無論受害者是個創(chuàng)企業(yè)還是大型跨國公司，勒索軟件攻擊都可能帶來嚴(yán)重影響。當(dāng)你看到計算機屏幕顯示系統(tǒng)遭到破壞或試圖訪問加密文件，并被要求支付資金以解鎖或解密，這無疑會讓你感到恐慌。如果無法訪問公司文件和系統(tǒng)，工作就會停止，并且，業(yè)務(wù)將受到不可挽回的損害。

當(dāng)遭受攻擊時，最大限度減少損害的關(guān)鍵是了解如何檢測、響應(yīng)和刪除勒索軟件。

如何檢測勒索軟件攻擊

預(yù)防是關(guān)鍵。一旦勒索軟件感染系統(tǒng)，就很難(如果不是不可能的話)刪除。然而，勒索軟件通常只有在攻擊者宣布后才會被檢測到，例如，通過屏幕的彈出窗口。

其他勒索軟件感染指標(biāo)包括來自反惡意軟件的警報、系統(tǒng)性能滯后、文件訪問受阻和網(wǎng)絡(luò)行為異常。

勒索軟件可以刪除嗎?

刪除勒索軟件具有挑戰(zhàn)性。有時，可以刪除勒索軟件;有時，不可能從它感染的系統(tǒng)中移除惡意軟件。這里的關(guān)鍵是盡量減少任何類型的惡意軟件(包括勒索軟件)滲透系統(tǒng)網(wǎng)絡(luò)的可能性。你可以通過部署以下安全最佳實踐來實現(xiàn)這一點：

• 不要將設(shè)備連接到受感染或可疑網(wǎng)絡(luò)。
• 不要訪問看起來可疑的網(wǎng)站。
• 不要打開可疑電子郵件的附件。
• 不要點擊電子郵件中的鏈接、社交媒體帖子或其他有潛在危險的信息。
• 不要安裝盜版貨未知軟件和內(nèi)容。
• 不要與勒索者溝通或支付贖金。
• 務(wù)必在系統(tǒng)上安裝反惡意軟件并保持軟件最新。
• 務(wù)必為防火墻配置強大的安全設(shè)置和定期更新規(guī)則。
• 務(wù)必在安全位置備份文件和操作系統(tǒng);考慮使用云存儲進行備份。
• 務(wù)必將文件存儲在單獨的外部驅(qū)動器中。
• 務(wù)必定期運行網(wǎng)絡(luò)測試以識別可疑活動。

移除勒索軟件的步驟

勒索軟件攻擊將不可避免地繞過安全防御，無論你是否部署適當(dāng)?shù)臏?zhǔn)備和安全措施。此時，重要的是盡早檢測攻擊并防止其傳播到其他系統(tǒng)和設(shè)備。

個人和企業(yè)都可以按照以下步驟移除勒索軟件。受到勒索軟件攻擊的員工應(yīng)立即通知其經(jīng)理和服務(wù)臺團隊。

步驟1.隔離受感染設(shè)備

立即斷開受感染設(shè)備與任何有線或無線連接的連接，包括互聯(lián)網(wǎng)、網(wǎng)絡(luò)、移動設(shè)備、閃存驅(qū)動器、外部硬盤驅(qū)動器、云存儲帳戶和網(wǎng)絡(luò)驅(qū)動器。這可防止勒索軟件傳播到其他設(shè)備。

此外，檢查連接到受感染設(shè)備的任何設(shè)備是否被勒索軟件感染。

如果尚未要求贖金，請立即從系統(tǒng)中刪除惡意軟件。如果要求贖金，在與勒索者接觸時要謹(jǐn)慎，如果有的話。很多消息來源(包括美國聯(lián)邦調(diào)查局)都建議不要支付贖金。

步驟2. 確定勒索軟件的類型

你應(yīng)了解哪種勒索軟件在感染設(shè)備，這有助于修復(fù)工作。如果設(shè)備訪問被阻止，例如鎖柜勒索軟件，這通常不太可能。這些受感染的設(shè)備可能需要由經(jīng)驗豐富的安全專家進行檢查或使用軟件工具進行診斷。有些工具可作為免費軟件使用，而其他工具則需要付費訂閱。

步驟3. 移除勒索軟件

在恢復(fù)系統(tǒng)之前，必須刪除勒索軟件。在最初的攻擊期間，勒索軟件會感染系統(tǒng)并加密文件和/或鎖定系統(tǒng)訪問權(quán)限。只有密碼或解密密鑰才能解鎖或解密限制。

下面的方法可用于移除勒索軟件：

• 檢查勒索軟件是否被刪除。勒索軟件有時會在感染系統(tǒng)后自行刪除;其他時候，它會留在設(shè)備上以感染其他設(shè)備或文件。
• 使用反惡意軟件/反勒索軟件。大多數(shù)反惡意軟件和反勒索軟件都可以隔離和刪除惡意軟件。
• 向安全專業(yè)人員尋求幫助。請與企業(yè)內(nèi)或第三方技術(shù)支持的安全專家合作，協(xié)助移除勒索軟件。
• 手動移除。如果可能的話，請檢查設(shè)備上安裝的軟件，并卸載勒索軟件文件。僅建議經(jīng)驗豐富的安全人員使用此方法。

請注意，即使勒索軟件被移除，加密文件仍可能難以訪問?，F(xiàn)在有勒索軟件解密工具可用，很多反惡意軟件和反勒索軟件選項都提供此功能。但請記住，解密工具并非適用于所有類型的勒索軟件。

作為取證活動的一部分，IT團隊?wèi)?yīng)對設(shè)備或系統(tǒng)進行詳細掃描，以確保沒有勒索軟件殘留。最好隔離受影響的設(shè)備，以確保在將它們返回服務(wù)之前徹底清潔它們。

步驟4.恢復(fù)系統(tǒng)

通過恢復(fù)以前版本(攻擊發(fā)生前)的操作系統(tǒng)來恢復(fù)文件。如果備份未加密或鎖定，請使用系統(tǒng)還原功能還原它們。請注意，在上次備份日期之后創(chuàng)建的任何文件都不會恢復(fù)。

大多數(shù)主流操作系統(tǒng)都有工具來恢復(fù)文件，并提供其他功能來恢復(fù)受感染的系統(tǒng)。

在恢復(fù)系統(tǒng)后，請務(wù)必執(zhí)行以下操作：

• 盡快更新所有密碼和安全訪問代碼。
• 檢查以確保防火墻規(guī)則和反惡意軟件保持最新版本。如有必要，用更強大的軟件替換安全軟件。
• 遵循勒索軟件預(yù)防措施以避免未來感染勒索軟件。

當(dāng)前文章：實操手冊 | 如何刪除勒索軟件？
網(wǎng)站URL：http://uogjgqi.cn/article/cosjcsj.html