跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/mdr/help/zh-tw/index.html?contextId=Malware

勒索軟體補救工作流程

請依照下列步驟補救勒索軟體攻擊。

簡介

則警告

當您補救攻擊時,您可能會移除攻擊發生方式的證據。我們建議備份受影響的系統和攻擊遺留的檔案。如果您不確定檔案是否安全,您可以壓縮檔案以防止檔案執行。

更多資源

如何使用 Microsoft Autoruns 查找未偵測到的惡意軟體

感興趣的 Windows 事件 ID - 惡意軟體/一般調查

勒索軟體:復原與移除

勒索軟體:資訊和預防

定義問題的範圍

要了解問題的範圍,請執行以下操作:

  1. 識別所有受影響的端點和伺服器。

    受影響的裝置在其資料夾中有加密檔案和勒索信。

    1. 如果您在檔案共用上找到加密檔案和勒索信,則需要檢查是哪個使用者或裝置建立了它。
    2. 請確保您將多個加密檔案和勒索信樣本儲存在一個可存取的位置,以便稍後對其加以識別。

  2. 了解哪個帳戶遭到入侵。

    如果您知道哪個帳戶遭入侵,您可以了解由於使用者帳戶的權限限制,勒索軟體從此裝置本機和遠端影響檔案的最大程度。若要尋找遭到入侵的帳戶,請依照以下步驟操作:

    1. 尋找加密檔案,右鍵按一下該檔案,然後選取屬性
    2. 按一下詳細資料並查找檔案的擁有者。
    3. 記下檔案的擁有者資訊。

  3. 或者,您可以使用資料夾來找出擁有者資訊。若要使用資料夾,請執行以下操作:

    1. 在 Windows 檔案總管中,移至包含加密檔案的資料夾。

      我們建議您選擇一個可讓多位使用者存取的網路檔案共用。

    2. 選擇詳細資料檢視,它將為您提供有關檔案的不同資訊欄。

    3. 右鍵按一下欄標題,然後按一下更多
    4. 向下捲動並從清單中選取擁有者,然後按一下確定

  4. 不同受感染的裝置可能有不同的遭入侵帳戶。您需要在所有受感染的裝置上重複此過程,並建立一個遭入侵帳戶的清單。

  5. 確保注意到所有具有管理權限之已遭入侵的帳戶都(本機和網域)。
  6. 當您有帳戶清單時,請檢查這些帳戶對哪些檔案共用具有寫入權限。您需要檢查所有共用。

限制惡意軟體的影響

現在您已擁有初始資料,您需要進行調查。首先,您必須防止勒索軟體加密更多資料。若要停止勒索軟體,請執行以下操作:

  1. 關閉所有受感染的裝置。

    關閉裝置是儲存資料的最佳機會。受感染的裝置執行時間越長,勒索軟體就有更多時間來加密檔案。

  2. 測試前,使用勒索軟體:攻擊的運作方式來識別勒索軟體的攻擊方式。您可能會因進一步加密而丟失資料。

  3. 啟動裝置時一些勒索軟體會執行。對受感染的裝置進行映像,然後啟動受感染的裝置以查看檔案是否仍被加密。

  4. 如果您無法確定受感染的裝置,您會很難做出選擇。在此階段,要儲存資料,請關閉所有裝置。

    這樣做會凍結內容。現在,您有時間繼續調查。

  5. 逐一開啟裝置以進行操作。清理一個裝置,然後繼續清理下一個。

    建議您與我們聯絡並購買我們的 Managed Detection and Response 服務。這是一支訓練有素的團隊,可以為您進行這方面的補救。他們還可以提供根本原因分析和持續的安全建議。

識別勒索軟體作者

了解勒索軟體的作者後,您就能獲得關於您所面臨之確切影響的大量資訊。它有助於定義哪些檔案已加密、最可能的感染媒介(如何進入)以及您是否面臨可能的持久性問題。它有助於防止再次感染。如果您有來自受感染裝置的勒索信或加密檔案的樣本,您便可以識別需要為此負責的惡意軟體群組。

若要識別作者,請依照下列步驟操作:

  1. 將您的勒索信或樣本上傳到 https://id-ransomware.malwarehunterteam.com/

    注意

    這不是 Sophos 支援的網站。

提高您的安全性

要提高您的安全性,請依照下列步驟操作:

  1. 如果您尚未移轉至具有 Intercept X 和 EDR 的 Sophos Central,則需要移轉。

    這是我們最先進的安全產品,可提供最佳安全保護,抵禦威脅。

    • 其中包含 CryptoGuard,可防範勒索軟體。
    • 如果您對為何這一點至關重要或如何移轉有任何疑問,請與我們聯絡。我們設有一支 Rapid Response 團隊供您僱用,可協助您進行移轉。

  2. 確認您遵循我們威脅保護原則設定的最佳做法。您的環境最近受到了入侵,因此這一點很重要。您需要提高安全性,以幫助防止再次感染。有關更多資訊,請造訪以下連結:

  3. 確保您所有裝置都安裝了最新的修補程式。

    Microsoft 在更新中修復了許多弱點,因此這可以防範許多入侵程式。

  4. 升級任何使用舊版作業系統的裝置,例如 Windows Server 2003、Windows 2008 non-R2、Windows 7 或 Windows XP。

    未受到 Microsoft 官方支援的 Windows 作業系統出現的安全性弱點沒有修補程式。

  5. 檢查並確定您沒有任何對網際網路公開可見的易受攻擊裝置。

    注意

    SMB 445、RDP 3389 或其他連接埠通常處於打開狀態。惡意行為者可能會利用這些連接埠。

    您必須檢查裝置。您需要找出處於打開狀態的連接埠,並降低風險。要檢查您的裝置,請執行以下動作:

    1. 您可以將 Shodan.io 或 Censys.io 與公共 IP 一起使用,以確認哪些連接埠在您的環境之外可檢視。
    2. 如果您有任何不必要的公開裝置或開放式連接埠,請變更防火牆原則以降低您的暴露程度。

還原資料和正常運作

現在,您已經清理了所有裝置,並使用 Sophos Central Intercept X Advanced with EDR 加以保護,您已準備好重新啟動並執行。

若要執行此操作,請依照以下步驟操作。

  1. 從備份還原資料。

    注意

    如果您要進行根本原因分析,則需要受感染裝置的備份和映像。還原裝置會破壞這一證據,並導致無法進行根本原因分析。

    1. 確保您使用在感染前所做的資料備份。
    2. 確保您可以存取備份中檔案的資料。

  2. 讓裝置重新連線。

    1. 如果作業系統已損壞,或者您沒有足夠的受感染裝置備份,則需要修復或重新建置。
    2. 按照作業系統製造商提供的修復和重新建置過程進行操作。

  3. 測試以確保您的裝置正常運作。若要執行此操作,請依照以下步驟操作。

    1. 檢查它們是否可以存取所需資源。
    2. 檢查應用程式是否正常執行。
    3. 執行任何其他需要的測試,以確認您的裝置是否正常運作。

  4. 允許使用者存取裝置。

根本原因分析

若要在未來保護您的環境,您需要知道感染是如何發生的。這可讓您識別網路或環境設計與組態中的瑕疵,並可讓您在未來加以改善。執行根本原因分析以協助解決此問題。

要進行根本原因分析,您必須擁有受感染狀態下裝置的備份和映像。

勒索軟體補救影片

本影片涵蓋此工作流程。