10 steps to take after a ransomware attack

• 一种被称为勒索软件的计算机病毒，也称为恶意软件或恶意程序，会锁定您的计算机并发送通知要求付款以解锁您的数据。
• 在勒索软件方面，预防是最佳的防御方式。
• 在遭受勒索软件攻击后，您可以采取10个步骤，例如保持冷静、拍照、报告、隔离系统、保护备份、使用解密工具等。

勒索软件是一种计算机病毒，也称为恶意软件或恶意程序，它会锁定您的计算机并发出警报，要求支付赎金以换取您的数据。网络犯罪分子通常以企业和政府为目标，希望他们支付巨额赎金以释放文件并恢复关键系统。但勒索软件攻击也会发生在普通计算机用户身上。

在勒索软件方面，预防是最佳的防御。如果您或您的企业没有强大的预防性安全措施，您可能会频繁遭遇勒索软件攻击。 另见: AfriNIC会员名册神秘消失.

以下是遭受勒索软件攻击后您应采取10个步骤。 另见: AfriNIC 消失的成员登记册.

1. 保持冷静

当您无法访问计算机上的关键文件时，保持冷静会变得困难。然而，感染勒索软件后首先要做的就是保持沉着和冷静。 另见: ECHOES 协会.

大多数人在匆忙支付赎金之前没有考虑到情况的严重性。如果您保持沉着并退居二线，偶尔可以与攻击者进行谈判。 另见: IT部门 - Athlok.

2. 拍下勒索软件消息的照片

请记住，使用勒索软件是非法的。事实上，如果黑客传播勒索软件并从受害者那里勒索不到1000美元，仍有可能因重罪起诉他们。在报告攻击事件之前，请拍下您设备上出现的勒索软件消息的照片。这可以使用智能手机、相机完成，或者在可行的情况下使用屏幕截图。 另见: 亚历杭德罗·费尔南德斯.

3. 报告勒索软件

如果您的公司与外部IT团队或网络安全公司合作，请向他们通报攻击事件，以便他们开始评估损失程度。如果您的公司购买了勒索软件保险，请联系您的保险提供商，告知他们发生的事情。 另见: 阿尔多·加西亚.

最后，向联邦调查局（FBI）报告攻击事件。您可以联系当地的FBI办事处，他们可能能够支持追踪攻击最初是如何发生的。 另见: Alcymer Vieira.

另请阅读：AI：机遇与威胁

4. 隔离受影响的系统

将受影响的计算机从网络中断开。虽然勒索软件可能已经渗透您的网络，但通过隔离攻击，您可以降低这种可能性并阻止其感染备份。如果您使用云备份，这一点尤其重要。断开受影响的计算机有助于阻止勒索软件的传播。 另见: 阿尔西德斯·克雷莫内齐.

5. 保护备份

虽然备份在修复过程中起着至关重要的作用，但重要的是要记住它们并非对勒索软件完全免疫。为了破坏恢复工作，许多现代勒索软件变种会专门针对公司的备份，并试图加密、覆盖或删除它们。

在发生勒索软件事件时，组织必须通过断开备份存储与网络的连接或锁定对备份系统的访问来保护其备份，直到感染问题得到解决。

6. 禁用维护任务

在受影响的系统上，组织应立即关闭自动维护任务，例如日志轮换和临时文件删除，因为这些任务可能会篡改取证团队和调查人员可能需要的文件。

例如，文件日志可能提供关于最初感染点的重要线索，而某些编程较弱的勒索软件变种可能会在临时文件中存储关键数据，如加密密钥。

7. 在杀毒软件中查找解密工具

好的杀毒软件通常包含某种解密工具，以帮助在不屈服于黑客要求的情况下删除勒索软件。使用您的杀毒软件搜索解密工具。如果您的软件不起作用，请尝试使用其他设备（使用蜂窝数据的智能手机是安全的）在线搜索解密工具。

另请阅读：什么是开放银行？简明指南

8. 识别攻击变种

您可以使用免费工具，如ID Ransomware和Emsisoft的在线勒索软件识别工具，来确定勒索软件的类型。

用户可以使用这些服务上传加密文件的样本、任何留下的勒索信以及（如果有的话）攻击者的联系方式。通过分析这些数据，可以确定影响用户文件的勒索软件种类。

9. 重置密码

如果黑客成功访问您的计算机，他们还可以获取您存储在操作系统钥匙串或网络浏览器中的任何密码。恢复操作系统后，继续更改尽可能多的密码。使每个密码与您在被黑客攻击前使用的密码不同也是一个好主意，因为能够访问您密码列表的黑客最终可能破解您的新密码。

10. 决定是否支付赎金

如果备份受损，并且没有合适的解密工具可用，组织可能会受到诱惑，支付赎金以恢复文件。

虽然支付赎金有助于减少中断，并且可能比整体停机成本更便宜，但不应轻率做出这一决定。组织应仅在所有其他选项用尽，且数据丢失很可能导致公司倒闭的情况下，才考虑支付赎金。

勒索软件攻击随时可能发生，因此了解在组织网络受到攻击时如何快速响应非常重要。向其他方通报攻击并快速隔离网络中受影响的部分是最大程度减少损害的关键。在勒索软件攻击后，必须全面审计您的网络，以确保攻击者已被清除，并且没有剩余的勒索软件。