Cómo solucionar el virus ransomware
1. Detener las pérdidas a tiempo (desconectar el cable de red).
Puedes desconectar directamente el cable de red y aislarlo físicamente para evitar la "transmisión de máquina a máquina". Si es un entorno de nube y no puede desconectar el cable de red, modifique rápidamente la política del grupo de seguridad. En resumen, aísle la máquina infectada y asegúrese de que no pueda comunicarse con otras máquinas en la intranet para evitar la infección de la intranet.
¡Cambia tu contraseña! Si las contraseñas de inicio de sesión de la máquina ransomware y de la máquina ransomware son las mismas (misma contraseña), cambie de inmediato la contraseña de inicio de sesión de la máquina no infectada.
¡Protege la escena del crimen y no reinicies! No destruya el entorno del ransomware y proteja la escena del crimen. Las operaciones de antivirus/apagado/reinicio/modificación de sufijos están prohibidas y es mejor dejarlas como están. Sin comprensión, cualquier acción puede provocar el colapso total del sistema, afectando gravemente las acciones posteriores.
Cierre el puerto rápidamente, cierre el escritorio remoto/* * * puerto compartido de la máquina no infectada (por ejemplo: 22/135/139/445/3389/3306/1521), aísle y haga una copia de seguridad importante máquinas no infectadas, aislar físicamente los datos de la copia de seguridad de manera oportuna después de la copia de seguridad.
No contactes con hackers. Sin comprender el ransomware, se recomienda no contactar directamente con los piratas informáticos (es fácil perder dinero).
2. Determinar el ámbito de influencia.
Una vez finalizada la detención de pérdidas, verifique la escala de infección y el entorno uno por uno (si es OA, servidor/servidor * * *, cuántas unidades) y confirme rápidamente el alcance del impacto con el ayuda de división del área de red, equipo de firewall y equipo de detección de tráfico.
3. Extracción de virus y recuperación de red.
Forense, es decir, extraer muestras de virus de la máquina ransomware, o combinarlo con software antivirus del terminal, para confirmar una por una si quedan muestras de virus en el área infectada o sospechosa, de modo que para garantizar que todas las muestras de virus en todas las máquinas hayan sido verificadas y eliminadas, restaurar la red y formular un plan de recuperación de la red, dando prioridad a la recuperación de la red de terminales en áreas no importantes; Durante el proceso de reciclaje, se requiere monitoreo en tiempo real mediante equipos de detección de tráfico para garantizar que no habrá movimiento lateral después del reciclaje hasta que se restablezcan todas las redes;
4. Recuperación y descifrado de datos.
En la actualidad, la gran mayoría del ransomware no se puede descifrar (sin una clave de descifrado). Generalmente existen las siguientes opciones: si hay una copia de seguridad de los datos, puede restaurarla directamente a través de la copia de seguridad de los datos; poner en marcha la recuperación de datos; contactar al extorsionador para pagar el rescate, pero no se recomienda contactarlos usted mismo. Lo mejor es contar con la ayuda de un proveedor de servicios profesional que sepa negociar con los chantajistas.
5. Análisis de trazabilidad.
El propósito del análisis de trazabilidad no es descubrir quién es el chantajista, sino descubrir la fuente de la intrusión del chantajista (de qué máquina proviene), es decir, el host 0, y luego llevar a cabo Refuerzo de seguridad correspondiente para evitar futuros ataques. Existen ataques similares. Basado en características como sufijos de archivos cifrados y cartas de rescate. , se puede juzgar la familia de ransomware;
Para rastrear la ruta del ataque interno, es necesario confiar en la red, los registros de dispositivos de seguridad y los registros de terminales infectados/asociados, incluidos dispositivos de detección de tráfico, dispositivos de firewall, software antivirus y registro de terminales. Nota: Dado que muchos ransomware tienen métodos anti-reconocimiento, es posible que se limpie el entorno del terminal. Sin vigilancia del tráfico y otros equipos relacionados, sería muy difícil rastrear la fuente.
6. Refuerzo de seguridad.
Reparar vulnerabilidades de alto riesgo en la intranet y garantizar que se instalen parches de seguridad relacionados con Eternal Blue y otras vulnerabilidades. Cerrar puertos de alto riesgo como 445 y 3389 sin afectar el negocio. Realice una copia de seguridad física externa de los sistemas importantes y asegúrese de que los sistemas primario y secundario estén físicamente aislados una vez completada la copia de seguridad. Divida la intranet en áreas razonables según las necesidades comerciales y utilice ACL estrictas entre áreas para evitar la propagación de movimientos laterales a gran escala de atacantes.