勒索軟體(ransomware,又稱勒索病毒) 是近年來重大網路威脅之一,勒索軟體鎖定企業和各類組織進行攻擊,受害事件頻傳,不僅影響企業日常營運,更造成鉅額損失。
透過精準、合宜的應變步驟,以關鍵9步驟應變、處理勒索軟體事件,將可有效協助企業、組織有效控制損害,盡早恢復正常營運。
勒索軟體事件應變處理的關鍵9步驟,詳列如下。
步驟1: 快速隔離
判定有那些系統被勒索軟體感染,並立刻進行隔離。
如果有不能施以斷網處置的機器,就將其暫時關機。
暫時透過 Group Policy Object(GPO) 設定,選擇 "Block all connections”,阻擋擴散
步驟2: 檢傷分類
依據企業持續營運計畫(Business Continuity Plan),進行復原
依據不同狀況,進行相對應的處置:
若為死亡狀態: 盡可能復原
若為中重症: 優先恢復
若為輕症: 先不進行特別處理
步驟3: 尋求協助
初步了解情況並記錄,聯繫內外部團隊,以加快恢復正常狀態
依企業組織的性質通報主管機關、聯繫司法調查單位;若企業組織有投保相關保險,則聯繫保險單位
步驟4: 證據收集
針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
過濾及收集可疑的指令、IP
步驟5: 找尋紀錄
清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等,試圖找到初期攻擊的跡象
步驟6: 處理一般主機
若尚有未被勒索軟體加密的主機,或是勒索軟體進行加密、但尚未完成加密的主機,先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後,再將主機連網。
使用不同於原始的防毒掃描工具,再清查一次系統狀況,如使用 Microsoft Safety Scanner。
步驟7: 處理 Domain Control
將 Domain 管理員的密碼皆進行密碼更換
將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號
步驟8: 備份還原
從離線備份,還原資料
採取分階段,進行服務復原,從必要服務開始進行恢復,直到全部恢復
備份剩餘資料,進行系統重建
步驟9: 尋找勒索軟體所屬家族
透過加密文件的副檔名、勒索文件,尋找遭受哪個勒索體家族攻擊
藉此尋找對應的解密工具 (但找到該工具的機率低)
如果該勒索軟體家族的攻擊,有經其他單位寫成報告或新聞,可以知道該族群慣用的入侵手法、來源
TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/
*首圖來源: Unsplash
Related Post
產品與服務
6.2.2022
企業挑選資安廠商的3項重點
cyber security, ThreatVision, ThreatSonar, anti ransomware, 企業防駭, 防勒索軟體, 勒索病毒預防
產品與服務
12.21.2022
處理資安事件/網路攻擊事件所需的8種關鍵資料
incident response, 資安事件應變
產品與服務
11.23.2022
如何應變勒索軟體攻擊?
ransomware, ransomware attack, incident response, 資安事件應變, 勒索病毒預防