沒有人希望公司的裝置成為加密勒索的受害者,但意外總是來得突然,既然木已成舟,只好冷靜地進行補救工作,但是在進行回復程序的時候,也不要忘記收集加密勒索程式的證據,以備稍後尋找其他攻擊系統的惡意工具之用。
第一步:尋找和隔離
補救的第一件工作是確定入侵的程度,惡意程式有遍佈整個網絡嗎?甚至多於一個辦公室?首先從查看公司網絡的受感染電腦和網段,立即把他們從網絡中隔離以控制感染。
如果公司並沒有很多電腦,首先從防毒軟件、EDR和防火牆的log開始,如果裝置數量極少,可以直接走到裝置前檢查。如果有裝置數量極多,便需要在SIEM系統中分析event和log,雖然稍後還是需要親身前去受影響的裝置,但這是描繪完整畫面的好開始。
從網絡中隔離受感染裝置之後,為他們建立磁盤映像,可以的話留著這些裝置直至調查完結(如果不能承受裝置停止運作,建立映像並儲存memory dump作調查用途)。
第二步:分析和行動
分隔工作完成後,現在有一系列磁盤載滿被加密檔案和映像檔案的裝置,全部都沒有連接網絡和不構成威脅。現時可以開始回復的程序,但在此之前,不妨檢查餘下網絡的安全措施。
現在可以對加密勒索程式進行分析,找出它如何進入和哪些群組經常使用它,也就是threat-hunting的步驟。加密勒索程式不會憑空出現,通常透過dropper、RAT或Trojan loader進行安裝,大家的工作就是找出這個東西。因此需要進行內部的調查工作,從log中尋找哪部裝置是第一受害者,以及裝置為何無未能阻止攻擊的原因。
根據調查結果,擺脫高階隱蔽惡意程式網絡,如果可以便重啟營運,然後找出甚麼道致停止,在保安軟件中欠缺了甚麼,再把這些漏洞堵塞。然後下一步是就發生的情況提示員工,介紹如何發現和避免類似的陷阱,讓他們知道培訓會被跟進。
最後就是選定時間安裝更新和補丁,更新和補丁管理對IT管理員而言是重要的工作,惡意程式經常借漏洞潛入,而往往這些漏洞早已有補丁能夠堵塞。
第三步:清除和復原
在這階段,大家應該已經管理了對網絡的威脅和相關的漏洞,所以可以把注意力放在無法使用的裝置,如果已經無需要再作調查,便把磁盤格式化,並從最新的潔淨備份中復原資料。
如果不幸沒有備份,便需要對磁盤進行解密,首先到Kaspersky的No Ransom網站,尋找遇到的加密勒索程式是否已存在解密工具,如果沒有,可以嘗試聯絡網絡保安供應商查看能否提供協協助。在任何情況下都不要刪除被加密的檔案,新解密工具可能隨時出現,說不定就在明天,這種情況並非第一次出現。
無論如何都不要支付贖金,因為此舉會支助犯罪活動,而且取得解密資料的機會也不高。此外,有些加密勒索攻擊者會盜取資料進行勒索,而且向貪婪的網絡罪犯付款等於鼓勵他們索取更多,在某些個案,受害者付款後數個月,入侵者回來要求更多金錢,並威脅把盜取的資料公開。
一般而言,考慮任何被盜資料會被公開,並準備資料外洩的善後工作,因為遲早都需要向其他人匯報事故,例如員工、持份者、政府部門,甚至是記者。
第四步:採取預防措施
嚴重的網絡安全事故是一個大問題,所以防範未燃是最佳的方法,在事件發生前做足預防措施:
- 在所有endpoint安裝可靠的防護(包括智能電話)
- 細分網網並利用設定好的防火牆作為分隔(新世代防火牆能自動接收新威脅的資料)
- 除了防毒軟件以外,也可以尋找強力的threat-hunting工具
- 部署SIEM系統(大企業的話)以取得即時通知
- 以互動的方法培訓員工網絡安全意識
資料來源:Kaspersky Blog
