Business | 2023年8月29日 < 1 min to read Article language
Article language

勒索软件恢复:全面的数据挽救指南

Misha Rangel Misha Rangel

概要

勒索软件攻击不断加剧,在 2022 年的一项调研中,85% 的受访公司表示自己受到了影响。即便是选择支付赎金的公司,许多也未能恢复数据,有几家还遭到了第二次攻击。勒索软件可能会使公司陷入瘫痪,所以您必须实施强大的网络安全措施、全面的备份策略及稳健的事件响应计划,做好万全准备。公司应该严格把关备份完整性,并演练事件响应措施。他们必须知道如何尽快和有效地从勒索软件事件中恢复过来。

详细了解勒索软件最佳实践以及公司安全防护措施。

什么是勒索软件恢复?

当今企业面临的最大威胁之一是勒索软件。根据《2023 年数据保护趋势报告》,遭到攻击的公司比重从 2021 年的 76% 增长到 2022 年的 85%。令人震惊的是,仅 55% 的加密数据得以恢复。受影响的公司平均丢失了 45% 的数据。

现在的勒索软件种类有很多。通常,网络犯罪分子会锁定用户的设备,并加密数据以勒索巨额赎金。恐吓性软件和泄露软件 (doxware) 是另类勒索软件,常以泄露隐私信息相威胁来迫使受害者支付赎金。

勒索软件恢复是公司为减轻勒索软件攻击的影响而采取的一系列深思熟虑的行动。为防止黑客成功加密公司数据,公司需部署一个支持系统重建的不可变数据备份和配置快照系统。能否成功从勒索软件攻击中恢复取决于公司备份和数据保护流程的有效性,以及勒索软件攻击期间受影响的内容

做好勒索软件攻击防范

勒索软件攻击风险很高,因此对它的防范是业务连续性计划的重要组成部分。攻击得逞可能会导致严重的数据丢失,致使您的业务无法继续进行

做好勒索软件攻击防范需要制定一个全面的恢复计划。计划应经过定期审核和全面测试,并应纳入勒索软件防御最佳实践,包括强大的网络安全措施和全面的备份策略。

实施强大的网络安全措施

首先应增强网络,以防止未经授权的访问,并保护您的系统免遭黑客攻击。主要步骤包括:

  • 保护终端。保护所有终端设备,如笔记本电脑、虚拟机 (VM)、服务器、嵌入式设备和移动设备。实施多重身份验证 (MFA),执行强密码策略并对数据进行加密。安装终端安全软件,并采用零信任安全原则。
  • 网络安全。保护您的网络免受未经授权的访问。使用强大的防火墙来防止黑客攻击。使用虚拟专用网络 (VPN) 对网络进行分段,并将安全漏洞的影响范围降至最小。
  • 电子邮件安全。实施高级威胁防护解决方案,以保护用户帐户。指导用户加强电子邮件安全防护并识别网络钓鱼攻击的蛛丝马迹。
  • 修补软件。及时安装软件安全补丁,以最大限度地降低黑客利用漏洞的风险。

创建一套全面的备份策略

黑客认识到备份的重要性,并专门瞄准备份和备份服务器发起攻击。创建一套安全、全面的备份策略,并在制定您自己的备份计划时考虑以下要点。

  • 3-2-1-1-0 原则:由最初的 3-2-1 备份计划演变而来。除了原始数据以外,它还需要三个备份。您应将备份保存在至少两种不同介质上,其中一个是异地存储副本,另一个为离线存储副本。该版本原则中的零表示您应检查备份以确认无误。
  • 备份类型:备份策略可以包括完整备份、增量备份或差异备份。通常,每周执行完整备份,每天执行增量备份或差异备份。增量备份是单独的备份,存储自上次完整备份或增量备份以来的所有更改。差异备份略有不同,因为它备份自上次完整备份以来的所有更改。其大小随每次差异备份而增加。
  • 异地备份和基于云的备份:至少应有一组异地备份,既可位于远程强化服务器,也可以在 Amazon S3 云对象存储等安全云设施中。
  • 不可变备份:备份应具有不可变性。这意味着这些备份只能读取,通常在预定时间段内无法更改或删除。不可变备份增强了保护,可防范勒索软件。

如何检测勒索软件事件

尽早检测勒索软件感染至关重要,可防止勒索软件攻击全面爆发。一次勒索软件攻击分为多个阶段,包括初始入侵或感染、侦察和准备,最后是数据加密。若能检测到此类活动,便可隔离受影响的机器,并最大限度地减少攻击影响。以下三种技术可助您一臂之力:

  • 识别勒索软件的蛛丝马迹。攻击的早期迹象通常包括异常高的 CPU 活动和硬盘上的高读写活动。
  • 监控和分析网络异常情况。恶意活动的迹象包括网络流量异常、流量高峰、网络带宽减少和网络请求异常。
  • 采用安全信息和事件管理 (SIEM) 解决方案:借助机器学习技术,SIEM 软件能够分析事件日志数据,以实时识别威胁和可疑活动。

勒索软件攻击的应对策略

应对勒索软件攻击应该迅速而果断,越快越好,最好能在攻击者加密您的数据之前采取行动。以下是您可以采取的五个应对步骤:

  • 实施事件响应计划:立即启动勒索软件遏制、隔离及响应计划,并通知高级管理层和所有响应人员。
  • 隔离和控制受感染的系统:确定哪些系统被感染,并将其与您的内部网络和互联网隔离。获取所有受感染设备的快照和系统映像。
  • 通知相关机构和执法部门:根据您所在的司法管辖区,您必须向监管机构和 FBI或 CISA 等执法部门报告攻击事件。
  • 联系网络安全专家外部支持团队:联系专业 IT 支持和网络安全公司(例如 Veeam),获取勒索软件应急响应支持。
  • 评估勒索软件事件响应中的法律和道德考虑因素:确定并通知所有受影响的各方。确定数据保护和隐私法的法律后果及您的道德责任。

勒索软件恢复策略

您的恢复策略可能会受到以下多个因素的影响,包括:

  • 恢复所需的时间
  • 对业务的经济影响
  • 要求支付赎金、否则公布机密数据的威胁

下面我们了解多个选项,包括使用备份、支付赎金及利用勒索软件解密工具和勒索软件服务提供商。

从备份还原数据

  • 数据还原:从 Veeam 备份中还原数据是一个相对简单的流程。您可以选择是还原到原始服务器还是还原到虚拟机。第二个选项意味着,您可以在 IT 团队清理和重新安装服务器的同时从勒索软件攻击中快速恢复。Veeam 支持您从备份中创建复制副本,并配置在遭到勒索软件攻击时可进行故障切换的虚拟机。其他恢复选项包括快照和基于闪存的存储库。
  • 确保数据完整性和验证:必须确保备份不受感染且仍然可用。例如,Veeam 的安全恢复功能可在还原完成之前自动对备份映像执行病毒扫描。
  • 从不可变备份中恢复数据:您无法在不可变期更改不可变备份,这能够保护您免受勒索软件的侵害。不可变备份可显著增强抵御勒索软件攻击的免疫屏障。

探究赎金支付

受影响的公司往往很难抉择是否支付赎金,因为需要权衡支付赎金的风险和后果。尽管 FBI 不支持支付赎金,但 Veeam 的《2023 年勒索软件趋势报告》显示,80% 的受害者最终仍决定支付赎金。与勒索软件操纵者谈判的原因包括:

  • 加密备份。您可能无法访问干净备份。该报告显示,勒索软件攻击影响了 75% 的备份存储库。
  • 机会成本。公司停止运转会造成经济和信誉损失。总还原成本可能高于赎金。
  • 机密数据。泄露破坏性数据和机密数据的威胁真实存在,您可能会觉得支付赎金并恢复这些数据更为安全。 

但有充分的证据表明,支付赎金并不代表着事件终结。我们发现,25% 支付赎金的公司仍无法恢复其数据。此外,80% 支付赎金的公司后来又遭到了第二次勒索软件攻击

公司应研究避免支付赎金的方案

利用解密工具和技术

有时,解密勒索软件文件并非可望而不可即,成功解密在很大程度上取决于勒索软件的类型和是否有合适的工具。Kaspersky、Avast和 Bitdefender 都提供了解密工具来帮助破解某些类型的勒索软件。然而,一些狡猾的网络犯罪分子会使用利用了 128 位和 256 位加密工具的强加密方法。这种级别的加密几乎不可能破解。不过,专家们发现了某些形式的勒索软件的漏洞,用户可以利用这些漏洞解密其文件。

使用勒索软件恢复服务

若要解密您的文件,最好与专业勒索软件恢复服务提供商展开紧密合作。其中有一些公司已经在这方面积累了不错的口碑,当然也有一些公司的能力还有待确认。因此,在使用这些服务之前,请先评估一下他们的专业能力。最好选择信誉良好的专业人士,他们会评估您的情况,并坦率地回答他们能否帮助您恢复数据。优秀的服务提供商一般在全球拥有多个研究实验室。话虽如此,这些服务都比较昂贵,而且仍然无法保证为您恢复数据。

勒索软件恢复最佳实践

尽管陷阱重重,但您仍可从勒索软件攻击中恢复过来。以下四种勒索软件恢复最佳实践能够决定成败。

  • 测试和验证备份:有用的备份才是好备份。定期运行验证测试,以检查是否存在损坏、病毒或恶意软件。将备份挂载至虚拟机,并确保其正常运行。
  • 准备一份勒索软件事件响应计划:制定一份详细的事件响应计划,定义具体责任。列出您的团队在事件实际发生之前必须采取的恢复步骤。
  • 模拟和演练勒索软件恢复:通过模拟一场勒索软件事件来检查您的计划。使用离线虚拟机防止服务中断。演练恢复流程,直到所有人都知道该如何处理。
  • 就勒索软件防御策略对员工进行培训:指导员工识别网络钓鱼攻击和网络犯罪分子所用的其他策略。

遭到勒索软件攻击后该怎么做

在遭到攻击后,一旦成功恢复,请进行详细的事后调查,以分析攻击的整个过程。 

  • 评估勒索软件攻击的影响和程度:进行恢复后评估。了解攻击的严重程度,并根据停机时间和经济损失来评估其影响。确定黑客如何获得访问权限,以及黑客是否成功破坏了您的备份。
  • 处理漏洞:确定并修复所有软硬件漏洞。再次对员工进行培训。
  • 增强安全防护:增强系统并审查权限。设置额外的 VPN,以强化隔离系统。实施多重身份验证实践。
  • 实施长期风险缓解策略:与 NIST 和 CISA 等网络安全组织合作。了解如何降低风险、增强安全防护并保护系统。

结语

勒索软件恢复是可行的。支付赎金并不明智,因为大多数支付赎金的公司仍然未能恢复其所有数据。成功恢复的关键是做好勒索软件攻击防范工作,其中包括实施强大的安全措施和制定适当的备份策略。您需要一套清晰的勒索软件响应策略和一支训练有素的团队,尽早检测勒索软件是关键。另一关键是制定具有多个不可变副本的强大备份策略。同样重要的是,必须认识到持续改进的必要性,以便您适应不断演变的威胁。

观看 2023 年勒索软件趋势系列短视频,了解有关勒索软件恢复的更多信息。这些视频具体展示了如何做好准备工作并从勒索软件攻击中快速恢复。

相关内容

 

Misha Rangel
Misha Rangel
Misha Rangel is Global Director of Enterprise Product Marketing at Veeam. Misha has 15+ years experience in Product Marketing and Content Marketing for growth stage companies.
More about author
Previous post Next post
Table of Contents
Article language
中文(简体)
Similar Blog Posts
Business | 2023年12月5日

使用 Veeam 解决方案实现极致弹性

Read more
Business | 2023年10月4日

SIEM(安全信息和事件管理)综合指南

Read more
Business | 2023年9月12日

勒索软件防御:检测和响应攻击

Read more
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK