被勒索软件攻击后，我做了什么

意识到被攻击了!检测到感染

最具挑战性的步骤就是，意识到出了问题。

越早检测到勒索软件攻击，受影响的数据就越少。这也直接影响恢复环境所需的时间。不过现实往往是企业看到了赎金文件后才认识到自己中招了，但损害已经造成。因此，拥有可以识别异常行为(例如异常文件共享)的网络安全解决方案，可以帮助快速隔离勒索软件感染并在其进一步蔓延之前将其阻止。

与基于签名或基于网络流量的检测相比，异常文件行为检测是检测勒索软件攻击的最有效方法之一，并且有着最少的误报。

“基于签名”的检测方法有一定作用，但需要勒索软件是已知的。如果有可用的代码，则可以训练软件查找该代码。但是，复杂的勒索软件攻击正在使用新的、未知的勒索软件形式，因此训练效果也不理想。建议使用基于AI / ML的方法，通过查找行为来确定是否存在攻击，例如文件的快速连续加密。

此外，由于勒索软件通常通过网络钓鱼电子邮件攻击——带有危险文件附件或超链接的电子邮件来影响组织。电子邮件等业务关键系统的良好防御机制也是必须的。

及时止损

检测到感染后，就可以隔离勒索软件进程并阻止其进一步传播。如果是在云环境中，这些攻击通常源自远程文件同步或由运行勒索软件加密过程的第三方应用程序或浏览器插件驱动的其他进程。只要挖掘并隔离勒索软件攻击的来源就能帮助我们遏制感染，从而减轻对数据的破坏。

为了快速有效，这个过程必须自动化。在识别出感染后，自动化程序会通过删除可执行文件或扩展名来阻止攻击，并将受感染的文件与环境的其余部分隔离。

另外一种止损的方法是购买网络责任保险，保护企业(以及企业中的个人)免受基于互联网的风险(如勒索软件攻击)以及与信息技术基础架构，信息隐私，信息治理责任以及其他相关风险相关的风险。

恢复受影响的数据

在大多数情况下，即使快速检测到并遏制了勒索软件攻击，仍然会有一部分数据需要还原。这需要对数据进行良好的备份才能恢复到生产状态。

一般来说，按照3-2-1备份最佳实践，且必须将备份数据与生产环境分开。

保留所有重要文件的3个副本，即一个主要文件和两个备份文件

将文件保留在2种不同的媒介类型上

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!