如果你的計算環(huán)境容易受到大型勒索軟件攻擊，那么你肯定會制定災(zāi)難恢復(fù)計劃。但在開始恢復(fù)系統(tǒng)之前，你必須先確保已停止、識別并刪除感染。實際上，過于盲目地進入到恢復(fù)階段，反而會使事情變得更糟。要了解為什么會這樣，了解勒索軟件的工作原理很重要。

勒索軟件如何在你的環(huán)境中傳播?

很多文章都描述過勒索軟件的機理，但是我們?nèi)杂斜匾獜娬{(diào)：勒索軟件的目的很少是僅僅感染一個系統(tǒng)?，F(xiàn)代勒索軟件變種會立即嘗試識別和執(zhí)行操作系統(tǒng)的各種漏洞，以獲得管理訪問權(quán)限，并傳播到局域網(wǎng)的其他部分。攻擊會通過C&C(指揮和控制)服務(wù)器進行協(xié)調(diào)，而聯(lián)系這些服務(wù)器以獲取指令是每個勒索軟件變種所做的第一件事。對進行中的勒索軟件攻擊做出響應(yīng)，關(guān)鍵在于停止與C&C服務(wù)器的進一步通信，并停止受感染系統(tǒng)與網(wǎng)絡(luò)其余部分之間的進一步通信。

如果目前你沒有受到感染，那么現(xiàn)在是時候制定一項適合你的網(wǎng)絡(luò)響應(yīng)計劃，并像測試災(zāi)難恢復(fù)計劃一樣經(jīng)常測試它。

將幫助資源列出來

面對大型勒索軟件攻擊，不宜孤軍奮戰(zhàn)，可以利用一些資源，它們會幫助你在似乎一切都亂套時控制局面、恢復(fù)正常，還可以采取一些措施來幫助當(dāng)局逮捕不法分子。你的勒索軟件響應(yīng)計劃的一部分應(yīng)包括這些資源的聯(lián)系信息。

如果你買了網(wǎng)絡(luò)保險，這會非常有幫助。它可以讓你與專家取得聯(lián)系，幫助指導(dǎo)你做出響應(yīng)。在你受到攻擊之前立即聯(lián)系他們，以明確對方的響應(yīng)流程，并記錄在你的計劃中。如果你沒有買這樣的保險，不妨考慮買一份。

你還應(yīng)該立即聯(lián)系當(dāng)?shù)氐膱?zhí)法部門。執(zhí)法部門在某起案子中的參與力度將取決于攻擊的范圍和性質(zhì)，但執(zhí)法部門表示，把所有攻擊通報給他們，有助于他們更好地應(yīng)對勒索軟件。他們還可以訪問許多其他組織無法享有的工具和資源，這些工具和資源大有幫助，尤其是在將另一國家確定為源頭的情況下。

尋求幫助時，要留意那些聲稱可以為你解密數(shù)據(jù)的公司。他們所做的無非是支付贖金，然后讓客戶掏這筆費用?，F(xiàn)在不妨花點時間審查你在勒索軟件響應(yīng)期間希望雇用的公司。

阻止進一步的感染

你要盡可能深入地了解勒索軟件如何傳播，并關(guān)閉它用來傳播的機制。你要采取的一些措施可能看起來很極端，但你將不得不決定哪種情況更糟：是極短的計劃外停機時間，還是很長的計劃外停機時間帶來的風(fēng)險。

立即切斷環(huán)境中所有計算機之間的通信。如果做不到這點，至少要切斷你的局域網(wǎng)與外界之間的通信。這將阻止受感染的計算機從C&C 服務(wù)器獲取更多的指令。

關(guān)閉RDP(遠程桌面協(xié)議)，因為RDP是勒索軟件在你的環(huán)境中傳播開來的首要途徑。最簡單的方法是更改注冊表項。盡快執(zhí)行此操作很重要，應(yīng)通過powershell使其實現(xiàn)自動化。

更改管理員密碼，并結(jié)束當(dāng)前所有的管理會話。如果任何計算機受到攻擊，此舉將阻止它們受到進一步的危害。這最好也通過powershell來完成。

如果你還沒有使它們實現(xiàn)自動化，那么所有這些任務(wù)可能需要很長時間，因此在你真正需要它們之前要做好開發(fā)和測試工作。

一旦完成了上述操作，最安全的做法是關(guān)閉所有計算機，直到你確定哪些計算機已被感染，哪些是沒被感染的。這是一項極端的措施，但如果你這么做，絕對會阻止傳播和進一步的危害，并且讓你在弄清楚下一步該怎么做時有時間深思熟慮。

識別勒索軟件

查清楚攻擊你的勒索軟件變種的最佳工具是ID ransomware(勒索軟件識別)項目，該項目只要根據(jù)你收到的勒索消息樣本以及已加密的文件，就可以識別勒索軟件。

在已知受感染的計算機上安裝惡意軟件掃描工具，并對其進行掃描。假設(shè)它識別并隔離了勒索軟件，請在你的環(huán)境中的所有其他計算機上執(zhí)行同樣的操作。這個手動過程應(yīng)由盡可能多的人來執(zhí)行，因此應(yīng)將如何執(zhí)行該操作的培訓(xùn)列為勒索軟件恢復(fù)計劃的一部分。

視勒索軟件具體情況而定，如果受感染的計算機無法掃描，因為登錄或啟動系統(tǒng)所需要的文件已被加密，這些計算機就必須完全擦除和恢復(fù)。

如果有人問恢復(fù)本身該怎么做?這方面也需要以特定的方式來完成。

現(xiàn)在，請立即規(guī)劃，如果發(fā)生攻擊，你就能有備無患。