如何应对勒索软件攻击 – IBM 博客

这是任何组织都不想听到的消息——你是一场事件的受害者 勒索 攻击，现在你想知道下一步该做什么。 

首先要记住的是，您并不孤单。 超过 17% 的网络攻击涉及勒索软件-一种 恶意软件 除非受害者向黑客支付赎金，否则受害者的数据或设备将被锁定。最近的一项研究调查了 1,350 个组织， 78% 的人遭受了成功的勒索软件攻击 （链接位于 ibm.com 外部）。

勒索软件攻击使用多种方法或媒介来感染网络或设备，包括诱骗个人点击恶意链接 钓鱼 电子邮件以及利用软件和操作系统中的漏洞，例如远程访问。网络犯罪分子通常要求以比特币和其他难以追踪的加密货币支付赎金，并在付款后向受害者提供解密密钥以解锁其设备。

好消息是，一旦发生勒索软件攻击，任何组织都可以遵循一些基本步骤来帮助遏制攻击、保护敏感信息并通过最大限度地减少停机时间来确保业务连续性。

初步回应

隔离受影响的系统 

由于最常见的勒索软件变体会扫描网络以查找横向传播的漏洞，因此尽快隔离受影响的系统至关重要。断开以太网连接并禁用任何受感染或潜在受感染设备的 WiFi、蓝牙和任何其他网络功能。

需要考虑的另外两个步骤： 

• 关闭维护任务。 立即禁用受影响的系统的自动任务，例如删除临时文件或轮换日志。这些任务可能会干扰文件并阻碍勒索软件调查和恢复。 
• 断开备份。 由于许多新型勒索软件以备份为目标，使恢复变得更加困难，因此请保持数据备份离线。限制对备份系统的访问，直到消除感染为止。

拍摄赎金单

在继续进行其他操作之前，请拍摄勒索信的照片 - 最好使用智能手机或相机等单独的设备拍摄受影响设备的屏幕。该照片将加快恢复过程，并有助于向警方提交报告或向保险公司提出可能的索赔。

通知安全团队

一旦您断开受影响的系统的连接，请通知您的 IT安全 进攻的队伍。在大多数情况下，IT 安全专业人员可以就后续步骤提供建议并激活您组织的 事件响应 计划，意味着您的组织用于检测和响应网络攻击的流程和技术。

不要重启受影响的设备

处理勒索软件时，避免重新启动受感染的设备。黑客知道这可能是您的第一直觉，某些类型的勒索软件会注意到重新启动尝试并造成额外伤害，例如损坏 Windows 或删除加密文件。重新启动还会使调查勒索软件攻击变得更加困难——有价值的线索存储在计算机内存中，但在重新启动时会被擦除。 

相反，请将受影响的系统置于休眠状态。这会将内存中的所有数据保存到设备硬盘驱动器上的参考文件中，以供将来分析。

根除 

现在您已经隔离了受影响的设备，您可能渴望解锁设备并恢复数据。虽然根除勒索软件感染的管理可能很复杂，尤其是更高级的病毒，但以下步骤可以帮助您走上恢复之路。 

确定攻击变体

有几种免费工具可以帮助识别感染您设备的勒索软件类型。了解特定的病毒可以帮助您了解几个关键因素，包括它如何传播、它锁定哪些文件以及如何删除它。只需上传加密文件的样本，如果有，请上传勒索信和攻击者的联系信息。 

两种最常见的勒索软件类型是屏幕锁和加密器。屏幕储物柜会锁定您的系统，但会在您付款之前保证您的文件安全，而加密器则更难解决，因为它们会找到并加密您的所有敏感数据，并且只有在您支付赎金后才将其解密。 

寻找解密工具

一旦识别出勒索软件菌株，请考虑寻找解密工具。还有一些免费工具可以帮助完成此步骤，包括类似的网站 没有更多的赎金。只需输入勒索软件菌株的名称并搜索匹配的解密即可。 

下载勒索软件权威指南

修复工具 

如果您足够幸运消除了勒索软件感染，那么就该开始恢复过程了。

首先更新您的系统密码，然后从备份中恢复数据。您应该始终致力于以两种不同的格式拥有三份数据副本，其中一份副本存储在异地。这种方法称为 3-2-1 规则，可让您快速恢复数据并避免支付赎金。 

攻击发生后，您还应该考虑进行安全审核并更新所有系统。保持系统最新有助于防止黑客利用旧软件中发现的漏洞，定期修补可以使您的计算机保持最新、稳定并抵御恶意软件威胁。您可能还想根据吸取的经验教训完善您的事件响应计划，并确保您已将事件充分传达给所有必要的利益相关者。 

通知当局 

由于勒索软件属于敲诈勒索和犯罪行为，因此您应始终向执法官员或联邦调查局报告勒索软件攻击。 

如果您的恢复工作不起作用，当局可能能够帮助解密您的文件。但即使他们无法保存您的数据，对他们来说，对网络犯罪活动进行分类也至关重要，并希望能够帮助其他人避免类似的命运。 

法律还可能要求一些勒索软件攻击的受害者报告勒索软件感染。例如，HIPAA 合规性通常要求医疗保健实体向卫生与公众服务部报告任何数据泄露，包括勒索软件攻击。

决定是否付款 

决定 是否支付赎金 是一个复杂的决定。大多数专家建议，只有在尝试了所有其他选项后才应考虑付款，并且数据丢失的危害将比付款造成的危害更大。

无论您做出什么决定，在继续之前，您都应该咨询执法官员和网络安全专业人员。

支付赎金并不能保证您将重新获得对数据的访问权限，也不保证攻击者会信守承诺——受害者通常支付了赎金，但永远不会收到解密密钥。此外，支付赎金会使网络犯罪活动持续下去，并可能进一步资助网络犯罪。

防止未来的勒索软件攻击

电子邮件安全工具以及反恶意软件和防病毒软件是抵御勒索软件攻击的重要第一道防线。

组织还依赖先进的端点安全工具，例如防火墙、VPN 和 多因素认证 作为防御数据泄露的更广泛数据保护策略的一部分。

然而，如果没有最先进的威胁检测和事件响应能力来实时捕获网络犯罪分子并减轻成功网络攻击的影响，任何网络安全系统都是不完整的。

IBM Security® QRadar® SIEM 将机器学习和用户行为分析 (UBA) 与传统日志一起应用于网络流量，以实现更智能的威胁检测和更快的修复。在 Forrester 最近的一项研究中，QRadar SIEM 通过识别误报帮助安全分析师在三年内节省了超过 14,000 个小时，将调查事件所花费的时间减少了 90%，并将遭遇严重安全漏洞的风险降低了 60%。* 通过 QRadar SIEM，资源紧张的安全团队拥有快速检测威胁所需的可见性和分析能力，并立即采取明智的行动，以最大限度地减少攻击的影响。

了解有关 IBM QRadar SIEM 的更多信息

*本 IBM Security QRadar SIEM 的总体经济影响TM 是 Forrester Consulting 代表 IBM 于 2023 年 4 月委托进行的一项研究。基于根据 XNUMX 位受访 IBM 客户建模的复合组织的预测结果。实际结果将根据客户端配置和条件而有所不同，因此无法提供通常预期的结果。