sechub官方2024-05-31文章来源:SecHub网络安全社区
适用声明: 本指南适用于企业发现受勒索软件攻击后的处理场景。
阅读对象为: IT部门负责人安全管理员系统管理员 数据库管理员网络管理员日志管理员
原文档: static/file/勒索软件应急指南
发现勒索软件后,应立即上报IT负责人,由其主导所有相关工作。
业务部门代表应当被引入,以便判断业务受影响程度及确认临时/完整恢复方案。
禁用受感染主机网卡;
禁用受感染主机蓝牙;
禁用受感染主机其他具备数据传输能力的链接通道;
依据网络管理员提供的主机清单,检查是否存在其他受感染主机;
全网策略禁止受感染主机接入;
向系统管理员提供受感染主机可以连接的主机清单;
应立即保护现场证据及相关环境、信息,以便测试、取证、追溯
确认并记录受感染主机时间及现实环境时间;
确认并记录最近一次现实环境主机正常工作时间;
强制关停服务器;
依据系统管理员提供时间,提取受感染主机网络日志(流量、连接等);
对受感染主机实施整机或整盘备份;
准备与真实环境一致,并且隔离的镜像环境(网络环境、主机环境等),记作测试环境;
准备与真实环境一致,并且隔离的、状态为未受勒索软件攻击前的镜像环境(网络环境、主机环境等),记作验证环境;
准备一套新的业务环境;
应确认勒索软件类型、数据受损失情况,以便建立恢复方案。
注: 以下所有操作应在测试环境内进行
在测试环境克隆一个受感染主机(A)并启动,提供给系统管理员;
在测试环境克隆一个受感染主机(B),使用引导盘/系统启动,提供给系统管理员;
确认受感染主机的最近一个有效数据恢复点;
确认若需要恢复受感染主机到上一个备份点的数据损失情况,提供给IT负责人;
提取被加密的文件(尽量选择小文件);
提取勒索通知文件或文字提示信息;
将被加密的文件及勒索信息上传至 https://id-ransomware.malwarehunterteam.com/ 获取勒索软件信息;
确认磁盘是否被全部加密;
确认文件是否被全部加密;
若此主机存在数据库,与数据库管理员确认数据库可用性、完整性是否收到破坏;
确认业务数据损失情况,提供给备份管理员、IT负责人;
提取日志文件给日志管理员/安全管理员分析;
依据系统管理员、数据库管理员、网络管理员提供的信息及日志,判断是否存在数据泄密风险;
**与业务部门代表沟通损失情况;
通过备份数据恢复;
通过支付赎金获取恢复工具、密钥;
通过反删除工具恢复被删除数据;
通过破解工具回复被加密数据;
评估方式1所需时间、资金、成功率、数据损失率,提供给系统管理员;
联络攻击者获取赎金金额信息;
通过搜索引擎检索同类型勒索软件攻击后支付赎金恢复的情况;
评估方式2所需时间、资金、成功率、数据损失率;
通过专业恢复工具在测试环境中(例:受感染主机(B))尝试恢复数据;
评估方式3所需时间、资金、成功率、数据损失率;
根据已获知的勒索软件类型,访问 https://www.nomoreransom.org/zh/decryption-tools.html 查询是否已有此类勒索软件解密工具;
通过搜索引擎检索同类型勒索软件是否有恢复工具;
评估方式4所需时间、资金、成功率、数据损失率;(评估过程可以使用《感染环境恢复》中的指引)
将4种方式的对比分析报告提交至IT负责人;
与业务部门代表确认恢复方式及恢复计划;
若恢复计划中使用到受感染环境的数据(恢复方式1~3),则适用以下指引。
在测试环境克隆一个受感染主机(C),使用引导盘/系统启动,提供给系统管理员;
在验证环境克隆一套正常主机(D)并启动,提供给系统管理员;
将需要迁移的恢复后的业务数据通过U盘/EFSS等中转方式拷贝至主机(D);
使用同类型勒索软件专杀工具检查是否存在勒索软件;
若IT负责人确认恢复数据可以使用在新业务环境,则通过U盘/EFSS等方式从主机(D)中转移数据;
建议由专业安全团队在测试环境中分析勒索软件攻击轨迹,确认入侵方式,还原整个过程。
建议由专业安全团队对新业务环境进行安全检查,并根据取证分析报进行网络、系统、应用、管理等层面的安全加固。
北京赛克艾威科技有限公司安全团队
2024年05月31日
邮箱:zhengkai@secevery.com
电话:16637756756
地址:北京市昌平区回龙观镇金燕龙大厦