份、Exchange 服務(wù)器備份等。

防患于未然，做好備份工作，是預(yù)防勒索軟件的重要措施。