在網絡安全領域,組織確實有必要采取措施,防止勒索軟件攻擊他們的組織并將其數據作為人質是非常重要的。然而,即使是最奢侈和最謹慎的準備,一些攻擊仍然可以通過。知道如何做,如何應對,如果您的組織成為勒索軟件的受害者,以及用于幫助識別和控制攻擊的工具可能意味著丟失一臺計算機和將整個網絡連續數小時,幾天甚至幾周之間的區別。

以下可以幫助您有效地解決針對您的組織的勒索軟件攻擊,并盡快恢復正常的業務運營。

勒索軟件攻擊

1. 阻止勒索軟件通信

許多類型的勒索軟件(但不是全部)需要與連接命令和控制服務器(C&C服務器)以獲得加密密鑰才能運行。以阻止勒索軟件和其他形式的惡意軟件與命令和控制服務器連接和通信可能會限制并可能消除勒索軟件運行的能力。

2. 控制感染,防止傳播,最大限度地減少業務影響

雖然一些勒索軟件需要與C&C服務器通信才能獲得加密密鑰,但其他變種則不需要。有些人現在將公共加密密鑰與惡意軟件本身捆綁在一起,在文件甚至到達其命令和控制網絡之前加密文件。這使得防止加密變得更加困難,因為這些變體甚至不需要初始連接來激活。

但是,即使勒索軟件設法加密受感染設備上的文件,所有的希望也不會丟失。反病毒技術可以識別和隔離惡意進程和通信,并自動鎖定受感染的設備。快速遏制可能會阻止勒索軟件傳播到網絡存儲,文件共享位置或其他系統。這可以大大減少勒索軟件造成的損害,并限制對您業務的影響。

首先必須采用強有力的方法主動預防感染。將反病毒等工具集成到您的安全策略中可以幫助檢測和控制勒索軟件和其他惡意軟件感染。

3. 不要驚慌,可能是現有的解決方案

如果您確實成為勒索軟件的受害者,請不要驚慌。可能存在現有解決方案。立即聯系您的IT專業人員,因為他們最有能力確定適當的響應。在某些情況下,您可能只有兩個選項,從備份恢復加密文件或支付贖金。然而,這并非總是如此。勒索軟件正在迅速發展,安全專業人員不斷追求攻擊者以及如何禁用攻擊。在一些情況下,例如TeslaCrypt和Shade勒索軟件,解密密鑰可以在互聯網上獲得。快速搜索可以為您的團隊節省大量時間和金錢來應對攻擊。

4. 分析并理解攻擊并確定適當的響應

一旦您設法包含勒索軟件,重要的是進行必要的研究以完全理解它。根本原因是什么?它是如何進入的?是用戶錯誤嗎?究竟發生了什么?為了充分了解整個攻擊,進行研究至關重要,因此您可以制定一個整個感染的計劃,并防止它在一周或幾個月后再次發生,或者在不久的將來再次發生。

您的事件響應團隊需要利用取證數據來全面分析攻擊的各個方面,從進入點和行進路徑到損壞范圍。此信息需要手動編譯,或使用自動化工具匯總。在勒索軟件攻擊的情況下,請記住,大多數事件響應團隊需要提取所有信息并手動構建報告,這都是需要時間的。

近年來,自動化解決方案已經可用于使組織能夠解決此限制。實施自動取證分析工具極大地提高了事件響應團隊理解攻擊的全面視圖的能力,并且一些解決方案甚至提供了補救指導。這些工具大大縮短了事件分析的時間,將之前需要花費數小時或數天的時間,并將其減少到幾分鐘,使信息安全人員能夠更有效地理解和響應攻擊。

如今勒索軟件正在崛起。組織必須采取措施主動保護其文件,數據和系統。同樣重要的是,他們實施的工具使他們的響應團隊能夠快速控制威脅并徹底了解攻擊的各個方面。通過綜合分析,組織可以開發有效且高效的響應來限制攻擊范圍并嘗試避免支付贖金,同時檢索可能已加密的任何文件。