如何應對勒索軟體攻擊

教你喺發現勒索軟體時嘅即時應對步驟同事前預防措施。

cybersecurityransomwareincident-responsebackup

中小企 IT 管理員同關注資安嘅個人用家中級

先看結論

勒索軟體攻擊越來越普遍。最重要嘅防禦係定期離線備份。如果已經中招，即刻斷網、保留證據、唔好交贖金、聯絡專業團隊。事前預防永遠好過事後補救。

如果你係中小企嘅 IT 管理員、或者關注資安嘅個人用家，呢篇教你點樣預防同應對勒索軟體。

你應該有你嘅重要資料嘅清單。如果你係 IT 管理員，你應該有公司嘅網絡架構圖同設備清單。

步驟 1：建立 3-2-1 備份策略。保留 3 份資料副本、用 2 種唔同媒介、其中 1 份放喺離線或異地。

# 例如用 rsync 做本地備份
rsync -av --delete ~/Documents /Volumes/ExternalDrive/backup/

做完後你應該有至少一份離線備份。

步驟 2：如果發現中招，即刻斷網。拔網線、關 Wi-Fi。阻止勒索軟體擴散到其他設備。做完後受感染嘅設備應該已經同網絡隔離。

步驟 3：保留證據，唔好刪嘢。截圖勒索訊息、記低發現時間、保留受影響嘅檔案。做完後你應該有完整嘅事件紀錄。

步驟 4：聯絡專業團隊。唔好自己亂試解密。聯絡你嘅 IT 安全團隊、或者報案（例如香港警務處網絡安全及科技罪案調查科）。做完後專業人員會評估情況同提供建議。

步驟 5：從備份還原。確認勒索軟體已經清除後，從離線備份還原資料。做完後你嘅資料應該已經回復到備份時嘅狀態。

如果你有良好嘅備份策略，勒索軟體攻擊只會造成短暫嘅停機同少量近期資料損失。如果冇備份，損失可能好嚴重。

E1 對應步驟 1：備份同主機放喺同一個網絡，結果備份都被加密。修正方法：至少一份備份要離線或者同主網絡隔離。

E2 對應步驟 2：想試下自己解密，結果搞到更多檔案被加密。修正方法：即刻斷網，唔好觸碰受影響嘅檔案。

E3 對應步驟 4：交贖金。修正方法：交贖金唔保證拎返資料，仲會鼓勵更多攻擊。

E4 對應步驟 5：未清除勒索軟體就還原。修正方法：一定要先確認系統已經乾淨，再做還原。

建立定期安全訓練、設定網絡分段（network segmentation）、同埋制定完整嘅事故應對計劃（incident response plan）。