应对勒索软件感染的实用技术指南

本文详细探讨了勒索软件感染后的应对策略,包括网络隔离、系统恢复、云存储保护、UEFI安全启动和在线工具使用等技术方案,旨在帮助用户最大限度保护数据并减少损失。

勒索软件感染时的应对分析

勒索软件造成的损害正在扩大。与进行非法转账的银行木马等不同,勒索软件能够将恶意软件感染货币化(变现),而无论受害者使用的系统或在线服务使用情况如何。从网络犯罪的角度来看,具有此类特性的勒索软件损害预计将继续扩大。

考虑感染勒索软件时的应对措施,数据保护无疑是优先事项。本文从这个角度出发,结合已普及的云存储使用,探讨了感染勒索软件时的应对步骤。

这里介绍的方法可能无法应对所有情况,但我们认为,通过优先处理数据保护而非清除病毒,可以增加数据恢复的可能性。

#1 首先,断开网络连接(尤其是使用云存储时)

使用云存储时,通常采用将本地文件与云存储同步的使用方法。在这种情况下,即使本地文件被加密,只要云端的文件完好,数据恢复就很容易。

也就是说,使用云存储时的最优先事项是将云存储的污染降至最低。为此,断开网络连接被认为是最可靠且有效的方法。这种处理方式对于使用内网文件服务器的情况也能期待类似效果。

另外,考虑到云存储可能已被污染,将共享云存储的PC和设备从网络中断开也很重要。离线(包括断电)的PC和设备由于未与云存储同步,被认为处于最可靠的状态。

此外,OneDrive for Business默认进行文件历史管理,因此有可能恢复被勒索软件污染的文件。被删除的文件如果仍在OneDrive for Business的回收站中,也可以恢复。OneDrive对Office文件进行历史管理,但其他文件则不进行历史管理。

在OneDrive for Business中恢复以前版本的文档

#2 使用“重置此电脑”而非“全盘扫描”

感染勒索软件意味着防病毒等安全软件的签名尚未应对此情况。在这种情况下进行全盘扫描,几乎不可能检测到勒索软件。由于等待结果期间文件污染可能加剧,全盘扫描并非有效对策。

为了彻底清除勒索软件,系统干净安装是最可靠的方法,但干净安装无法挽救PC上的重要数据。从Windows 8开始引入的“重置此电脑”功能可以在不删除数据的情况下将系统恢复到初始状态,系统、驱动程序和桌面应用程序将被初始化,勒索软件也会被清除。但是,用户区域可能残留某些攻击,需要注意避免成为再次感染的途径。例如,如果主页注册表中残留攻击网站的URL,仅启动浏览器就可能导致再次感染。

为防止此类再次感染,建议系统恢复后不要连接网络,首先备份重要数据,然后进行干净安装。如果因许可证或账户认证无法避免互联网连接,需注意不要启动浏览器。

另外,使用云存储时,应丢弃本地文件,从云端重新下载所有文件。这是为了防止本地文件被污染或附加恶意软件时,这些文件被上传到云端,污染云存储和其他设备。

如何刷新、重置或恢复PC

#3 基于云的软件

Office 365等基于云的软件不需要安装介质,因此即使执行“重置此电脑”后所需软件被删除,也能轻松重新安装。例如,在出差等无法获取安装介质的情况下,也能从云端安装,使得干净安装或使用“重置此电脑”的处理更加容易。

如果可以使用在线版本而无需安装,即使在等待桌面应用程序安装期间,也有可能使用在线版本继续工作。

#4 启用UEFI安全启动

通过启用从Windows 8开始引入的UEFI安全启动,可以在实际层面上消除对rootkit等的担忧。虽然某些硬件可能不支持,但如果可用,启用UEFI安全启动可以使事后处理更加轻松。

安全启动概述

#5 使用Outlook on the web (OWA)

如果邮件客户端使用Outlook等桌面应用程序,重新安装邮件客户端时需要重新同步邮箱。在此期间,可能会出现无法查看最新邮件等问题。在这种情况下,Outlook on the web(旧称OWA: Outlook Web Access)非常方便。

Outlook on the web使用浏览器访问邮件服务器。所有处理都在线进行,因此可以始终在最新的邮箱中操作。界面也易于使用,相信可以在各种情况下使用。

Outlook on the web新功能介绍

结语

不仅限于勒索软件,首先不感染恶意软件非常重要。为此,保持操作系统(Windows)、应用程序和安全软件处于最新状态至关重要。另一方面,即使采取了适当措施,也需要假设可能因零日攻击或社会工程学等而遭受攻击损害。

微软提倡Protect – Detect – Respond(保护-检测-响应)的理念。在维持和提升属于PreBreach(入侵前处理)的Protect(防御)的同时,作为PostBreach(入侵后处理),迅速实施Detect(检测)入侵和Respond(响应-处理)变得非常重要。

关于Detect – Respond,继ATA(Advanced Threat Analytics)之后,Windows Defender ATP也已发布。这些系统可以在早期发现入侵并进行可靠处理时提供重要信息。我们认为,在处理完勒索软件后,确认是否残留相关恶意软件等入侵时,这些也是重要工具。

什么是ATA Windows Defender Advanced Threat Protection (ATP) 希望本文介绍的内容也能为思考Response(响应)提供参考。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次