【最新部落格】ThreatSonar Anti-Ransomware 可視化威脅事件,一鍵立即處置
產品與服務

遇到勒索軟體事件,關鍵應變 9 步驟

2022.12.07GSS & IR Team
Share:
勒索軟體(ransomware,又稱勒索病毒) 是近年來重大網路威脅之一,勒索軟體鎖定企業和各類組織進行攻擊,受害事件頻傳,不僅影響企業日常營運,更造成鉅額損失。
透過精準、合宜的應變步驟,以關鍵9步驟應變、處理勒索軟體事件,將可有效協助企業、組織有效控制損害,盡早恢復正常營運。
勒索軟體事件應變處理的關鍵9步驟,詳列如下。

步驟1: 快速隔離

  • 判定有那些系統被勒索軟體感染,並立刻進行隔離。
  • 如果有不能施以斷網處置的機器,就將其暫時關機。
  • 暫時透過 Group Policy Object(GPO) 設定,選擇 "Block all connections”,阻擋擴散

步驟2: 檢傷分類

  • 依據企業持續營運計畫(Business Continuity Plan),進行復原
  • 依據不同狀況,進行相對應的處置:
    • 若為死亡狀態: 盡可能復原
    • 若為中重症: 優先恢復
    • 若為輕症: 先不進行特別處理

步驟3: 尋求協助

  • 初步了解情況並記錄,聯繫內外部團隊,以加快恢復正常狀態
  • 依企業組織的性質通報主管機關、聯繫司法調查單位;若企業組織有投保相關保險,則聯繫保險單位

步驟4: 證據收集

  • 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
  • 過濾及收集可疑的指令、IP

步驟5: 找尋紀錄

  • 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等,試圖找到初期攻擊的跡象

步驟6: 處理一般主機

  • 若尚有未被勒索軟體加密的主機,或是勒索軟體進行加密、但尚未完成加密的主機,先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後,再-將主機連網。
  • 使用不同於原始的防毒掃描工具,再清查一次系統狀況,如使用 Microsoft Safety Scanner。

步驟7: 處理 Domain Control

  • 將 Domain 管理員的密碼皆進行密碼更換
  • 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
  • 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

步驟8: 備份還原

  • 從離線備份,還原資料
  • 採取分階段,進行服務復原,從必要服務開始進行恢復,直到全部恢復
  • 備份剩餘資料,進行系統重建

步驟9: 尋找勒索軟體所屬家族

  • 透過加密文件的副檔名、勒索文件,尋找遭受哪個勒索體家族攻擊
  • 藉此尋找對應的解密工具 (但找到該工具的機率低)
  • 如果該勒索軟體家族的攻擊,有經其他單位寫成報告或新聞,可以知道該族群慣用的入侵手法、來源


TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/


*首圖來源: Unsplash
2022.12.07GSS & IR Team
Share:

Related Post

為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。