您是否知道,Sophos 的勒索软件现状研究中的调研结果表明,遭遇勒索软件攻击后,只有 65% 的数据能够恢复?今天,我们将深入探讨有关从勒索软件攻击中恢复的一些常见问题,以及每个人都应了解的勒索软件防御须知。
什么是勒索软件恢复?
勒索软件数据恢复是在勒索软件攻击后使 IT 系统恢复在线状态的流程。恢复可以很简单,您可以遵循目前的许多现有灾难恢复流程,前提是您制定了成熟的灾难恢复计划且(最近)进行过全面测试。
在数据保护领域,恢复是重中之重,尤其是从备份中恢复加密的虚拟机。虽然这是勒索软件恢复的重要部分,但对 IT 环境的其余部分也有着广泛影响。
取证分析是网络安全事件响应的一环,用于确定勒索软件如何侵入环境及其感染了哪些系统。完成该工作后,我们可以采取措施根除勒索软件,删除攻击者利用的漏洞,并还原受影响的系统。
勒索软件是否可被删除?
在网络安全事件响应过程中,我们可评估勒索软件如何侵入环境以及系统如何受到影响,而不是仅仅关注数据加密。
虽然勒索软件本身必须从加密机器中删除,但我们还必须确定攻击者如何侵入环境并消除相关攻击载体。一旦勒索软件事件发生,您将能够确保您的防恶意软件系统使用正确的定义检测影响您的勒索软件变体。
受勒索软件影响的系统能否恢复?
如今,大多数 IT 组织亟需解决的问题是“如何从勒索软件攻击中恢复”。恢复一般是可能的。遗憾的是,许多组织对恢复流程缺乏信心。因此,我们需要采取措施,确保环境可以从勒索软件攻击中快速恢复。
为保护数据免受勒索软件攻击,我们首先需要及时对其进行备份。机器被加密后,备份就非常重要。加密后,您需要还原至上一次备份。
根据勒索软件在系统上潜伏的时间,您还需要扫描还原的系统,确保您不会将威胁带回环境中。
如何在勒索软件攻击后进行恢复?
在勒索软件攻击发生后,我们常常不知所措。首先,告知 IT 安全团队,以便其启动事件响应流程。这与多数备份管理员所习惯的数据还原流程略有不同。
在从勒索软件攻击中恢复之前,我们必须完成事件响应计划的多个阶段,例如检测和分析、控制及消除和恢复。勒索软件恢复的具体步骤将取决于检测和分析结果。因此,我们需要准备多项恢复策略,并对其进行全面测试。
不熟悉网络安全事件响应?请查阅 CISA 最近发布的网络安全事件和漏洞响应手册。
勒索软件攻击有哪些不同类型?
勒索软件攻击有多个不同类型,最典型的一个莫过于数据加密。还有双重和三重勒索攻击。双重勒索攻击是指勒索软件加密并窃取数据。三重勒索攻击是指机器被加密,数据被盗。恶意攻击者甚至更贪心:查找组织的客户和供应商数据,然后将他们作为攻击目标。
勒索软件会窃取数据吗?
我们经常想到的勒索软件攻击是数据加密。另一种日益泛滥的勒索软件攻击类型是数据窃取。这类攻击是指您环境中的恶意攻击者窃取并威胁公布您的数据,除非您支付赎金。
勒索软件是如何传播的?
勒索软件可以通过多种不同的方式传播。勒索软件最常见的一种传播方式是网络钓鱼电子邮件。在侵入您的环境后,攻击者可以为所欲为。请记住,攻击者只需要入口点便可让您的环境彻底瘫痪。
防止重要文件遭受勒索软件攻击的最佳解决方案是什么?
尽管防御勒索软件攻击是众望所归,但我们应做好受其影响的心理准备。大量勒索软件团伙在不断寻找新方法侵入环境并在其中部署他们的勒索软件。虽然稳妥的 IT 安全策略能帮助有效防范勒索软件,但难免会有漏网之鱼。
最佳解决方案是执行可靠的备份策略,包括不可变备份,以防恶意攻击者加密或删除您的备份。
有多少种勒索软件?
勒索软件有许多不同类型,而且新型勒索软件在不断出现。我们经常从新闻报道中看到的常见勒索软件类型有 REvil、Conti 和 DarkSide 等。
这些不同类型的勒索软件有一个重要特征,即其运作方式与 IT 组织无异。勒索软件团伙有自己的开发人员,并且不断改进其勒索软件,以增强侵入 IT 系统的能力。
从勒索软件攻击中恢复需耗费多长时间?
许多组织耗费很长时间才完成从勒索软件攻击中恢复的工作,有些甚至不能恢复。耗费数周、甚至数月时间进行恢复的情况已经司空见惯,但我们不该如此。
勒索软件恢复需要定期测试,就像灾难恢复计划一样。事实上,灾难恢复计划是进行勒索软件恢复的良好切入点,不过我们需要对该计划进行及时更新和全面测试。
在进行恢复测试后,您可以根据业务需求加快恢复速度,例如在您的环境中部署额外的基础架构。
勒索软件恢复不需要花费很长时间,但测试您的恢复流程对于达成 RTO 至关重要。
勒索软件加密需要多长时间?
勒索软件加密速度取决于袭击您环境的勒索软件。请记住,勒索软件团伙在不断改进他们的软件,试图尽快发起攻击和造成巨大破坏,让 IT 团队措手不及。
例如,REvil 勒索软件使用多线程进程,利用目标的所有资源对其进行加密。
您能解密勒索软件吗?
虽然勒索软件团体声称会在您支付赎金后解密受攻击的信息,但事实上并非所有数据都会成功解密。更大的麻烦是解密后的数据并不完整。即使您在勒索软件攻击后解密服务器,但仍然需要将其从备份中还原。
重装 Windows 会删除勒索软件吗?
在受感染的机器上简单重装 Windows 不会删除勒索软件。完全擦除机器并重装 Windows 能够清除系统上的勒索软件,但如果没有事先进行妥当备份,您将丢失所有数据。
勒索软件会盗取个人数据吗?
勒索软件攻击者会寻找环境中的漏洞,锁定环境中最具价值的数据,比如员工和客户的个人数据、财务信息和专有信息等。请记住,勒索软件团伙会挖空心思勒索赎金。
勒索软件恢复有许多关键要点。最重要的一点是立即采取措施,保护您的环境。这不仅包括强化环境防护,让攻击者无可乘之机,还包括开展网络安全用户意识培训,以确保员工不会点击遭致攻击的可疑链接。
归根结底,安全备份是最后一道防线。除了创建勒索软件无法加密或删除的不可变备份之外,恢复测试也很重要。恢复测试不仅可让您验证备份是否能正常运行,还可帮助您在受到攻击时达成 RTO。
如需进一步了解如何保护数据不受勒索软件攻击,请查看 Veeam 的勒索软件防御套件,立即开始采取保护措施。
