勒索软体攻擊激增
最初,勒索软体是由單一威脅組織推出的惡意軟體,該組織對系統上的檔案進行加密,並要求支付解密金鑰的贖金。然而,在過去幾年中,勒索软体威脅的面貌發生了巨大變化。
其中一個重大變化是這些攻擊的日益升級。 首先,「雙重勒索」攻擊在加密之前竊取敏感數據,並威脅如果沒有支付贖金,則威脅洩漏數據。 然後,「三重勒索」團體也開始向受害者的客戶威脅並要求贖金。 現在,一些勒索软体組織威脅或執行分散式阻斷服务 (DDoS) 攻擊,以增加受害者支付贖金的籌碼。
另一个重大演变是勒索软体即服务 (RaaS)模型的出現,其中一個勒索软体團體開發惡意軟體,然後將其分發給「附屬機構」以用於攻擊。借助 RaaS,更多的組織可以存取複雜的惡意軟體,這意味著更多的勒索软体攻擊。
感染时该怎麼办
如果您已被感染,請採取以下步驟來管理事件的影響並為勒索软体復原做好準備:
- 保持冷静:勒索软体攻擊可能會帶來壓力,但倉促行事可能意味著犯下重大錯誤。保持冷靜的頭腦對於在從勒索软体中恢復時做出正確的決定至關重要。
- 隔离受影响的系统:勒索软体通常會嘗試透過網路傳播以感染盡可能多的系統。斷開受感染系統與網路其餘部分的連接也有助於避免其他資料加密。
- 断开备份:勒索软体通常以備份系統為目標,因為勒索软体業者知道組織會嘗試從備份中復原而不是支付贖金。請勿將任何備份連接到受感染的電腦,並監視並隔離任何可能受感染的備份。
- 复製:勒索软体解密並不總是有效,勒索软体解密器正在不斷開發。如果出現問題,製作加密數據的副本可能會允許稍後恢復它。
- 保持受感染的系统在线:某些勒索软体變體可能會使受感染的系統不穩定,這意味著重新啟動可能會使它們處於不可恢復的狀態。在努力刪除勒索软体时,请勿尝试重新啟动系统或对受感染的系统执行任何更新。
- 合作和沟通:与执法機關、監管機構和其他利害關係人聯繫,並考慮聯繫信譽良好的事件響應團隊。 他們可能擁有專門知識或其他资源來幫助解決問題。
- 识别变体:許多不同的勒索软体變體正在流通,並且清單不斷變化。如果贖金單沒有作者的名字,請查看 No More 可能是免费的解密程序。
- 付款或不付款:这个問題是一個困難的問題。 一方面,支付贖金可能會允許更快,更便宜的恢復。 另一方面,付款並不保證恢復,並為攻擊者提供繼續其活動所需的资源。
- 从事件中学习:勒索软体以某種方式存取了您的系統。識別感染病媒介並关闭它,以防止未來的攻擊者使用相同的技術。
如何從勒索软体中恢復
成功的勒索软体攻擊會以某種方式加密數據,如果沒有正確的解密金鑰就無法解密。但是,勒索软体恢復有以下幾種選擇:
- 没有再赎金项目:如上所述,尋找解决方案的第一個地方是「不再贖金項目」。 許多勒索软体變種都已發布免費解密器,無需支付贖金即可恢復。然而,工具通常不適用於最受歡迎的勒索软体變體。
- 从备份还原:勒索软体通常會嘗試刪除或加密備份,但有些備份可能不會受到影響。如果它們是離線或唯讀的。 確認備份是否清潔並完全清除包括主開機記錄 (MBR) 的電腦後,可能會從備份執行部分或全部復原。
- 支付赎金:勒索软体的目標是將受害者置於支付贖金是「唯一可用的選擇」的情況。是否支付的決定取決於組織的獨特情況,並具有重大風險。
除了還原檔案之外,必須確保攻擊者無法立即重新加密受感染電腦上的檔案。 在恢復這些系統之前,至關重要的一步是讓事件回应團隊 (IRT) 識別並关闭用於存取企業環境的脆弱性,並檢測和刪除受感染系統上安裝的任何後門和持久性機制。
使用 黑料不打烊 恢復勒索软体
When it comes to ransomware, prevention is always the best option. Having an anti-ransomware solution in place before an attack occurs can save an organization a lot of time, money, and trouble. To learn more about anti-ransomware solutions, check out this and .
但是,如果您是勒索软体攻擊成功的受害者,最好請專家來處理。黑料不打烊 的託管侦测和回应 (MDR) 和事件回应 (IR) 團隊在侦测、調查和管理勒索软体感染方面擁有豐富的經驗。
如果您遇到网络安全事件,请致电我们的紧急应变热线。 對於不太緊急的問題以及了解有關保護自己免受未來勒索软体攻擊的更多信息,请联繫我们。
