勒索軟體攻擊激增
最初,勒索軟體是由單一威脅組織推出的惡意軟體,該組織對系統上的檔案進行加密,並要求支付解密金鑰的贖金。然而,在過去幾年中,勒索軟體威脅的面貌發生了巨大變化。
其中一個重大變化是這些攻擊的日益升級。 首先,「雙重勒索」攻擊在加密之前竊取敏感數據,並威脅如果沒有支付贖金,則威脅洩漏數據。 然後,「三重勒索」團體也開始向受害者的客戶威脅並要求贖金。 現在,一些勒索軟體組織威脅或執行分散式阻斷服務 (DDoS) 攻擊,以增加受害者支付贖金的籌碼。
另一個重大演變是勒索軟體即服務 (RaaS)模型的出現,其中一個勒索軟體團體開發惡意軟體,然後將其分發給「附屬機構」以用於攻擊。借助 RaaS,更多的組織可以存取複雜的惡意軟體,這意味著更多的勒索軟體攻擊。
感染時該怎麼辦
如果您已被感染,請採取以下步驟來管理事件的影響並為勒索軟體復原做好準備:
- 保持冷靜:勒索軟體攻擊可能會帶來壓力,但倉促行事可能意味著犯下重大錯誤。保持冷靜的頭腦對於在從勒索軟體中恢復時做出正確的決定至關重要。
- 隔離受影響的系統:勒索軟體通常會嘗試透過網路傳播以感染盡可能多的系統。斷開受感染系統與網路其餘部分的連接也有助於避免其他資料加密。
- 斷開備份:勒索軟體通常以備份系統為目標,因為勒索軟體業者知道組織會嘗試從備份中復原而不是支付贖金。請勿將任何備份連接到受感染的電腦,並監視並隔離任何可能受感染的備份。
- 複製:勒索軟體解密並不總是有效,勒索軟體解密器正在不斷開發。如果出現問題,製作加密數據的副本可能會允許稍後恢復它。
- 保持受感染的系統在線:某些勒索軟體變體可能會使受感染的系統不穩定,這意味著重新啟動可能會使它們處於不可恢復的狀態。在努力刪除勒索軟體時,請勿嘗試重新啟動系統或對受感染的系統執行任何更新。
- 合作和溝通:與執法機關、監管機構和其他利害關係人聯繫,並考慮聯繫信譽良好的事件響應團隊。 他們可能擁有專門知識或其他資源來幫助解決問題。
- 識別變體:許多不同的勒索軟體變體正在流通,並且清單不斷變化。如果贖金單沒有作者的名字,請查看 No More Ransom 項目以獲取更多信息和可能是免費的解密程序。
- 付款或不付款:這個問題是一個困難的問題。 一方面,支付贖金可能會允許更快,更便宜的恢復。 另一方面,付款並不保證恢復,並為攻擊者提供繼續其活動所需的資源。
- 從事件中學習:勒索軟體以某種方式存取了您的系統。識別感染病媒介並關閉它,以防止未來的攻擊者使用相同的技術。
如何從勒索軟體中恢復
成功的勒索軟體攻擊會以某種方式加密數據,如果沒有正確的解密金鑰就無法解密。但是,勒索軟體恢復有以下幾種選擇:
- 沒有再贖金項目:如上所述,尋找解決方案的第一個地方是「不再贖金項目」。 許多勒索軟體變種都已發布免費解密器,無需支付贖金即可恢復。然而,工具通常不適用於最受歡迎的勒索軟體變體。
- 從備份還原:勒索軟體通常會嘗試刪除或加密備份,但有些備份可能不會受到影響。如果它們是離線或唯讀的。 確認備份是否清潔並完全清除包括主開機記錄 (MBR) 的電腦後,可能會從備份執行部分或全部復原。
- 支付贖金:勒索軟體的目標是將受害者置於支付贖金是「唯一可用的選擇」的情況。是否支付的決定取決於組織的獨特情況,並具有重大風險。
除了還原檔案之外,必須確保攻擊者無法立即重新加密受感染電腦上的檔案。 在恢復這些系統之前,至關重要的一步是讓事件回應團隊 (IRT) 識別並關閉用於存取企業環境的脆弱性,並檢測和刪除受感染系統上安裝的任何後門和持久性機制。
使用 Check Point 恢復勒索軟體
對於勒索軟體,預防始終是最好的選擇。在攻擊發生之前製定反勒索軟體解決方案可以為組織節省大量時間、金錢和麻煩。要了解有關反勒索軟體解決方案的更多信息,請查看本購買指南並索取 Harmony 端點的免費演示。
但是,如果您是勒索軟體攻擊成功的受害者,最好請專家來處理。Check Point 的託管偵測和回應 (MDR) 和事件回應 (IR) 團隊在偵測、調查和管理勒索軟體感染方面擁有豐富的經驗。
如果您遇到網絡安全事件,請致電我們的緊急應變熱線。 對於不太緊急的問題以及了解有關保護自己免受未來勒索軟體攻擊的更多信息,請聯繫我們。