支付或不支付?防止并处理赎金软件攻击
![挂锁](http://www.mywiredcafe.com/sites/default/public/styles/article_details/public/field/image/hacker-1944688_640_0.jpg?itok=rGpg5929)
在下面的文章中,检查点软件共享企业的指南,了解如何在七个步骤中预防和处理赎金软件攻击,然后是七个提示,以最大限度地减少作为勒索软件的下一个受害者的风险。
赎金软件攻击数量在数量上增长。为什么?因为黑客正在得到报酬。并且增加了网络风险保险的影响只是使问题更糟。
根据Check Point Research,在过去的12个月内,赎金软件攻击的平均每周数量增加了93%。全球超过1,200个组织受到攻击一周。
攻击的增加也与威胁的可用性有关。许多黑客组织提供勒索软件服务,所以任何人都可以租用这种威胁,包括基础设施、与受害者谈判或勒索网站,窃取的信息可以发布在那里。然后赎金会在“合作伙伴”之间分配。
然而,勒索软件攻击通常不是从勒索软件开始的。它通常以“简单”的网络钓鱼邮件开始。此外,黑客组织经常一起工作。例如在Ryuk勒索软件攻击中,Emotet恶意软件渗透到网络中,然后网络被Trickbot感染,最后勒索软件对数据进行加密。
企业甚至如何知道他们是否将受害者归咎于赎金软件攻击,以及他们应该如何反应?如果没有及时捕获,它相对容易发现,因为组织会收到一条消息要求赎金,将无法访问公司的数据。
此外,网络罪犯不断改进他们的技术,以增加支付压力。最初,勒索软件“只是”加密数据,并要求赎金来解锁它。攻击者很快就增加了第二阶段,在加密之前窃取了有价值的信息,并威胁说,如果不支付赎金,就会公开这些信息。在所有新的勒索软件家族中,约有40%的人除了使用加密软件外,还以某种方式盗窃数据。此外,我们最近还看到了第三个阶段,即被攻击公司的合作伙伴或客户也被联系索要赎金,这是一种叫做三重勒索的新技术。
检查点软件的事件响应团队在全球范围内处理无数的勒索盒案例,建议在发生赎金软件攻击时遵循以下步骤:
- 保持冷静:如果您的组织落在赎金软件攻击的受害者,请不要恐慌。立即联系您的安全团队,并拍摄赎金笔记的照片,以获得执法和进一步调查。
- 隔离受感染的系统:立即将受感染的系统与网络的其他部分断开连接,以防止进一步的破坏。同时,确定感染源。当然,正如前面提到的,勒索软件攻击通常以另一种威胁开始,黑客可能已经在系统中存在了很长时间,逐渐掩盖了他们的踪迹,所以大多数公司在没有外部帮助的情况下可能无法应对“零病人”。
- 要备份备份:攻击者知道组织将尝试从备份中恢复其数据以避免支付赎金。这就是为什么攻击的一个阶段通常是尝试找到和加密或删除备份。此外,切勿将外部设备连接到受感染的设备。恢复加密数据可能导致损坏,例如,由于键故障。因此,制作加密数据的副本可能是有用的。解密工具也逐渐开发,可以有助于破解以前未知的代码。如果您确实有尚未加密的备份,请在完全恢复之前检查数据的完整性。
- 没有重新启动或系统维护:关闭受感染系统的自动更新和其他维护任务。删除临时文件或进行其他更改可能不必要地复杂化调查和修复。同时,不要重新启动系统,因为某些威胁可以开始删除文件。
- 合作:在打击网络犯罪,尤其是勒索软件方面,合作是关键。因此,请联系执法部门和国家网络当局,不要犹豫,请联系声誉良好的网络安全公司的专门事件响应团队。通知员工事件,包括在发生任何可疑行为时如何处理的指示。
- 识别勒索软件的类型:如果攻击者的信息没有直接说明勒索软件的类型,那么你可以使用其中一个免费工具,访问“不再勒索软件计划”网站,你可能会在那里找到专门针对你的勒索软件的解密工具。
- 支付或不支付?:如果赎金软件攻击成功,则会面临无论是否支付赎金的选择。无论哪种方式,公司都必须返回开始,了解为什么事件发生。是否是人类因素或技术失败,再次通过所有流程并重新思考整个策略,以确保类似的事件再也不会发生。无论组织是否支付赎金,都要采取此步骤是必要的。在某种程度上,人们从来没有舒适,以至于发生了某种数据恢复并考虑事件已解决。
所以支付或不支付?答案并不像首次出现一样简单。
虽然赎金金额有时在数十万或数百万美元中,关键系统的中断经常超越这些金额。但是,企业必须记住,即使赎金是支付的,它并不意味着数据,甚至是其中的一部分实际上会被解密。甚至有人知道攻击者在代码中有错误,以便即使他们想要,组织也无法恢复数据。
不要匆忙做决定,仔细考虑所有的选择。支付赎金真的应该是最后的手段。
您如何最大限度地减少成为勒索瓶的下一个受害者的风险?
- 周末和假期是额外的警惕:在周末或假期发生的大多数赎金软件攻击,当组织更有可能慢才能应对威胁时。
- 定期安装更新和补丁:“想哭”在2017年5月重创了世界各地的组织,在三天内感染了20多万台电脑。然而,在攻击发生前一个月,针对永恒之蓝漏洞的补丁就已经可用了。更新和补丁需要立即安装,并具有自动设置。
- 安装反勒索软件:反勒索软件保护监视任何异常活动,如打开和加密大量文件,如果发现任何可疑行为,它可以立即作出反应,防止大规模破坏。
- 教育是保护的重要组成部分:许多CyberActacks从一个不包含恶意软件的目标电子邮件开始,但使用社交工程尝试将用户引起危险的链接。因此,用户教育是保护最重要的保护部分之一。
- 赎金软件攻击不会以赎金软件开头,因此请注意其他恶意代码,例如渗透组织的涓涓细胞或驱动器,并为后续赎金软件攻击设置舞台。
- 备份和归档数据至关重要:如果出现问题,则应轻松快速可恢复数据。必须一致地备份,包括在员工设备上自动备份,而不是依赖于它们记住打开备份。
- 限制对必要信息的访问和分段访问:如果您想将潜在的成功攻击的影响降到最低,那么确保用户只访问他们工作绝对需要的信息和资源是很重要的。分段降低了勒索软件在网络上不受控制地传播的风险。在一个系统上处理勒索软件攻击的后果可能是困难的,但在网络范围的攻击后修复损害则更具挑战性。