勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
据“火绒威胁情报系统”监测和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。由于近年来数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。
你已经被勒索软件攻击了。根据您的行业和法律要求(正如我们所见,这些要求不断变化),您可能有义务首先报告攻击。否则,您的直接立足点应该是损害控制之一。那么接下来你应该做什么?
隔离感染:将受感染的端点与网络的其余部分和任何共享存储区分开,以防止其传播。
识别感染:有几种不同的恶意软件菌株,每种都需要不同的响应。扫描计算机上的消息和文件或运行识别工具以更好地了解您正在处理的内容。
报告:无论法律是否要求您这样做,向当局报告攻击都是一个不错的主意。他们可以帮助支持和协调反击措施。
确定您的选择:您有多种方法来应对感染。确定哪种方法最适合您。
恢复和刷新:使用安全备份以及程序和软件源来恢复您的计算机或装备新平台。
防止再次发生的计划:评估感染是如何发生的,以及您可以采取哪些措施来确保它不会再次发生。
1.隔离感染
根据您受到攻击的勒索软件的压力,您可能几乎没有时间做出反应。快速移动的病毒可以从单个端点跨网络传播,在您甚至没有机会控制数据之前锁定您的数据。
第一步,即使您只是怀疑一台计算机可能被感染,也要将其与网络上的其他端点和存储设备隔离开来。禁用 Wi-Fi,禁用蓝牙,并从机器可能连接的任何 LAN 或存储设备上拔下插头。这不仅包含传播,还可以防止勒索软件与攻击者通信。
只要知道您可能正在处理不止一个“零号病人”。勒索软件可能已通过多种途径进入您的系统。它可能已经在另一个系统上处于休眠状态。在您确认之前,将每台连接和联网的机器都视为勒索软件的潜在宿主。
2. 识别感染
就像有坏人传播勒索软件一样,也有好人可以帮助您对抗它。ID Ransomware和No More Ransom等网站!项目帮助Crypto Sheriff确定您正在处理的压力。了解您感染的勒索软件类型将有助于您了解它的传播方式、它通常针对的文件类型以及您有哪些选项(如果有)用于删除和清除。如果您向当局报告攻击事件(您确实应该这样做),您还将获得更多信息。
3. 向当局报告
据了解,有时简单地支付赎金并继续前进可能并不符合您的企业的最佳利益。也许您不希望攻击公开。也许涉及当局的潜在不利因素(调查期间生产力下降等)超过了赎金的数额。但报告攻击是您帮助每个人免于成为受害者的方式。通过报告每一次攻击,当局可以更清楚地了解谁是攻击的幕后黑手,他们如何访问您的系统,以及可以采取什么措施来阻止他们。
您可以在Internet Crime Complaint Center向 FBI 提交报告。
还有其他方法可以报告勒索软件。
4. 确定你的选择
好消息是,您有多种选择。坏消息是,最明显的选择——付钱,是个糟糕的主意。
简单地满足黑客的要求对某些人来说似乎很有吸引力,尤其是在前面提到的那些支付赎金比潜在的生产力损失更便宜的情况下。黑客们指望着这一点,Coveware 指出,攻击者往往专门针对较小的公司,因为对他们来说,直接付款通常更具财务意义。
但是,支付赎金只会鼓励攻击者攻击像您这样的其他企业或个人。支付赎金不仅会助长犯罪环境,还会导致民事处罚——您甚至可能无法取回数据。
另一种选择是尝试将其删除。
5.恢复或重新开始
有几个站点和软件包可能会从您的系统中删除勒索软件,包括No More Ransom!项目。也可以找到其他选项。
您是否可以成功并完全消除感染尚有争议。并不是每个已知的勒索软件都有可用的解密器。野兽的本性是,每当好人想出解密器时,坏人就会编写新的勒索软件。为了安全起见,您需要通过恢复系统或完全重新开始来跟进。
