来源：计算机世界我们应该制定灾难恢复计划，以应对勒索软件攻击，从阻止勒索软件传播、识别变种并准备好恢复文件开始入手
如果你的计算环境容易受到大型勒索软件攻击，那么你肯定会制定灾难恢复计划
但在开始恢复系统之前，你必须先确保已停止、识别并删除感染
实际上，过于盲目地进入到恢复阶段，反而会使事情变得更糟
要了解为什么会这样，了解勒索软件的工作原理很重要
勒索软件如何在你的环境中传播？很多文章都描述过勒索软件的机理，但是我们仍有必要强调：勒索软件的目的很少是仅仅感染一个系统
现代勒索软件变种会立即尝试识别和执行操作系统的各种漏洞，以获得管理访问权限，并传播到局域网的其他部分
攻击会通过C&C（指挥和控制）服务器进行协调，而联系这些服务器以获取指令是每个勒索软件变种所做的第一件事
对进行中的勒索软件攻击做出响应，关键在于停止与C&C服务器的进一步通信，并停止受感染系统与网络其余部分之间的进一步通信
如果目前你没有受到感染，那么现在是时候制定一项适合你的网络响应计划，并像测试灾难恢复计划一样经常测试它
将帮助资源列出来面对大型勒索软件攻击，不宜孤军奋战，可以利用一些资源，它们会帮助你在似乎一切都乱套时控制局面、恢复正常，还可以采取一些措施来帮助当局逮捕不法分子
你的勒索软件响应计划的一部分应包括这些资源的联系信息
如果你买了网络保险，这会非常有帮助
它可以让你与专家取得联系，帮助指导你做出响应
在你受到攻击之前立即联系他们，以明确对方的响应流程，并记录在你的计划中
如果你没有买这样的保险，不妨考虑买一份
你还应该立即联系当地的执法部门
执法部门在某起案子中的参与力度将取决于攻击的范围和性质，但执法部门表示，把所有攻击通报给他们，有助于他们更好地应对勒索软件
他们还可以访问许多其他组织无法享有的工具和资源，这些工具和资源大有帮助，尤其是在将另一国家确定为源头的情况下
寻求帮助时，要留意那些声称可以为你解密数据的公司
他们所做的无非是支付赎金，然后让客户掏这笔费用
现在不妨花点时间审查你在勒索软件响应期间希望雇用的公司
阻止进一步的感染你要尽可能深入地了解勒索软件如何传播，并关闭它用来传播的机制
你要采取的一些措施可能看起来很极端，但你将不得不决定哪种情况更糟：是极短的计划外停机时间，还是很长的计划外停机时间带来的风险
立即切断环境中所有计算机之间的通信
如果做不到这点，至少要切断你的局域网与外界之间的通信
这将阻止受感染的计算机从C&C 服务器获取更多的指令
关闭RDP（远程桌面协议），因为RDP是勒索软件在你的环境中传播开来的首要途径
最简单的方法是更改注册表项
尽快执行此操作很重要，应通过powershell使其实现自动化
更改管理员密码，并结束当前所有的管理会话
如果任何计算机受到攻击，此举将阻止它们受到进一步的危害
这最好也通过powershell来完成
如果你还没有使它们实现自动化，那么所有这些任务可能需要很长时间，因此在你真正需要它们之前要做好开发和测试工作
一旦完成了上述操作，最安全的做法是关闭所有计算机，直到你确定哪些计算机已被感染，哪些是没被感染的
这是一项极端的措施，但如果你这么做，绝对会阻止传播和进一步的危害，并且让你在弄清楚下一步该怎么做时有时间深思熟虑
识别勒索软件查清楚攻击你的勒索软件变种的最佳工具是ID ransomware（勒索软件识别）项目，该项目只要根据你收到的勒索消息样本以及已加密的文件，就可以识别勒索软件
在已知受感染的计算机上安装恶意软件扫描工具，并对其进行扫描
假设它识别并隔离了勒索软件，请在你的环境中的所有其他计算机上执行同样的操作
这个手动过程应由尽可能多的人来执行，因此应将如何执行该操作的培训列为勒索软件恢复计划的一部分
视勒索软件具体情况而定，如果受感染的计算机无法扫描，因为登录或启动系统所需要的文件已被加密，这些计算机就必须完全擦除和恢复
如果有人问恢复本身该怎么做？这方面也需要以特定的方式来完成
现在，请立即规划，如果发生攻击，你就能有备无患
本文来自【计算机世界】，仅代表作者观点
全国党媒信息公共平台提供信息发布传播服务
ID：jrtt