產品與服務
RSS

遇到勒索軟體事件,關鍵應變 9 步驟

12.7.2022GSS & IR Team
Share:
勒索軟體(ransomware) 是近年來重大網路威脅之一,勒索軟體鎖定企業和各類組織進行攻擊,受害事件頻傳,不僅影響企業日常營運,更造成鉅額損失。
透過精準、合宜的應變步驟,以關鍵9步驟應變、處理勒索軟體事件,將可有效協助企業、組織有效控制損害,盡早恢復正常營運。
勒索軟體事件應變處理的關鍵9步驟,詳列如下。

步驟1: 快速隔離

判定有那些系統被勒索軟體感染,並立刻進行隔離。 如果有不能施以斷網處置的機器,就將其暫時關機。 暫時透過 Group Policy Object(GPO) 設定,選擇 "Block all connections”,阻擋擴散

步驟2: 檢傷分類

依據企業持續營運計畫(Business Continuity Plan),進行復原 依據不同狀況,進行相對應的處置: 若為死亡狀態: 盡可能復原 若為中重症: 優先恢復 若為輕症: 先不進行特別處理

步驟3: 尋求協助

初步了解情況並記錄,聯繫內外部團隊,以加快恢復正常狀態 依企業組織的性質通報主管機關、聯繫司法調查單位;若企業組織有投保相關保險,則聯繫保險單位

步驟4: 證據收集

針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集 過濾及收集可疑的指令、IP

步驟5: 找尋紀錄

清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等,試圖找到初期攻擊的跡象

步驟6: 處理一般主機

若尚有未被勒索軟體加密的主機,或是勒索軟體進行加密、但尚未完成加密的主機,先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後,再將主機連網。 使用不同於原始的防毒掃描工具,再清查一次系統狀況,如使用 Microsoft Safety Scanner。

步驟7: 處理 Domain Control

將 Domain 管理員的密碼皆進行密碼更換 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時) 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

步驟8: 備份還原

從離線備份,還原資料 採取分階段,進行服務復原,從必要服務開始進行恢復,直到全部恢復 備份剩餘資料,進行系統重建

步驟9: 尋找勒索軟體所屬家族

透過加密文件的副檔名、勒索文件,尋找遭受哪個勒索體家族攻擊 藉此尋找對應的解密工具 (但找到該工具的機率低) 如果該勒索軟體家族的攻擊,有經其他單位寫成報告或新聞,可以知道該族群慣用的入侵手法、來源


TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/


*首圖來源: Unsplash
12.7.2022GSS & IR Team
Share:

Related Post

產品與服務
6.2.2022

企業挑選資安廠商的3項重點

cyber security, ThreatVision, ThreatSonar, anti ransomware, 企業防駭, 防勒索軟體, 勒索病毒預防
產品與服務
11.23.2022

如何應變勒索軟體攻擊?

ransomware, ransomware attack, incident response, 資安事件應變, 勒索病毒預防