原文出处:What Can Enterprises Do After a Ransomware Attack?
作者:Evelyn Johnson
译者:ACDU翻译组(@帽子菌)
校对:ACDU翻译组(@Shawn.W潇 @Finn)
仅在刚刚过去的四个月里,就发生了1.997亿次勒索软件攻击。这几乎是每秒25次攻击。最近网络犯罪的激增归因于新冠病毒大流行导致的数字化程度的提高。
在过去的几个月里,企业已经纷纷转移到了网上,而网络犯罪分子则嗅到了‘猎物’的味道。这不再是你是否会面临勒索软件攻击的问题,而是你什么时候会面临攻击的问题。
当这样的攻击发生时,你的数据要么被加密,要么你将被迫不能使用设备,也就是说,直到你付出巨额的勒索费这事儿才可能完。
不言而喻,在这种情况下丢失关键数据对您的业务将是灾难性的打击。
那么,出路在哪儿?
勒索软件攻击后应采取的措施
有一些方法可以保护您的数据,并从一开始就阻止这些攻击的发生。然而,如果你已经成为受害者,下面是你应该做的:
1.截图
在做任何事情之前,你应该先把勒索信息截图一下。你可以用手机也拍一份,以防万一。通常,勒索信息上会有付款信息和威胁信息。它告诉你要付多少钱,把钱寄到哪里,如果你不支付将会发生什么。
更重要的是,勒索信息可以帮助专家了解哪个特定的勒索软件攻击了你的设备。一旦完成,解密文件和恢复被锁定的数据就变得更加容易。
你还需要截图以向公安机关报案并通知你的保险公司。
2.隔离受影响的设备
不要犹豫,隔离受感染的设备。加密特定文件后,勒索病毒不会停止。它继续在设备、共享存储和网络中传播。如果您的系统遭到破坏,请立即将其从网络中隔离出去。
勒索病毒可能已经成功地对现有网络驱动程序中的数据进行了加密,但是它可能没有找到您存储在云中的备份,所以攻击时未连接到网络的备份也是安全的。
被攻击的机器会继续对您的网络安全构成威胁,直到它们被完全清除,因此毫不犹豫地将它们从网络中隔离和移除非常重要。
3.确定来源
断开受感染设备的连接后,请调查您的网络以查找来源。带有错误配置和未及时更新软件的系统更容易受到攻击。
在一个更大的组织中,找到“零号病人”有点困难。你必须排查所有员工,找出谁是受攻击的第一目标,找出他们是否点击过一封电子邮件中的链接,从而导致受到攻击,或者他们在浏览器中注意到不寻常的提示了吗?
您需要确定修改文件需要什么权限,以及谁拥有这些权限。搜索打开的文件并识别被感染的用户。
一旦你锁定了确切的源头,你就可以通过快速行动来限制感染。然而,情况并非总是如此乐观,因为大多数感染直到整个攻击完成后才被注意到。
4.分析备份
不用支付赎金就能恢复数据的最快、最方便的方法是从备份中恢复系统。这就是网络安全顾问坚持要求公司创建定期备份来保护其数据的原因。
最近的、不受软件影响的数据很容易恢复。通常,你可以通过将系统重置为出厂默认值来实现这一点。
如果您的备份不是最新的,这种策略可能会适得其反。修复过程可能需要几个小时,然后会失败,让你处于一种几乎没有时间支付赎金或寻找其他选择的状态。
我们始终建议执行恢复测试,恢复特定数量的加密文件,以确保能够成功恢复。恢复本地备份不会花费很长时间。相比之下,异地数据可能需要几天时间。
如果恢复时间是合理的,并且你确定它会起作用,这是一个应对勒索的好选择。
获得专业帮助
除非你经营的大公司有专门的网络安全部门,否则你很难有处理这种情况的专业知识。
在这种情况下,你应该考虑聘请一家专门从事数据安全的公司来指导数据恢复工作。他们也许能够解密数据,帮助你完全避免勒索。
即使你在考虑支付赎金,有经验的人也会有所帮助。对于网络犯罪分子而言,即使支付了金额,他们也可能不会返还数据。一个好的反勒索软件公司知道网络罪犯对他们的受害者玩的所有把戏。
你应该支付赎金吗?
这不是一个容易做出的决定,但面临网络犯罪的公司往往发现自己处于困境,被迫支付赎金。当丢失数据的成本远远高于索要的赎金时,就会发生这种情况。在大多数情况下,黑客提供了对数据的访问,一切恢复正常。
然而,这里也有风险。由于网络罪犯没有什么信誉可言,很多时候,访问权不会被退回,组织会赔了夫人又折兵。
网络犯罪分子也相互分享信息,所以那些支付过高额赎金的公司会遭受更多此类攻击。赎金大多是通过索要比特币的方式。
联邦调查局建议公司不要支付赎金。据该机构称,这将助长攻击者的气焰,并激励更多的人以黑客为职业。
大多数组织在遭受勒索软件攻击后会发现自己进退两难。重要的是咨询专家,权衡你所有的选择。不幸的是,这种情况没有简单的解决办法。
Tips:遇到勒索病毒攻击,数据安全遭受威胁时,不要慌,联系云和恩墨紧急救援!
7*24小时守护热线:400-660-8755,业务咨询邮箱:marketing@enmotech.com
