如果你的計算環境容易受到大型勒索軟件攻擊，那么你肯定會制定災難恢復計劃。但在開始恢復系統之前，你必須先確保已停止、識別并刪除感染。實際上，過于盲目地進入到恢復階段，反而會使事情變得更糟。要了解為什么會這樣，了解勒索軟件的工作原理很重要。

勒索軟件如何在你的環境中傳播?

很多文章都描述過勒索軟件的機理，但是我們仍有必要強調：勒索軟件的目的很少是僅僅感染一個系統。現代勒索軟件變種會立即嘗試識別和執行操作系統的各種漏洞，以獲得管理訪問權限，并傳播到局域網的其他部分。攻擊會通過C&C(指揮和控制)服務器進行協調，而聯系這些服務器以獲取指令是每個勒索軟件變種所做的第一件事。對進行中的勒索軟件攻擊做出響應，關鍵在于停止與C&C服務器的進一步通信，并停止受感染系統與網絡其余部分之間的進一步通信。

如果目前你沒有受到感染，那么現在是時候制定一項適合你的網絡響應計劃，并像測試災難恢復計劃一樣經常測試它。

將幫助資源列出來

面對大型勒索軟件攻擊，不宜孤軍奮戰，可以利用一些資源，它們會幫助你在似乎一切都亂套時控制局面、恢復正常，還可以采取一些措施來幫助當局逮捕不法分子。你的勒索軟件響應計劃的一部分應包括這些資源的聯系信息。

如果你買了網絡保險，這會非常有幫助。它可以讓你與專家取得聯系，幫助指導你做出響應。在你受到攻擊之前立即聯系他們，以明確對方的響應流程，并記錄在你的計劃中。如果你沒有買這樣的保險，不妨考慮買一份。

你還應該立即聯系當地的執法部門。執法部門在某起案子中的參與力度將取決于攻擊的范圍和性質，但執法部門表示，把所有攻擊通報給他們，有助于他們更好地應對勒索軟件。他們還可以訪問許多其他組織無法享有的工具和資源，這些工具和資源大有幫助，尤其是在將另一國家確定為源頭的情況下。

尋求幫助時，要留意那些聲稱可以為你解密數據的公司。他們所做的無非是支付贖金，然后讓客戶掏這筆費用。現在不妨花點時間審查你在勒索軟件響應期間希望雇用的公司。

阻止進一步的感染

你要盡可能深入地了解勒索軟件如何傳播，并關閉它用來傳播的機制。你要采取的一些措施可能看起來很極端，但你將不得不決定哪種情況更糟：是極短的計劃外停機時間，還是很長的計劃外停機時間帶來的風險。

立即切斷環境中所有計算機之間的通信。如果做不到這點，至少要切斷你的局域網與外界之間的通信。這將阻止受感染的計算機從C&C 服務器獲取更多的指令。

關閉RDP(遠程桌面協議)，因為RDP是勒索軟件在你的環境中傳播開來的首要途徑。最簡單的方法是更改注冊表項。盡快執行此操作很重要，應通過powershell使其實現自動化。

更改管理員密碼，并結束當前所有的管理會話。如果任何計算機受到攻擊，此舉將阻止它們受到進一步的危害。這最好也通過powershell來完成。

如果你還沒有使它們實現自動化，那么所有這些任務可能需要很長時間，因此在你真正需要它們之前要做好開發和測試工作。

一旦完成了上述操作，最安全的做法是關閉所有計算機，直到你確定哪些計算機已被感染，哪些是沒被感染的。這是一項極端的措施，但如果你這么做，絕對會阻止傳播和進一步的危害，并且讓你在弄清楚下一步該怎么做時有時間深思熟慮。

識別勒索軟件

查清楚攻擊你的勒索軟件變種的最佳工具是ID ransomware(勒索軟件識別)項目，該項目只要根據你收到的勒索消息樣本以及已加密的文件，就可以識別勒索軟件。

在已知受感染的計算機上安裝惡意軟件掃描工具，并對其進行掃描。假設它識別并隔離了勒索軟件，請在你的環境中的所有其他計算機上執行同樣的操作。這個手動過程應由盡可能多的人來執行，因此應將如何執行該操作的培訓列為勒索軟件恢復計劃的一部分。

視勒索軟件具體情況而定，如果受感染的計算機無法掃描，因為登錄或啟動系統所需要的文件已被加密，這些計算機就必須完全擦除和恢復。

如果有人問恢復本身該怎么做?這方面也需要以特定的方式來完成。

現在，請立即規劃，如果發生攻擊，你就能有備無患。