勒索软件攻击后应采取的 10 个步骤

BTW Media 对“勒索软件攻击后应采取的 10 个步骤”进行剖析，因为公开证据将其与互联网基础设施、治理、运营依赖性或市场可见性联系起来。

• 一种称为勒索软件的计算机病毒，也称为恶意软件或恶意代码，它会锁定您的计算机并发送通知要求付款才能解锁数据。
• 对于勒索软件，预防是最好的防御形式。
• 在勒索软件攻击后您可以采取 10 个步骤，例如保持冷静、拍照、报告、隔离系统、保护备份、使用解密工具等。

勒索软件是一种计算机病毒，也称为恶意软件或恶意代码，它会锁定您的计算机并发出警报，要求支付款项以取回您的数据。网络犯罪分子通常以企业和政府为目标，希望他们支付大额赏金来释放文件和恢复关键系统。但勒索软件攻击也会发生在普通计算机用户身上。

在勒索软件方面，预防是最好的防御。如果您或您的企业没有强大的预防性安全措施，您可能会频繁陷入勒索软件攻击之中。

以下是您在勒索软件攻击后应采取的 10 个步骤。

1. 保持冷静

当您无法访问计算机上的重要文件时，保持冷静变得很困难。然而，被勒索软件感染后要做的第一件事就是保持沉着和冷静。

大多数人在匆忙支付赎金之前没有考虑到情况的严重性。如果您保持冷静并退一步，有时可能与攻击者进行谈判。

2. 拍摄勒索软件消息的照片

请记住，使用勒索软件是非法的。事实上，即使黑客传播勒索软件并从受害者那里勒索不到 1000 美元，仍有可能以重罪起诉他们。在报告攻击之前，请拍摄出现在您设备上的勒索软件消息的照片。这可以使用智能手机、相机，或者在可行的情况下使用屏幕截图来完成。

3. 报告勒索软件

如果您的公司与外部 IT 团队或网络安全公司合作，请向他们报告攻击，以便他们可以开始评估损害程度。如果您的公司有勒索软件保险单，请联系您的保险提供商告知情况。

最后，向 FBI 报告攻击。您可以联系您当地的 FBI 外地办事处，他们可能能够提供支持，追踪攻击最初是如何发生的。

另请阅读：AI：机遇与威胁

4. 隔离受影响的系统

将受影响的计算机从网络中断开。虽然勒索软件可能已经渗透到您的网络，但通过隔离攻击，您可以降低它到达备份的可能性。如果您使用云备份，这一点尤其正确。断开受影响的计算机有助于阻止勒索软件的传播。

5. 保护备份

虽然备份在修复中起着至关重要的作用，但重要的是要记住，备份并不能免受勒索软件的影响。为了挫败恢复工作，许多现代勒索软件变种会专门针对公司的备份，并尝试对其进行加密、覆盖或删除。

在发生勒索软件事件时，组织必须通过断开备份存储与网络的连接或锁定对备份系统的访问来保护备份，直到感染得到解决。

6. 禁用维护任务

在受影响的系统上，组织应立即关闭自动维护任务，如日志轮换和临时文件删除，因为它们可能会篡改取证团队和调查人员可能需要的文件。

例如，文件日志可能会提供有关初始感染点的关键线索，而某些编程较弱的勒索软件变种可能会将关键数据（如加密密钥）存储在临时文件中。

7. 在您的防病毒软件中查找解密工具。

好的防病毒软件包含某种解密工具，可帮助在不屈服于黑客要求的情况下删除勒索软件。使用您的防病毒程序搜索解密工具。如果您的软件不工作，请尝试使用其他设备（使用蜂窝数据的智能手机是安全的）在线搜索解密工具。

另请阅读：什么是开放银行？简短指南

8. 识别攻击变种

您可以使用免费工具，如 ID Ransomware 和 Emsisoft 的在线勒索软件识别工具来识别勒索软件的类型。

用户可以使用这些服务上传加密文件的样本、留下的任何赎金说明，以及（如果有的话）攻击者的联系信息。通过分析这些数据，可以确定影响用户文件的勒索软件毒株类型。

9. 重置密码

如果黑客设法访问您的计算机，他们还可以检索您在操作系统钥匙串或网页浏览器中存储的任何密码。在您的操作系统被恢复后，继续更改尽可能多的密码。将每个密码设置为与黑客攻击前使用的密码不同也是一个好主意，因为能够访问您密码列表的黑客最终将能够破解您的新密码。

10. 决定是否支付赎金

如果备份损坏且没有合适的解密工具可用，组织可能会倾向于支付赎金以恢复文件。

虽然支付赎金有助于减少中断，并且可能比停机的总成本更便宜，但这并非一个可以轻易做出的决定。组织只有在所有其他选项都已用尽且数据丢失很可能导致公司倒闭时，才应考虑支付赎金。

勒索软件攻击随时可能发生，因此了解在组织网络受到攻击时如何快速响应非常重要。向其他方报警并快速隔离网络的受影响部分是最大限度减少损害的关键。在勒索软件攻击之后，必须全面审计您的网络，以确保攻击者已被清除，并且没有剩余的勒索软件。