事件响应方法-Ransomware

来源：https://github.com/certsocietegenerale/IRM

一、准备

需要对通常的操作系统安全策略有良好的了解。

需要了解通常用户的配置文件策略。

确保终端和周边安全产品(电子邮件网关，代理缓存)是最新的。

由于这种威胁经常被终端用户检测到，提高您的IT支持意识，关于勒索软件的威胁。

确保对本地和网络用户数据有详尽的、最近的和可靠的备份。

二、识别

一些线索可能暗示系统可能被勒索软件破坏:

■收到的奇怪的专业邮件(通常伪装成发票)中包含附件

■一条勒索信息显示在用户的桌面上，说明文件已被加密，要求赎金

■人们抱怨他们的电脑上的文件不可用，或被损坏，或他们的网络共享有不寻常的扩展(.abc， .xyz， .aaa等等)。

■在网络共享中，在很短的时间内会有大量的文件被修改

三、识别

基于主机的标识

■在用户配置文件中寻找不常见的可执行二进制文件(%ALLUSERSPROFILE%或%APPDATA%)和%SystemDrive%

■找找上面提到的延期付款或赎金条

■捕捉计算机的记忆图像(如果可能的话)

■寻找不寻常的进程

■寻找不寻常的电子邮件附件模式

■寻找不寻常的网络或网页浏览活动;特别是连接到Tor或I2P IP, Tor网关(tor2web等)或比特币支付网站

基于网络的识别

■寻找 Exploit Kits连接模式

■寻找勒索软件C&C的连接模式

■寻找不寻常的网络或网页浏览活动;特别是连接到Tor或I2P IP, Tor网关(tor2web等)或比特币支付网站

■寻找不寻常的电子邮件附件模式

三、遏制

■断开所有被网络检测到的电脑

■如果无法隔离计算机，断开/取消共享驱动器(NET USE x: \\unc\path\ /DELETE)

■阻塞识别勒索软件C&C的流量

■将未检测到的样本发送到您的端点安全提供商

■将未分类的恶意URL、域名和IP发送给周边安全提供商

四、修复

■从被破坏的配置文件(%ALLUSERSPROFILE%或%APPDATA%)和%SystemDrive%中删除二进制文件和相关注册表条目(如果有的话)

■如果以上步骤无法实现，重新映像计算机并进行全新安装

五、恢复

目的:恢复系统正常运行。

1. 更新要阻止已识别的恶意二进制文件的防病毒签名

2. 确保在重新连接之前系统上没有可疑的二进制文件

3. 确保网络流量恢复正常

4. 从备份中恢复用户的文档

所有这些步骤都应循序渐进，并进行技术监督。

六、之后

报告

应编写事件报告，并向所有利益相关者提供。

应说明下列主题:

■初始检测。

■行动和时间表

■什么做对了。

■出了什么问题?

■事故成本。

利用

改进恶意软件和网络入侵检测过程的行动应该被定义为利用这一经验。