0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

被勒索软件攻击后,采取五大步骤进行有效地恢复

如意 来源:FreeBuf 作者:kirazhou 2020-10-08 11:26 次阅读

勒索软件已被许多人视为组织面临的最具威胁性的网络安全风险,2019年,超过50%的企业受到勒索软件攻击,估计损失了115亿美元。

仅在去年12月,包括佳能、Garmin、柯尼卡美能达和嘉年华在内的主要消费者公司就成为主要勒索软件攻击的受害者,从而导致支付数百万美元以换取文件访问权。

那么,遭遇勒索软件攻击后该怎么办?采取哪些步骤有效地恢复?以下是一些技巧分享。

意识到被攻击了!检测到感染

最具挑战性的步骤就是,意识到出了问题。

越早检测到勒索软件攻击,受影响的数据就越少。这也直接影响恢复环境所需的时间。不过现实往往是企业看到了赎金文件后才认识到自己中招了,但损害已经造成。因此,拥有可以识别异常行为(例如异常文件共享)的网络安全解决方案,可以帮助快速隔离勒索软件感染并在其进一步蔓延之前将其阻止。

与基于签名或基于网络流量的检测相比,异常文件行为检测是检测勒索软件攻击的最有效方法之一,并且有着最少的误报。

“基于签名”的检测方法有一定作用,但需要勒索软件是已知的。如果有可用的代码,则可以训练软件查找该代码。但是,复杂的勒索软件攻击正在使用新的、未知的勒索软件形式,因此训练效果也不理想。建议使用基于AI / ML的方法,通过查找行为来确定是否存在攻击,例如文件的快速连续加密。

此外,由于勒索软件通常通过网络钓鱼电子邮件攻击——带有危险文件附件或超链接的电子邮件来影响组织。电子邮件等业务关键系统的良好防御机制也是必须的。

及时止损

检测到感染后,就可以隔离勒索软件进程并阻止其进一步传播。如果是在云环境中,这些攻击通常源自远程文件同步或由运行勒索软件加密过程的第三方应用程序或浏览器插件驱动的其他进程。只要挖掘并隔离勒索软件攻击的来源就能帮助我们遏制感染,从而减轻对数据的破坏。

为了快速有效,这个过程必须自动化。在识别出感染后,自动化程序会通过删除可执行文件或扩展名来阻止攻击,并将受感染的文件与环境的其余部分隔离。

另外一种止损的方法是购买网络责任保险,保护企业(以及企业中的个人)免受基于互联网的风险(如勒索软件攻击)以及与信息技术基础架构,信息隐私,信息治理责任以及其他相关风险相关的风险。

恢复受影响的数据

在大多数情况下,即使快速检测到并遏制了勒索软件攻击,仍然会有一部分数据需要还原。这需要对数据进行良好的备份才能恢复到生产状态。

一般来说,按照3-2-1备份最佳实践,且必须将备份数据与生产环境分开。

保留所有重要文件的3个副本,即一个主要文件和两个备份文件

将文件保留在2种不同的媒介类型上

异地维护1份副本

如果备份是在云SaaS环境中进行的,则可以使用云到云的备份来进行“异地”存储,减少备份数据与生产数据同时受到影响的概率。

数据备份,是从勒索软件攻击中恢复的救命稻草。

上报通知

当今大多数组织需要遵循的许多合规性法规,都要求组织将违规行为通知监管机构,接下来则应通知当地执法部门。如果是关键领域的企事业单位,则在通知上报方面有着更加严格的准则。

再次检查!测试访问权限

恢复数据后,需要测试对数据和任何受影响的关键业务系统的访问权限,以确保成功恢复数据和服务,一定要解决所有遗留的问题,然后再将整个系统重新投入生产。

如果在检查过程中发现IT环境中的一些响应时间比平常慢,或者文件大小大于正常大小,则可能表明数据库或存储中仍存在一些未被处理的威胁。

最后

有时最好的进攻才是好的防守。对于勒索软件攻击和重新获得对关键文件的访问权,只有两种选择:对抗或乖乖支付赎金。如果是后者,那么根据最近的一份报告,支付赎金的组织中约有42%的文件未被解密……

鉴于针对企业的勒索软件攻击的数量不断增加,如果没有适当的安全备份和检测系统,后果将是灾难性的。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    7002

    浏览量

    88942
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59701
  • 勒索病毒
    +关注

    关注

    1

    文章

    69

    浏览量

    9455
收藏 人收藏

    评论

    相关推荐

    一个好习惯,从此不惧勒索病毒

    恢复勒索病毒加密文件概率最高的方法:1.发现感染了勒索病毒,立即断网(拔网线或断开Wi-Fi)。2.电脑中毒
    发表于 05-19 22:45

    让人气愤!!勒索病毒还真是害人不浅

    `去年月份的WannaCry让我第一次知道了勒索病毒,记得病毒爆发的时候,那家伙,每个人一上班就用杀毒软件检查一遍,行政的硬盘几乎借了个遍。自那以后,总感觉
    发表于 03-09 14:00

    硬件测试进行五大步骤

    采用短路法。8)断路法:断路法用于检查短路故障最有效。断路法也是一种使故障怀疑点逐步缩小范围的方法。例如,某稳压电源因接入一带有故障的电路,使输出电流过大,我们采取依次断开电路的某一支路的办法来检查故障。如果断开该支路,电流
    发表于 10-20 08:00

    芯片制造主要有五大步骤_国内硅片制造商迎来春天

    芯片制造主要有五大步骤:硅片制备、芯片制造、芯片测试与挑选、装配与封装、终测。集成电路将多个元件结合在了一块芯片上,提高了芯片性能、降低了成本。随着硅材料的引入,芯片工艺逐步演化为器件在硅片上层以及电路层的衬底上淀积。
    的头像 发表于 01-30 11:03 8.3w次阅读
    芯片制造主要有<b class='flag-5'>五大步骤</b>_国内硅片制造商迎来春天

    新一代BlackBerry Workspaces,可帮助企业从网络攻击中迅速恢复

    BlackBerry全新的勒索软件恢复功能在计算机和同步文件受到感染时,可对受感染用户的账户进行冻结,帮助企业控制并限制勒索
    发表于 08-09 15:18 387次阅读

    美国温哥华地铁系统遭到勒索软件攻击

    使用Egregor勒索软件攻击者在最初几个月的活动中表现的非常的活跃。在针对攻击的美国零售商Kmart之后,Egregor团伙还用
    的头像 发表于 12-07 15:53 2163次阅读

    勒索软件攻击将在2021年全面爆发

    “2021年,将是勒索软件爆发的一年”考虑到2020年勒索软件攻击情况,这样的预言应该很容易理解。为了阻止COVID-19传播,全球范围的
    的头像 发表于 02-12 16:20 2539次阅读

    如何制定云备份勒索软件保护策略?

    随着勒索软件和特定数据攻击等威胁不断增加,促使很多企业部署新的数据备份和恢复模型,其中包括基于云的存储。 大多数成熟的企业具有多层备份和复制数据,用于业务连续性和灾难
    的头像 发表于 02-23 17:46 2160次阅读

    大数据有效地阻止勒索软件攻击

    通过采用大数据技术进行的调查,如今的组织面临着更大的网络攻击风险,采用适当的预防措施应该有助于最大程度地减少这些担忧。
    的头像 发表于 03-01 15:34 1781次阅读

    一文剖析什么是勒索软件

    勒索软件 勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式
    的头像 发表于 09-06 09:15 4446次阅读
    一文剖析什么是<b class='flag-5'>勒索</b><b class='flag-5'>软件</b>

    勒索软件是什么?什么驱动了当前勒索攻击的格局?

    勒索软件又称勒索病毒,勒索软件的本质是恶意软件攻击
    的头像 发表于 08-25 09:36 2160次阅读

    如何提高勒索软件攻击恢复性?

    NIST网络安全框架侧重于通过五大主要支柱成功打造全方位的网络安全计划,帮助增强数据基础架构的弹性。培养这些支柱能力可以帮助企业制定全面的风险管理策略。这五大主要支柱分别是识别、保护、监控、响应和恢复
    的头像 发表于 05-18 14:40 562次阅读

    勒索金额再创新高,企业应如何防范?

    勒索攻击五大趋势
    的头像 发表于 09-25 13:55 289次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 502次阅读

    服务器ddos攻击多久能恢复?具体怎么操作

    服务器ddos攻击多久能恢复?如果防御措施得当,可能几分钟至几小时内就能缓解;若未采取预防措施或攻击特别猛烈,则可能需要几小时甚至几天才能
    的头像 发表于 08-13 09:56 465次阅读