勒索软件攻击可能会对受害者是初创公司还是大型跨国公司产生严重影响。当你看到计算机屏幕显示系统被破坏或试图访问加密文件,并被要求支付解锁或解密的资金时,这无疑会让你感到恐慌。如果不能访问公司文件和系统,工作将停止,业务将受到不可弥补的损害。
最大限度地减少损害的关键是知道如何检测、响应和删除勒索软件。
如何检测勒索软件攻击
预防是关键。一旦勒索软件被感染,就很难删除(如果不是不可能的)。然而,勒索软件通常只在攻击者宣布后才被检测到,例如通过屏幕弹出窗口。
其他勒索软件感染指标包括来自反恶意软件的警报、系统性能滞后、文件访问受阻和网络行为异常。
可以删除勒索软件吗?
删除勒索软件具有挑战性。有时,勒索软件可以删除;有时,恶意软件不可能从其感染系统中删除。这里的关键是尽量减少任何类型的恶意软件(包括勒索软件)渗透到系统网络中的可能性。您可以通过部署以下最佳安全实践来实现这一点:
- 不要将设备连接到感染或可疑网络。
- 不要访问看似可疑的网站。
- 不要打开可疑电子邮件的附件。
- 不要点击电子邮件中的链接、社交媒体帖子或其他潜在危险信息。
- 未知软件和内容不得安装盗版。
- 不要与勒索者沟通或支付赎金。
- 必须在系统上安装反恶意软件,并保持最新软件。
- 防火墙必须配备强大的安全设置和定期更新规则。
- 在安全位置备份文件和操作系统;考虑使用云存储备份。
- 文件必须存储在单独的外部驱动器中。
- 网络测试必须定期进行,以识别可疑活动。
移除勒索软件的步骤
无论您是否部署了适当的准备和安全措施,勒索软件攻击都将不可避免地绕过安全防御。此时,尽快检测攻击并防止其传播到其他系统和设备是很重要的。
个人和企业可以按照以下步骤删除勒索软件。被勒索软件攻击的员工应立即通知其经理和服务台团队。
步骤1.隔离感染设备
感染设备与互联网、网络、移动设备、闪存驱动器、外部硬盘驱动器、云存储、云存储帐户和网络驱动器等任何有线或无线连接的连接。这可以防止勒索软件传播到其他设备。
此外,检查连接到感染设备的任何设备是否被勒索软件感染。
如果您没有要求赎金,请立即从系统中删除恶意软件。如果要求赎金,如果有,请在与勒索者接触时小心。许多新闻来源(包括美国联邦调查局)建议不要支付赎金。
步骤2. 确定勒索软件的类型
你应该知道感染设备中哪种勒索软件有助于修复。如果阻止设备访问,如锁柜勒索软件,通常不太可能。这些感染设备可能需要经验丰富的安全专家检查或使用软件工具进行诊断。有些工具可以作为免费软件使用,而其他工具则需要付费订阅。
步骤3. 移除勒索软件
勒索软件必须在恢复系统之前删除。在最初的攻击过程中,勒索软件会感染系统,加密文件和/或锁定系统访问权限。只有密码或解密钥才能解锁或解密限制。
以下方法可用于去除勒索软件:
- 检查勒索软件是否被删除。感染系统后有时会删除勒索软件;其他时候,它会留在设备上感染其他设备或文件。
- 使用反恶意软件/反勒索软件。大多数反恶意软件和反勒索软件可以隔离和删除恶意软件。
- 向安全专业人员寻求帮助。请与企业内或第三方技术支持的安全专家合作,协助移除勒索软件。
- 手动移除。如有可能,请检查安装在设备上的软件,并卸载勒索软件文件。仅建议有经验的安全人员使用此方法。
请注意,即使删除了勒索软件,加密文件也可能难以访问。现在有勒索软件解密工具,许多反恶意软件和反勒索软件选项都提供了这个功能。但请记住,解密工具并不适用于所有类型的勒索软件。
作为取证活动的一部分,IT团队应详细扫描设备或系统,以确保没有勒索软件残留。最好隔离受影响的设备,以确保在返回服务之前完全清洁。
步骤4.恢复系统
恢复文件通过恢复以前版本的操作系统(攻击前)。如果备份未加密或锁定,请使用系统恢复功能恢复。请注意,上次备份日期后创建的任何文件都不会恢复。
大多数主流操作系统都有工具来恢复文件,并提供其他功能来恢复感染系统。
恢复系统后,请务必执行以下操作:
- 尽快更新所有密码和安全访问代码。
- 检查确保防火墙规则和反恶意软件保持最新版本。必要时,用更强大的软件替换安全软件。
- 采取预防措施防止勒索软件未来感染。