遇到勒索軟體事件，關鍵應變 9 步驟

步驟1: 快速隔離

• 判定有那些系統被勒索軟體感染，並立刻進行隔離。
• 如果有不能施以斷網處置的機器，就將其暫時關機。
• 暫時透過 Group Policy Object(GPO) 設定，選擇 "Block all connections”，阻擋擴散

步驟2: 檢傷分類

• 依據企業持續營運計畫(Business Continuity Plan)，進行復原
• 依據不同狀況，進行相對應的處置:

  • 若為死亡狀態: 盡可能復原
  • 若為中重症: 優先恢復
  • 若為輕症: 先不進行特別處理

步驟3: 尋求協助

• 初步了解情況並記錄，聯繫內外部團隊，以加快恢復正常狀態
• 依企業組織的性質通報主管機關、聯繫司法調查單位；若企業組織有投保相關保險，則聯繫保險單位

步驟4: 證據收集

• 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
• 過濾及收集可疑的指令、IP

步驟5: 找尋紀錄

• 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等，試圖找到初期攻擊的跡象

步驟6: 處理一般主機

• 若尚有未被勒索軟體加密的主機，或是勒索軟體進行加密、但尚未完成加密的主機，先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後，再-將主機連網。
• 使用不同於原始的防毒掃描工具，再清查一次系統狀況，如使用 Microsoft Safety Scanner。

步驟7: 處理 Domain Control

• 將 Domain 管理員的密碼皆進行密碼更換
• 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
• 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

步驟8: 備份還原

• 從離線備份，還原資料
• 採取分階段，進行服務復原，從必要服務開始進行恢復，直到全部恢復
• 備份剩餘資料，進行系統重建

步驟9: 尋找勒索軟體所屬家族

• 透過加密文件的副檔名、勒索文件，尋找遭受哪個勒索體家族攻擊
• 藉此尋找對應的解密工具 (但找到該工具的機率低)
• 如果該勒索軟體家族的攻擊，有經其他單位寫成報告或新聞，可以知道該族群慣用的入侵手法、來源

TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/