勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

通常勒索攻擊會分為由外而內發生或是直接於內部發生，這些過程涉及到對於資訊場域的管理、監控與防護機制，為防範勒索攻擊的事件發生，以下4點建議供企業主參考：

1. 安裝有信用、有良好商譽的軟體，並保持防毒軟體(AV)或端點偵測保護程式(EDR)，處在最新病毒碼與偵測規則的狀態；另要求員工不要任意關閉相關資安防護軟體與機制，及在有收到系統或軟體更新訊息時，要立即進行更新、修補可能遭駭漏洞，避免遭勒索軟體犯罪組織利用正面攻擊或社交工程等手法滲透利用。

2. 企業內部要做好資產盤點與系統更新管理，確保公司所擁有的作業系統或應用程式，維持最新版本與更新檔；另對於核心資產的存取控制要遵守最小權限原則及管制存取來源，避免攻擊者可輕易取得最高權限及存取介面。

3. 平時運用外接碟或雲端硬碟等外部裝置或服務，時常進行資料備份；同時必須注意備份管道不能與電腦常態保持連線狀況，應於備份完畢後隨即關閉或移除外接碟，避免感染勒索軟體時一併將其加密。

4. 教育並提醒員工不要任意下載、開啟或點擊來路不明的附件或檔案及使用公司電腦瀏覽各類影音或程式分享網站，並注意社交工程詐騙手法，如遇到可疑郵件或檔案應即時反應妥處；另關閉巨集執行功能，避免不小心點擊附件後，惡意檔案透過巨集下載惡意程式或開啟網頁瀏覽而遭到攻擊。
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。
>
>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
*參考資料: https://cba.ca/ransomware-small-business
*首圖來源: Pixabay

【資安事件處理實務】企業如何避免遭受勒索軟體攻擊

Ransomware attacks are typically classified as either external or internal. These incidents involve the management, monitoring, and protection mechanisms of the information infrastructure. To prevent ransomware attacks, here are four recommendations for business owners:

1.Install reputable and credible software, and ensure that antivirus or malware protection programs are kept up to date with the latest virus patterns and detection rules. Employees should not arbitrarily disable relevant cybersecurity protection software and mechanisms. 

When a system or software update message is received, it must be promptly addressed to update and patch potential vulnerabilities. This helps to avoid infiltration by ransomware or other criminal organizations using direct attacks or social engineering techniques.


2. The enterprise must effectively manage asset inventory and system updates to ensure that all company-owned operating systems and applications are maintained with the latest versions and updates.

3. Use external devices or services, such as external drives or cloud storage, to back up data frequently. Disconnect or remove the external drive immediately after the backup is completed to prevent it from being infected by ransomware, which could also encrypt the backup.


4. Educate and remind employees not to download, open, or click on attachments or files from unknown sources. They should avoid using company computers to browse various video sites or code-sharing platforms and gain awareness around social engineering fraud techniques. For example,they should take response actions immediately if they encounter suspicious emails or files.


Additionally, disable macro execution in Microsoft Word and PowerPoint to prevent malicious files from running via macros, which could inadvertently lead to downloading malicious programs when opening attachments.


>Contact us for incident response service: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
*reference: https://cba.ca/ransomware-small-business
*picture source: Pixabay

How Enterprises can Avoid Ransomware Attacks

ランサムウェアは、近年の主要なサイバー脅威の一つです。企業や様々な組織を標的にしています。多発する事件は日常業務に影響を与えるだけでなく、多大な損失をもたらします。


ランサムウェアインシデントは、企業や組織が損害を制御し、できるだけ早く通常の運用に戻ることを効果的に支援する正確かつ適切な対応手順を通じて対処する必要があります。

ランサムウェア インシデントへの対応における 9 つの主要な手順を以下に示します。

## ステップ 1: 迅速な隔離
- どのシステムがランサムウェアに感染しているかを特定し、直ちに隔離します。
- ネットワークから切断できないマシンがある場合は、一時的にシャットダウンしてください。
- グループ ポリシー オブジェクト (GPO) 設定では 拡散をブロックするために、[すべての接続をブロックする] を一時的に選択します。


## ステップ 2: トリアージ
- 事業継続計画に基づく復旧。
- さまざまな状況に応じて、対応する対処を実行します。
- もし最悪のシナリオ（デバイスの故障）があれば、可能な限り回復させます。
- 中等度から重度の場合：優先的回復。
- 軽度の場合：特別な対処は必要ありません。

## ステップ 3: 支援を求める
- まず状況を理解して文書化し、社内および社外のチームに連絡して正常な状態に早く戻るようにします。
- 企業組織の性質に応じて管轄当局に通知し、司法調査部門に連絡します。また企業組織が関連保険を購入している場合は、保険部門に連絡します。


## ステップ 4: 証拠の収集
- 主要なマシン (サーバーなど) のメモリ ダンプ、イメージ、ログを収集します。
- 疑わしいコマンドと IP をフィルタリングして収集する

##ステップ 5: レコードを検索する
- ウイルス対策ソフトウェア、エンドポイント保護ツール (EDR)、侵入防御ツール (IPS) などのインベントリを作成し、初期の攻撃の兆候を探します。

## ステップ 6: 汎用ホストの対応
- ランサムウェアによって暗号化されていないホスト、またはランサムウェアによって暗号化されていてもまだ暗号化されていないホストがまだある場合は、まずネットワークから切断します。 企業がランサムウェアの感染プロセスを解明し、悪意のあるプログラムを削除した後、ホストをインターネットに接続します。
- 元のウイルス対策スキャン ツールとは別のウイルス対策スキャン ツールを使用し、(例えば)Microsoft Safety Scanner などを使用してシステムの状態を再度確認します。

## ステップ 7: ドメインコントロールの対処
- すべてのドメイン管理者のパスワードを変更する。
- Krbtgt パスワードを 2 回変更します (変更間隔は 10 時間)
- ドメイン管理者およびその他の高い特権グループの下に不明なアカウントが追加されているかどうかを確認します。

## ステップ 8: バックアップと復元
- オフラインバックアップからデータを復元する。
- サービスの復旧には段階的なアプローチを採用し、重要なサービスから始めて完全な復旧まで継続します。
- 残りのデータをバックアップし、システムを再構築します。


##ステップ 9: ランサムウェアがどのファミリーに属しているかを調べる
- 暗号化されたファイルのファイル拡張子とランサムノートによって、どのランサムウェア ファミリが攻撃されているかを特定します。
-これを使用して、対応する復号化ツールを見つけます 。(ただし、ツールが見つかる可能性は低い)
- ランサムウェア ファミリの攻撃が他の部門によってレポートやニュースに記載されている場合、そのグループの通常の侵入方法とソースを知ることができます。


 
 
>TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。
>
>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: [https://teamt5.org/jp/contact-us/](https://teamt5.org/jp/contact-us/?utm_source=blog&utm_medium=website)

ランサムウェア インシデントに対する対応を行うための重要な9つのステップ

Ransomware is one of the major cyber threats in recent years. Ransomware targets enterprises and various organizations. Frequent incidents not only affect the daily operations of enterprises, but also cause huge losses.

Ransomware incidents should be handled through precise and appropriate response steps that will effectively assist enterprises and organizations in controlling damage and recovering back to normal operations as soon as possible.

The 9 key steps in the response to ransomware incidents are listed below.

## Step 1: Quick Quarantine
- Determine which systems are infected with ransomware and quarantine them immediately.
- If there are machines that cannot be disconnected from the network, temporarily shut them down.
- In the Group Policy Object (GPO) setting, temporarily select "Block all connections" to block the spread

##Step 2: Triage
- Restoration according to the Business Continuity Plan
- According to different situations, carry out corresponding treatment:
 - If it is the worst scenario (dead device): recover as much as possible
 - If it is moderate to severe: Priority recovery
 - If it is mild: no special treatment

## Step 3: Ask for assistance
- Initially understand and document the situation, contact internal and external teams to expedite return to normalcy
- Notify the competent authority and contact the judicial investigation unit according to the nature of the enterprise organization.If the enterprise organization has purchased relevant insurance, contact the insurance unit

## Step 4: Evidence collection
- Collect memory dump, image, and logs for key machines (such as servers)
- Filter and collect suspicious commands and IP

##Step 5: Find records
- Inventory of anti-virus software, endpoint protection tools (EDR), intrusion prevention tools (IPS), etc., trying to find signs of early attacks

##Step 6: Handling general hosts
- If there are still hosts that have not been encrypted by ransomware, or hosts that have been encrypted by ransomware but have not yet been encrypted, disconnect it/them from the network immediately. After the company has clarified the infection process of the ransomware and removed the malicious programs, the host computer can be reconnected to the Internet.
- Use a different antivirus scan tool from the original one, and then check the system status again by using, e.g. Microsoft Safety Scanner, etc.

##Step 7: Handle Domain Control
- Change the passwords for all domain administrators
- Change the Krbtgt password twice (change it a second time in another 10 hours)
- Check whether there are unknown accounts added under Domain administrators and other high-privilege groups

##Step 8: Backup and Restore
- Restore data from offline backup
- Take a phased approach to service restoration, starting with essential services. Continue the process until data fully restored
- Back up the remaining data and rebuild the system

##Step 9: Find out which ransomware family it belongs to
- Find out which ransomware family it belongs to by checking the file extensions and the ransom note 
- Use this to find the corresponding decryption tool (but the chance of finding the tool is low)
- If the ransomware family has been mentioned before on reports or news by other units, we can get additional information on the intrusion methods and perhaps sources on relating attacker groups

 
 

>With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impacts and technical causes of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.
>
>If you have needs for incident response, please contact us: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
 
*Image courtesy: [Unsplash](https://unsplash.com/)

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident

勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

透過精準、合宜的應變步驟，以關鍵9步驟應變、處理勒索軟體事件，將可有效協助企業、組織有效控制損害，盡早恢復正常營運。

勒索軟體事件應變處理的關鍵9步驟，詳列如下。


##步驟1: 快速隔離
- 判定有那些系統被勒索軟體感染，並立刻進行隔離。
- 如果有不能施以斷網處置的機器，就將其暫時關機。
- 暫時透過 Group Policy Object(GPO) 設定，選擇 "Block all connections”，阻擋擴散

##步驟2: 檢傷分類
- 依據企業持續營運計畫(Business Continuity Plan)，進行復原
- 依據不同狀況，進行相對應的處置:
 - 若為死亡狀態: 盡可能復原
 - 若為中重症: 優先恢復
 - 若為輕症: 先不進行特別處理

##步驟3: 尋求協助
- 初步了解情況並記錄，聯繫內外部團隊，以加快恢復正常狀態
- 依企業組織的性質通報主管機關、聯繫司法調查單位；若企業組織有投保相關保險，則聯繫保險單位

##步驟4: 證據收集
- 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
- 過濾及收集可疑的指令、IP

##步驟5: 找尋紀錄
- 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等，試圖找到初期攻擊的跡象

##步驟6: 處理一般主機
- 若尚有未被勒索軟體加密的主機，或是勒索軟體進行加密、但尚未完成加密的主機，先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後，再-將主機連網。
- 使用不同於原始的防毒掃描工具，再清查一次系統狀況，如使用 Microsoft Safety Scanner。

##步驟7: 處理 Domain Control
- 將 Domain 管理員的密碼皆進行密碼更換
- 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
- 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

##步驟8: 備份還原
- 從離線備份，還原資料
- 採取分階段，進行服務復原，從必要服務開始進行恢復，直到全部恢復
- 備份剩餘資料，進行系統重建

##步驟9: 尋找勒索軟體所屬家族 
- 透過加密文件的副檔名、勒索文件，尋找遭受哪個勒索體家族攻擊
- 藉此尋找對應的解密工具 (但找到該工具的機率低)
- 如果該勒索軟體家族的攻擊，有經其他單位寫成報告或新聞，可以知道該族群慣用的入侵手法、來源

 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
 
*首圖來源: [Unsplash](https://unsplash.com/)

【資安事件處理實務】遇到勒索軟體事件，關鍵應變處理 9 步驟

IR Service Resources

ランサムウェアが企業をターゲットにすることにより多大な損害が発生しています。それは企業の通常業務を妨害するだけでなく、企業ブランドのにも損害を与えます。
TeamT5 のインシデント対応チームの専門的な経験によると、被害を効果的に制御し、できるだけ早く通常の業務を再開するには、2 つの主要なレベルの対応措置を採用することが推奨されます。

## レベル 1: 技術的側面
社内外の技術チームは、ランサムウェアインシデントに適切に対処するために次の措置を講じています。
1. 感染源を隔離し、被害のレベルを制御する。
2. チームは、インシデントに関連する包括的な情報を収集する必要があります。インシデントのプロセスを調査しシステムの脆弱性にパッチを当てるのに役立ちます。
3. チームはサイバーセキュリティの専門家を雇って効果的な回復措置を実施できます。これは企業と組織の運用が正しい軌道に戻るのに役立ちます。

## レベル 2: マネジメントレベル
当社経営陣（または協力チーム）は、ランサムウェア事件がもたらした目に見えない影響およびブランドへの影響に適切に対処するため、以下の措置を講じます。

1. インシデントによる被害を評価および計算する。
2. 身代金について交渉する。ただし同時に、一部の専門家は身代金の交渉や支払いを行わないことを提案する。
3. 対外関係を管理し、ブランドイメージへの悪影響を軽減する。

 
 
>TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 情報セキュリティインシデントが発生した場合、ハッキングされたサイトと過去の軌跡の包括的な分析を迅速に完了し、攻撃者の侵入プロセスと手法を発見し、インシデント処理のための詳細な分析と提案を提供し、情報の復元と改善を支援します。
>
>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: 
[https://teamt5.org/jp/contact-us](https://teamt5.org/jp/contact-us/?utm_source=blog&utm_medium=website)

ランサムウェア攻撃にどう対処するか?

Ransomware targets enterprises can cause great damages. It not only interferes with enterprises’ daily operation, but also damages brands’ reputation.

Based on TeamT5 incident response team’s professional experience, we suggest enterprises can go by 2 levels of measurements. By doing so, you will be able to effectively control the damage and bring business back to normal soon.


##Technology Level
Enterprises’ internal team or vendors should take the following measures in order to lower the impacts of ransomware attacks.

1. Team should isolate the attack source in order to control damages.
2. Team should collect related comprehensive info of the attack / incident. It’ll help the team to investigate the process of the incident and patch the system vulnerabilities.
3. Team can hire cybersecurity experts to conduct effective recovery measures. It’ll help enterprises & organizations’ operations back on the right track. 


##Management Level
Enterprises’ management team (or partners) should take the following measures in order to better respond to invisible impacts (e.g. negative brand image).

1. To evaluate and calculate damages brought by the attack / incident.
2. To negotiate the ransom. However, some experts advise enterprises & organizations should neither contact the attackers nor pay the ransom.
3. To work on public relations in order to lower the negative impact on brand image.


 
 

>With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and responses to real-world cyber-attacks. We identify and research the intruder attacks, the impacts and technical causes of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.

>If you have needs for incident response, please contact us through: 
[https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

[Incident Response] How to Deal with Ransomware Attacks?

勒索軟體(ransomware，又稱勒索病毒) 針對企業和各類組織的攻擊事件頻傳，不僅影響日常營運，更造成鉅額損失。

根據 TeamT5 杜浦數位安全的資安事件應變團隊(incident response team)的專業經驗，宜採取2大層面的應變措施，有效控制損害，盡早恢復正常營運。

##層面1: 技術面
由公司內、外的技術團隊進行下列措施，妥善處理勒索軟體事件:
1. 隔離感染來源，控制損害層面
2. 收集具體事件資料，詳細調查事件發生經過，堵住系統漏洞
3. 由專家進行有效復原措施，協助企業持續營運

##層面2: 管理面
由公司管理團隊(或與協力團隊)進行下列措施，妥善應對勒索軟體事件帶來的無形衝擊、品牌影響:
1. 評估與計算事件帶來的損害
2. 談判勒索贖金，雖然同時部分專家也會提出不談判、不支付贖金的建議
3. 經營對外關係，降低對品牌形象的負面衝擊
 
 
![how-to-response-ransomware-attacks_pic1.png](https://uploads.teamt5.org/upload/original/how-to-response-ransomware-attacks_pic1.png)
 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
 
首圖來源: [StockAI](https://www.stockai.com/)

How Enterprises can Avoid Ransomware Attacks

Related Post

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident

[Incident Response] How to Deal with Ransomware Attacks?