實操手冊 | 如何刪除勒索軟件?
無論受害者是個創(chuàng)企業(yè)還是大型跨國公司,勒索軟件攻擊都可能帶來嚴重影響。當你看到計算機屏幕顯示系統(tǒng)遭到破壞或試圖訪問加密文件,并被要求支付資金以解鎖或解密,這無疑會讓你感到恐慌。如果無法訪問公司文件和系統(tǒng),工作就會停止,并且,業(yè)務(wù)將受到不可挽回的損害。
當遭受攻擊時,最大限度減少損害的關(guān)鍵是了解如何檢測、響應(yīng)和刪除勒索軟件。
如何檢測勒索軟件攻擊
預(yù)防是關(guān)鍵。一旦勒索軟件感染系統(tǒng),就很難(如果不是不可能的話)刪除。然而,勒索軟件通常只有在攻擊者宣布后才會被檢測到,例如,通過屏幕的彈出窗口。
其他勒索軟件感染指標包括來自反惡意軟件的警報、系統(tǒng)性能滯后、文件訪問受阻和網(wǎng)絡(luò)行為異常。
勒索軟件可以刪除嗎?
刪除勒索軟件具有挑戰(zhàn)性。有時,可以刪除勒索軟件;有時,不可能從它感染的系統(tǒng)中移除惡意軟件。這里的關(guān)鍵是盡量減少任何類型的惡意軟件(包括勒索軟件)滲透系統(tǒng)網(wǎng)絡(luò)的可能性。你可以通過部署以下安全最佳實踐來實現(xiàn)這一點:
- 不要將設(shè)備連接到受感染或可疑網(wǎng)絡(luò)。
- 不要訪問看起來可疑的網(wǎng)站。
- 不要打開可疑電子郵件的附件。
- 不要點擊電子郵件中的鏈接、社交媒體帖子或其他有潛在危險的信息。
- 不要安裝盜版貨未知軟件和內(nèi)容。
- 不要與勒索者溝通或支付贖金。
- 務(wù)必在系統(tǒng)上安裝反惡意軟件并保持軟件最新。
- 務(wù)必為防火墻配置強大的安全設(shè)置和定期更新規(guī)則。
- 務(wù)必在安全位置備份文件和操作系統(tǒng);考慮使用云存儲進行備份。
- 務(wù)必將文件存儲在單獨的外部驅(qū)動器中。
- 務(wù)必定期運行網(wǎng)絡(luò)測試以識別可疑活動。
移除勒索軟件的步驟
勒索軟件攻擊將不可避免地繞過安全防御,無論你是否部署適當?shù)臏蕚浜桶踩胧4藭r,重要的是盡早檢測攻擊并防止其傳播到其他系統(tǒng)和設(shè)備。
個人和企業(yè)都可以按照以下步驟移除勒索軟件。受到勒索軟件攻擊的員工應(yīng)立即通知其經(jīng)理和服務(wù)臺團隊。
步驟1.隔離受感染設(shè)備
立即斷開受感染設(shè)備與任何有線或無線連接的連接,包括互聯(lián)網(wǎng)、網(wǎng)絡(luò)、移動設(shè)備、閃存驅(qū)動器、外部硬盤驅(qū)動器、云存儲帳戶和網(wǎng)絡(luò)驅(qū)動器。這可防止勒索軟件傳播到其他設(shè)備。
此外,檢查連接到受感染設(shè)備的任何設(shè)備是否被勒索軟件感染。
如果尚未要求贖金,請立即從系統(tǒng)中刪除惡意軟件。如果要求贖金,在與勒索者接觸時要謹慎,如果有的話。很多消息來源(包括美國聯(lián)邦調(diào)查局)都建議不要支付贖金。
步驟2. 確定勒索軟件的類型
你應(yīng)了解哪種勒索軟件在感染設(shè)備,這有助于修復(fù)工作。如果設(shè)備訪問被阻止,例如鎖柜勒索軟件,這通常不太可能。這些受感染的設(shè)備可能需要由經(jīng)驗豐富的安全專家進行檢查或使用軟件工具進行診斷。有些工具可作為免費軟件使用,而其他工具則需要付費訂閱。
步驟3. 移除勒索軟件
在恢復(fù)系統(tǒng)之前,必須刪除勒索軟件。在最初的攻擊期間,勒索軟件會感染系統(tǒng)并加密文件和/或鎖定系統(tǒng)訪問權(quán)限。只有密碼或解密密鑰才能解鎖或解密限制。
下面的方法可用于移除勒索軟件:
- 檢查勒索軟件是否被刪除。勒索軟件有時會在感染系統(tǒng)后自行刪除;其他時候,它會留在設(shè)備上以感染其他設(shè)備或文件。
- 使用反惡意軟件/反勒索軟件。大多數(shù)反惡意軟件和反勒索軟件都可以隔離和刪除惡意軟件。
- 向安全專業(yè)人員尋求幫助。請與企業(yè)內(nèi)或第三方技術(shù)支持的安全專家合作,協(xié)助移除勒索軟件。
- 手動移除。如果可能的話,請檢查設(shè)備上安裝的軟件,并卸載勒索軟件文件。僅建議經(jīng)驗豐富的安全人員使用此方法。
請注意,即使勒索軟件被移除,加密文件仍可能難以訪問。現(xiàn)在有勒索軟件解密工具可用,很多反惡意軟件和反勒索軟件選項都提供此功能。但請記住,解密工具并非適用于所有類型的勒索軟件。
作為取證活動的一部分,IT團隊應(yīng)對設(shè)備或系統(tǒng)進行詳細掃描,以確保沒有勒索軟件殘留。最好隔離受影響的設(shè)備,以確保在將它們返回服務(wù)之前徹底清潔它們。
步驟4.恢復(fù)系統(tǒng)
通過恢復(fù)以前版本(攻擊發(fā)生前)的操作系統(tǒng)來恢復(fù)文件。如果備份未加密或鎖定,請使用系統(tǒng)還原功能還原它們。請注意,在上次備份日期之后創(chuàng)建的任何文件都不會恢復(fù)。
大多數(shù)主流操作系統(tǒng)都有工具來恢復(fù)文件,并提供其他功能來恢復(fù)受感染的系統(tǒng)。
在恢復(fù)系統(tǒng)后,請務(wù)必執(zhí)行以下操作:
- 盡快更新所有密碼和安全訪問代碼。
- 檢查以確保防火墻規(guī)則和反惡意軟件保持最新版本。如有必要,用更強大的軟件替換安全軟件。
- 遵循勒索軟件預(yù)防措施以避免未來感染勒索軟件。
