卡巴斯基: 如何大幅降低企業勒索病毒攻擊之影響

隨著萬物皆聯網的時代來臨,電腦病毒攻擊與檔案加密的犯罪手法日新月異,因此資安威脅已從個人電腦延伸到企業網絡,甚至到了產線上串聯各機台與設備的機聯網。在百花齊放眾多標榜智慧化的業者輔導之下,許多企業享受到物連網技術帶來的產能與便利,但其中一部分也遭遇到了勒索病毒的攻擊。有時儘管部分業者已採取了所有防護措施,但勒索病毒還是會透過各類漏洞進行感染入侵,以下便是卡巴斯基對於企業遭受勒索病毒攻擊時建議之作法。

第一步: 找到並隔離

您的第一步是確定入侵的程度,勒索病毒已經遍佈在整個網路?還是已經擴散到多個辦公室?先找到受感染的電腦跟網路區塊,然後盡速斷開網路以限制感染擴散。

如果公司內部電腦數量不多,從防毒軟體、Endpoint Sensor及防火牆紀錄開始,或是直接檢查每台電腦。

如果今天談的是有很多電腦的公司,則就是要去分析Security information and event management(SIEM),雖然仍須檢查每部電腦,但可由SIEM中分析出整體感染趨勢及被感染的途徑。

隔離受感染的電腦後,請完全複製檔案系統的結構跟內容,並在盡可能的情形下保留電腦,直到調查結束(如果公司不能負擔電腦停機的成本,無論如何都要製作複製的動作以進行調查)。

第二步:分析並採取行動

經檢查後,就可以整理出一個被病毒鎖定的電腦清單,以及這些電腦的檔案複製備份。這些電腦都與網路斷開後,也就不再構成威脅,即可開始復原的過程,但首先要確認網路其餘部分的安全性。弄清楚勒索病毒如何滲透進入,以及來自什麼組織;為此,請進行內部調查,在記錄檔中尋找以確定哪台電腦最先被感染,以及為什麼未能阻止病毒攻擊。

根據調查結果,清除藏身網路中的惡意病毒源頭,並重新啟動電腦。然後確認缺少什麼資安軟體以阻止惡意病毒攻擊,並盡快安裝。

接下來,提醒員工發生的事情,向他們簡要介紹如何發現並避免此類陷阱。

同時,對於IT管理員來說,更新是至關重要的,惡意病毒通常會經由已經原有的漏洞潛入,經由更新可減少這樣的情況發生。

第三步:清理和還原

到此步驟,已經解決了對網路的威脅以及填補攻擊的漏洞。接下來,已隔離並被病毒鎖定的電腦若已不再需要調查,便可格式化然後從最新的備份中還原。

但如果沒有備份,則必須嘗試解密已被病毒鎖定的內容。可以從卡巴斯基的No Ransom網站查詢(https://noransom.kaspersky.com/),可能已經有相對應的解毒軟體可供下載,;如果沒有,請聯繫您的資安軟體提供商,以獲取幫助。無論如何,請不要刪除被鎖定的文件,解毒軟體推陳出新,也許您需要的解毒軟體明天就會推出。

不論如何,都不要付款,不但會成為犯罪活動的幫兇,此外,獲得解毒軟體的機會並不大,貪婪的網絡犯罪分子甚至會要求更多。有時在付款後的幾個月,會被威脅要提供更多的贖金,否則要發布所有竊取到的資訊內容。

請預先做好任何失竊數據或資料被外流相對應措施,做好資訊外洩的準備。

第四步:採取預防措施

重大的網路安全事件極為麻煩,預防是最好的解決方法。可事先為任何可能產生漏洞的地方做準備:

  1. 在所有運用網路的設備(包括智慧手機)上安裝可靠的保護;
  2. 建置網段,並為其配置完善的防火牆;使用次世代防火牆(NGFW)或類似的產品來自動接收有關新病毒的資訊;
  3. 除了防毒軟體以外,使用惡意程式鑑識獵捕工具。
  4. 大型公司可部署SIEM(資安事件管理系統)以立即發出警報;
  5. 定期針對員工進行資安培訓。

 (Source: https://www.kaspersky.com/blog/ransomware-attack-what-to-do/38809/ )