勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

本文建議企業透過4個方式應對，冷靜、妥善應對勒索軟體攻擊，避免損失進一步擴大。


1. 立即從網路上隔離受感染的主機或設備，避免勒索軟體擴散與持續控制。

2. 向防毒軟體或 EDR 端點防護廠商確認，蒐集相關跡證並進行事件調查處理(IR)，以掌握勒索軟體類型與可能入侵方式，據以移除惡意軟體、阻斷攻擊鏈與修補漏洞後，再執行系統還原與、資料回復與系統上線作業。

3. 更改企業IT場域中相關系統密碼，尤其是重要的系統網管帳密，或可供外部存取系統入口帳密，藉以阻止或降低入侵者使用已控帳密再次進入系統進行滲透勒索動作。

4. 立即通知公司相關客戶或合作夥伴，避免勒索資料遭盜用後，造成其他商業詐騙郵件或個人詐騙事件損失。
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。
>
>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
參考資料: https://cba.ca/ransomware-small-business
首圖來源: Unsplash

【資安事件處理實務】若企業受到勒索軟體攻擊，如何應變處理

1. Remove infected hosts or devices from the network in order to contain the ransomware.

2. Confirm with the anti-virus software or endpoint protection provider(EDR) and collect relevant evidence. By collecting key data, it’ll help enterprises understand the type of ransomware and possible intrusion methods. Then, enterprises can try to remove the malware, block the attack chain, and patch the vulnerabilities before doing system restore and data recovery operations. .

3. Update critical system passwords, particularly those for network management or system access accounts that external parties can reach. This helps prevent or reduce the risk of intruders using compromised credentials to access the system and carry out unauthorized actions.

4. Immediately notify relevant customers or partners to avoid losses caused by commercial fraud emails or personal fraud incidents.

>Contact us for incident response service: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
*Reference: https://cba.ca/ransomware-small-business
*Picture source: Unsplash

What to Do if Your Enterprise is Attacked by Ransomware

ランサムウェアは、近年の主要なサイバー脅威の一つです。企業や様々な組織を標的にしています。多発する事件は日常業務に影響を与えるだけでなく、多大な損失をもたらします。


ランサムウェアインシデントは、企業や組織が損害を制御し、できるだけ早く通常の運用に戻ることを効果的に支援する正確かつ適切な対応手順を通じて対処する必要があります。

ランサムウェア インシデントへの対応における 9 つの主要な手順を以下に示します。

## ステップ 1: 迅速な隔離
- どのシステムがランサムウェアに感染しているかを特定し、直ちに隔離します。
- ネットワークから切断できないマシンがある場合は、一時的にシャットダウンしてください。
- グループ ポリシー オブジェクト (GPO) 設定では 拡散をブロックするために、[すべての接続をブロックする] を一時的に選択します。


## ステップ 2: トリアージ
- 事業継続計画に基づく復旧。
- さまざまな状況に応じて、対応する対処を実行します。
- もし最悪のシナリオ（デバイスの故障）があれば、可能な限り回復させます。
- 中等度から重度の場合：優先的回復。
- 軽度の場合：特別な対処は必要ありません。

## ステップ 3: 支援を求める
- まず状況を理解して文書化し、社内および社外のチームに連絡して正常な状態に早く戻るようにします。
- 企業組織の性質に応じて管轄当局に通知し、司法調査部門に連絡します。また企業組織が関連保険を購入している場合は、保険部門に連絡します。


## ステップ 4: 証拠の収集
- 主要なマシン (サーバーなど) のメモリ ダンプ、イメージ、ログを収集します。
- 疑わしいコマンドと IP をフィルタリングして収集する

##ステップ 5: レコードを検索する
- ウイルス対策ソフトウェア、エンドポイント保護ツール (EDR)、侵入防御ツール (IPS) などのインベントリを作成し、初期の攻撃の兆候を探します。

## ステップ 6: 汎用ホストの対応
- ランサムウェアによって暗号化されていないホスト、またはランサムウェアによって暗号化されていてもまだ暗号化されていないホストがまだある場合は、まずネットワークから切断します。 企業がランサムウェアの感染プロセスを解明し、悪意のあるプログラムを削除した後、ホストをインターネットに接続します。
- 元のウイルス対策スキャン ツールとは別のウイルス対策スキャン ツールを使用し、(例えば)Microsoft Safety Scanner などを使用してシステムの状態を再度確認します。

## ステップ 7: ドメインコントロールの対処
- すべてのドメイン管理者のパスワードを変更する。
- Krbtgt パスワードを 2 回変更します (変更間隔は 10 時間)
- ドメイン管理者およびその他の高い特権グループの下に不明なアカウントが追加されているかどうかを確認します。

## ステップ 8: バックアップと復元
- オフラインバックアップからデータを復元する。
- サービスの復旧には段階的なアプローチを採用し、重要なサービスから始めて完全な復旧まで継続します。
- 残りのデータをバックアップし、システムを再構築します。


##ステップ 9: ランサムウェアがどのファミリーに属しているかを調べる
- 暗号化されたファイルのファイル拡張子とランサムノートによって、どのランサムウェア ファミリが攻撃されているかを特定します。
-これを使用して、対応する復号化ツールを見つけます 。(ただし、ツールが見つかる可能性は低い)
- ランサムウェア ファミリの攻撃が他の部門によってレポートやニュースに記載されている場合、そのグループの通常の侵入方法とソースを知ることができます。


 
 
>TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。
>
>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: [https://teamt5.org/jp/contact-us/](https://teamt5.org/jp/contact-us/?utm_source=blog&utm_medium=website)

ランサムウェア インシデントに対する対応を行うための重要な9つのステップ

Ransomware is one of the major cyber threats in recent years. Ransomware targets enterprises and various organizations. Frequent incidents not only affect the daily operations of enterprises, but also cause huge losses.

Ransomware incidents should be handled through precise and appropriate response steps that will effectively assist enterprises and organizations in controlling damage and recovering back to normal operations as soon as possible.

The 9 key steps in the response to ransomware incidents are listed below.

## Step 1: Quick Quarantine
- Determine which systems are infected with ransomware and quarantine them immediately.
- If there are machines that cannot be disconnected from the network, temporarily shut them down.
- In the Group Policy Object (GPO) setting, temporarily select "Block all connections" to block the spread

##Step 2: Triage
- Restoration according to the Business Continuity Plan
- According to different situations, carry out corresponding treatment:
 - If it is the worst scenario (dead device): recover as much as possible
 - If it is moderate to severe: Priority recovery
 - If it is mild: no special treatment

## Step 3: Ask for assistance
- Initially understand and document the situation, contact internal and external teams to expedite return to normalcy
- Notify the competent authority and contact the judicial investigation unit according to the nature of the enterprise organization.If the enterprise organization has purchased relevant insurance, contact the insurance unit

## Step 4: Evidence collection
- Collect memory dump, image, and logs for key machines (such as servers)
- Filter and collect suspicious commands and IP

##Step 5: Find records
- Inventory of anti-virus software, endpoint protection tools (EDR), intrusion prevention tools (IPS), etc., trying to find signs of early attacks

##Step 6: Handling general hosts
- If there are still hosts that have not been encrypted by ransomware, or hosts that have been encrypted by ransomware but have not yet been encrypted, disconnect it/them from the network immediately. After the company has clarified the infection process of the ransomware and removed the malicious programs, the host computer can be reconnected to the Internet.
- Use a different antivirus scan tool from the original one, and then check the system status again by using, e.g. Microsoft Safety Scanner, etc.

##Step 7: Handle Domain Control
- Change the passwords for all domain administrators
- Change the Krbtgt password twice (change it a second time in another 10 hours)
- Check whether there are unknown accounts added under Domain administrators and other high-privilege groups

##Step 8: Backup and Restore
- Restore data from offline backup
- Take a phased approach to service restoration, starting with essential services. Continue the process until data fully restored
- Back up the remaining data and rebuild the system

##Step 9: Find out which ransomware family it belongs to
- Find out which ransomware family it belongs to by checking the file extensions and the ransom note 
- Use this to find the corresponding decryption tool (but the chance of finding the tool is low)
- If the ransomware family has been mentioned before on reports or news by other units, we can get additional information on the intrusion methods and perhaps sources on relating attacker groups

 
 

>With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impacts and technical causes of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.
>
>If you have needs for incident response, please contact us: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
 
*Image courtesy: [Unsplash](https://unsplash.com/)

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident

勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

透過精準、合宜的應變步驟，以關鍵9步驟應變、處理勒索軟體事件，將可有效協助企業、組織有效控制損害，盡早恢復正常營運。

勒索軟體事件應變處理的關鍵9步驟，詳列如下。


##步驟1: 快速隔離
- 判定有那些系統被勒索軟體感染，並立刻進行隔離。
- 如果有不能施以斷網處置的機器，就將其暫時關機。
- 暫時透過 Group Policy Object(GPO) 設定，選擇 "Block all connections”，阻擋擴散

##步驟2: 檢傷分類
- 依據企業持續營運計畫(Business Continuity Plan)，進行復原
- 依據不同狀況，進行相對應的處置:
 - 若為死亡狀態: 盡可能復原
 - 若為中重症: 優先恢復
 - 若為輕症: 先不進行特別處理

##步驟3: 尋求協助
- 初步了解情況並記錄，聯繫內外部團隊，以加快恢復正常狀態
- 依企業組織的性質通報主管機關、聯繫司法調查單位；若企業組織有投保相關保險，則聯繫保險單位

##步驟4: 證據收集
- 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
- 過濾及收集可疑的指令、IP

##步驟5: 找尋紀錄
- 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等，試圖找到初期攻擊的跡象

##步驟6: 處理一般主機
- 若尚有未被勒索軟體加密的主機，或是勒索軟體進行加密、但尚未完成加密的主機，先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後，再-將主機連網。
- 使用不同於原始的防毒掃描工具，再清查一次系統狀況，如使用 Microsoft Safety Scanner。

##步驟7: 處理 Domain Control
- 將 Domain 管理員的密碼皆進行密碼更換
- 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
- 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

##步驟8: 備份還原
- 從離線備份，還原資料
- 採取分階段，進行服務復原，從必要服務開始進行恢復，直到全部恢復
- 備份剩餘資料，進行系統重建

##步驟9: 尋找勒索軟體所屬家族 
- 透過加密文件的副檔名、勒索文件，尋找遭受哪個勒索體家族攻擊
- 藉此尋找對應的解密工具 (但找到該工具的機率低)
- 如果該勒索軟體家族的攻擊，有經其他單位寫成報告或新聞，可以知道該族群慣用的入侵手法、來源

 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
 
*首圖來源: [Unsplash](https://unsplash.com/)

What to Do if Your Enterprise is Attacked by Ransomware

Related Post

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident