当遭受攻击时,最大限度减少损害的关键是了解如何检测、响应和删除勒索软件。
如何检测勒索软件攻击
预防是关键。一旦勒索软件感染系统,就很难(如果不是不可能的话)删除。然而,勒索软件通常只有在攻击者宣布后才会被检测到,例如,通过屏幕的弹出窗口。
其他勒索软件感染指标包括来自反恶意软件的警报、系统性能滞后、文件访问受阻和网络行为异常。
勒索软件可以删除吗?
删除勒索软件具有挑战性。有时,可以删除勒索软件;有时,不可能从它感染的系统中移除恶意软件。这里的关键是尽量减少任何类型的恶意软件(包括勒索软件)渗透系统网络的可能性。你可以通过部署以下安全最佳实践来实现这一点:
- 不要将设备连接到受感染或可疑网络。
- 不要访问看起来可疑的网站。
- 不要打开可疑电子邮件的附件。
- 不要点击电子邮件中的链接、社交媒体帖子或其他有潜在危险的信息。
- 不要安装盗版货未知软件和内容。
- 不要与勒索者沟通或支付赎金。
- 务必在系统上安装反恶意软件并保持软件最新。
- 务必为防火墙配置强大的安全设置和定期更新规则。
- 务必在安全位置备份文件和操作系统;考虑使用云存储进行备份。
- 务必将文件存储在单独的外部驱动器中。
- 务必定期运行网络测试以识别可疑活动。
移除勒索软件的步骤
勒索软件攻击将不可避免地绕过安全防御,无论你是否部署适当的准备和安全措施。此时,重要的是尽早检测攻击并防止其传播到其他系统和设备。
个人和企业都可以按照以下步骤移除勒索软件。受到勒索软件攻击的员工应立即通知其经理和服务台团队。
步骤1.隔离受感染设备
立即断开受感染设备与任何有线或无线连接的连接,包括互联网、网络、移动设备、闪存驱动器、外部硬盘驱动器、云存储帐户和网络驱动器。这可防止勒索软件传播到其他设备。
此外,检查连接到受感染设备的任何设备是否被勒索软件感染。
如果尚未要求赎金,请立即从系统中删除恶意软件。如果要求赎金,在与勒索者接触时要谨慎,如果有的话。很多消息来源(包括美国联邦调查局)都建议不要支付赎金。
步骤2. 确定勒索软件的类型
你应了解哪种勒索软件在感染设备,这有助于修复工作。如果设备访问被阻止,例如锁柜勒索软件,这通常不太可能。这些受感染的设备可能需要由经验丰富的安全专家进行检查或使用软件工具进行诊断。有些工具可作为免费软件使用,而其他工具则需要付费订阅。
步骤3. 移除勒索软件
在恢复系统之前,必须删除勒索软件。在最初的攻击期间,勒索软件会感染系统并加密文件和/或锁定系统访问权限。只有密码或解密密钥才能解锁或解密限制。
下面的方法可用于移除勒索软件:
- 检查勒索软件是否被删除。勒索软件有时会在感染系统后自行删除;其他时候,它会留在设备上以感染其他设备或文件。
- 使用反恶意软件/反勒索软件。大多数反恶意软件和反勒索软件都可以隔离和删除恶意软件。
- 向安全专业人员寻求帮助。请与企业内或第三方技术支持的安全专家合作,协助移除勒索软件。
- 手动移除。如果可能的话,请检查设备上安装的软件,并卸载勒索软件文件。仅建议经验丰富的安全人员使用此方法。
请注意,即使勒索软件被移除,加密文件仍可能难以访问。现在有勒索软件解密工具可用,很多反恶意软件和反勒索软件选项都提供此功能。但请记住,解密工具并非适用于所有类型的勒索软件。
作为取证活动的一部分,IT团队应对设备或系统进行详细扫描,以确保没有勒索软件残留。最好隔离受影响的设备,以确保在将它们返回服务之前彻底清洁它们。
步骤4.恢复系统
通过恢复以前版本(攻击发生前)的操作系统来恢复文件。如果备份未加密或锁定,请使用系统还原功能还原它们。请注意,在上次备份日期之后创建的任何文件都不会恢复。
大多数主流操作系统都有工具来恢复文件,并提供其他功能来恢复受感染的系统。
在恢复系统后,请务必执行以下操作:
- 尽快更新所有密码和安全访问代码。
- 检查以确保防火墙规则和反恶意软件保持最新版本。如有必要,用更强大的软件替换安全软件。
- 遵循勒索软件预防措施以避免未来感染勒索软件。