本文提供勒索软件爆发期间第一个响应者常规指导。
勒索软件是一种恶意软件,它采用非对称加密以勒索方式保存受侵害人的信息。 非对称(公共-专用)加密是加密,它使用一对密钥加密和解密文件。 攻击者为受害者生成一个公共专用密钥对,使用私钥解密攻击者服务器上存储的文件。 受损用户必须解密勒索,以获取私钥解密文件。
目前存在很多不同类型的勒索软件。 通常,勒索软件和其他恶意软件会通过垃圾邮件活动、网络钓鱼电子邮件或目标攻击进行分发。 我们的安全产品采用多种技术,帮助阻止勒索软件。
执行以下步骤,以响应您环境中勒索软件病毒的爆发:
- 识别并隔离受影响的系统。
隔离受影响的系统可防止威胁扩散。 并非所有的威胁或勒索软件变型都显示此行为。 有关详细信息,请参阅KB81336 - 如何在 ePolicy Orchestrator 中VirusScan Enterprise威胁来源报告.
- 对漏洞应用更新并确保环境合规性:
- 在所有系统上应用任何供应商或操作系统更新。 此操作对于缓解恶意软件漏洞利用漏洞非常重要。 即使一个系统未更新,也让恶意软件能够利用您的环境中漏洞。
- 确保根据现有策略选择该环境安全策略。 并非所有勒索软件利用应用程序或操作系统漏洞变种。
- 针对所有已知的勒索软件行为,将相关的 ENS/Host IPS/VSE 规则应用到在线系统。 有关详细信息,请参阅相关文章:
- 请确认建议的最佳实践已到位。 有关详细信息,请参阅相关文章:
- 应用、测试并部署相关的 Extra.DAT(如果有)。
Extra.DAT 是提供用于检测和删除威胁的临时检测文件。 该文件尚未添加到常规 DAT 文件。 如果McAfee Labs Extra.DAT,则最好在感染病毒的系统本地应用和测试它。 在正确测试 Extra.DAT 后,应用它以在系统运行 (ODS) 按需扫描系统。
- 在所有系统运行完整的 ODS。
- 确认对环境的控制。
检查最近 24 小时检测到的威胁。 有关详细信息,请参阅相关文章:
- 确认隔离的系统清理后,重新联机。
在隔离的系统被确认为干净后,我们建议您将它们重新放在一个小组中,然后严密地监控它们经过后的行为。
- 从备份还原受影响的文件。
当所有系统都清理并恢复网络时,请从已知良好备份来源或卷影Windows还原受影响的应用程序文件。
- 执行事件响应和主动措施。
在网关阻止文件类型是最佳且最简便的防御方法(请参见下面列出的文件类型)。 勒索软件、下载者和 JS/Nemucod 都通过彼此伪装。 通常,网络钓鱼邮件、下载者会以 DOC 或 XLS 发送垃圾邮件或网络钓鱼电子邮件,但使用 JS 时则更少。 JS/Nemucod 到达垃圾邮件或网络钓鱼电子邮件,如 J。 勒索软件作为 JS、EXE、TMP、SCR 和 WSF 到达。 大多数安装程序将 EXE 拖放到用户配置文件目录中。 如果您也防止勒索软件安装程序和拖放程序,则要防止勒索软件,
对于下载者和Nemucod(特洛伊木马程序),创建防火墙规则Microsoft Word、Microsoft Excel脚本和 PowerShell 进行出站调用。 您还需要根据这些应用程序生成的合法流量创建适当的允许列表。
例如,如果组织使用 Office 365,请参阅Microsoft文档Office 365 URL 和 IP 地址范围. 端点包括完全限定域名、端口、URL、IPv4 地址范围和 IPv6 地址范围,以包括在出站允许列表中。 这些端点确保您的计算机可以成功使用 Office 365。
此外,如果存档文件不是违反公司策略,则建议将其阻止。 存档文件的示例有 ZIP、RAR、TAR 和 JAR。
- 请考虑实施更多建议:
- 实施安全感知和培训:
- 模拟网络钓鱼/垃圾邮件,为受到社区工程攻击的用户提供安全感知。
- 提醒用户,在单击电子邮件发送的任何链接之前,要经过两次考虑。
- 指示用户不要打开未知或未经请求的文件附件,除非发件人请求。 打开附件前,查看电子邮件标题或发送另一封电子邮件,以验证发件人。
- 将可疑电子邮件报告给组织的安全操作中心。 提醒用户,如何以及在何处安全提交可疑电子邮件。
- 禁用应用程序Microsoft Office宏。 如果执行以下任一操作,宏可在 Office 应用程序中运行:
- 选择选项启用所有宏下宏设置.
- 手动启用宏。
注意:默认情况下,宏处于禁用状态。 我们建议您选择禁用所有具有通知的宏选项,宏设置.
- 用户必须将企业数据备份到组织的共享文件夹中。 驻留在用户设备上的数据可能在勒索软件感染期间永久丢失。
- 块.EXE,.RAR,.SCR,.CAB,.VBS,.BAT,.WSF,.JS,以及邮件和邮件中的类似附件网关。
- 防止 PowerShell 在不想运行 PowerShell 的系统上运行。
- 请确保没有豁免列表策略的允许列表.doc,.docx,.xls,.xlsx或.JSantispam 或防病毒扫描中的附件。
- 将SiteAdvisor Enterprise浏览器插件以检测垃圾邮件附件并阻止访问恶意域。
- 使用邮件和网关识别恶意链接并阻止带有链接或附件的电子邮件。
- 启用垃圾邮件过滤。