美发布《Stop Ransomware指南》丨附下载

2023-09-28 14:19 管理员

赎金软件是一种恶意软件，旨在加密设备上的文件，使它们和依赖它们的系统无法使用。然后，恶意行为者要求赎金以换取解密。随着时间的推移，恶意行为者已经调整了他们的勒索软件战术，使其更具破坏性和影响力，并且还渗出了受害者的数据，通过威胁释放被盗数据来迫使受害者付款。这两种战术的应用被称为"双重敲诈"。在某些情况下，恶意行为者可能会渗出数据并威胁释放数据，作为他们唯一的敲诈形式。而不采用勒索软件。

这些勒索软件和相关的数据泄露事件会严重影响业务流程，使企业无法访问必要的数据来运作和提供关键任务服务。事实证明，勒索软件和数据勒索的经济和声誉影响对各种规模的组织来说，在最初的中断和有时延长的恢复过程中都是具有挑战性和代价的。

本指南是对2020年9月发布的联合网络安全和基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)勒索软件指南的更新(见新内容)，是通过JRTF开发的。该指南包括两个主要资源：

第一部分：预防勒索软件和数据勒索的最佳做法。

第二部分：勒索软件和数据勒索应对清单

第一部分为所有组织提供指导，以减少勒索软件事件和数据勒索的影响和可能性包括准备、预防和缓解这些事件的最佳做法。预防的最佳做法按常见的初始访问载体进行分组。第二部分包括应对这些事件的最佳做法清单。

这些勒索软件和数据勒索的预防和响应最佳实践和建议是基于CISAMS-ISAC国家安全局(NSA和联邦调查局(FBI)(以下简称编写机构)的业务洞察。本指南的受众包括信息技术(IT)专业人员，以及组织内参与制定网络事件响应政策和程序或协调网络事件响应的其他人。

第1部分：勒索软件和数据勒索的准备、预防和缓解的最佳做法

这些建议的最佳做法与CISA和美国国家标准与技术研究所(NIST)制定的CPG一致。CPG提供了一套最低限度的做法和保护措施，CISA和NIST建议所有组织实施。CISA和NIST以现有的网络安全框架和指导为基础，以防止最常见和有影响的威胁、策略、技术和程序。欲了解更多关于CPG和建议的基线保护的信息，请访问CISA的跨行业网络安全绩效目标。

准备应对勒索软件和数据勒索事件

参考本节列出的最佳实践和参考资料，以帮助管理勒索软件带来的风险，并在事件发生时推动贵组织作出协调和有效的反应。在组织资源允许的情况下，尽最大可能应用这些做法。

维护关键数据的离线、加密备份，并定期测试灾难恢复情况下备份的可用性和完整性[CPG 2.R]。定期测试备份程序。保持离线备份非常重要，因为许多勒索软件的变种试图找到并随后删除或加密可访问的备份，使其无法恢复，除非支付赎金。

维护和定期更新关键系统的"黄金图像"。这包括维护图像"模板"，这些模板具有预先配置的操作系统(OS)和相关的软件应用程序，可以快速部署以重建一个系统，如虚拟机或服务器[CPG2.0]。

使用基础设施即代码laC)来部署和更新云资源，并保持模板文件的离线备份以快速重新部署资源。lac代码应进行版本控制，对模板的更改应进行审计。
将活用的源代码或可执行文件与离线备份(以及托管和许可协议)一起存储。从系统镜像中重建更有效率，但有些镜像不能正确地安装在不同的硬件或平台上；在这些情况下，对软件的单独访问是有帮助的。

如果不愿意重建主系统，保留备份硬件来重建系统。

考虑用最新的硬件取代阻碍恢复的过时硬件，因为旧的硬件在从图像重建时可能带来安装或兼容性障碍。

考虑使用多云解决方案，以避免云到云备份的供应商锁定，以防同一供应商下的所有账户受到影响。

一些云计算供应商提供不可变的存储解决方案，可以保护存储的数据，而不需要一个单独的环境。谨慎使用不可变存储，因为它不符合某些法规的合规标准，而且错误的配置会带来巨大的成本。

创建、维护并定期演练基本的网络事件响应计划(IRP)和相关的通信计划，包括对勒索软件和数据勒索/破坏事件的响应和通知程序[CPG2.S]。确保提供该计划的硬拷贝和离线版本。

确保数据泄露通知程序遵守适用的州法律。请参考《全国州立法机构会议》:安全漏洞通知法，以了解每个州的数据泄露通知法，必要时咨询法律顾问。
对于涉及电子健康信息的违规事件，您可能需要通知联邦贸易委员会(FTC)或美国卫生与公众服务部(HHS)，以及在某些情况下，通知媒体。更多信息请参考联邦贸易委员会的健康信息泄露通知规则和HHS的信息泄露通知规则。
对于涉及个人身份信息(Pll)的泄密事件，要通知受影响的个人，以便他们能够采取措施，减少他们的信息被滥用的机会。提供暴露的信息类型，建议采取补救措施，以及相关的联系信息。
如果代表其他企业存储的PII被盗，则通知企业发生漏洞。
确保IRP和沟通计划由首席执行官或同等人员书面审查和批准，并确保两者在整个指挥系统中得到审查和理解。
审查现有的事件响应指南，如本指南中的勒索软件响应清单和《公共电力网络事件响应手册》，以：

帮助你的组织更好地围绕网络事件响应进行组织。
起草网络事件持有声明。
制定一个网络IRP。

在沟通计划中包括组织沟通程序以及网络事件持有声明的模板。就何种程度的细节适合在组织内部和与公众分享以及信息如何流动达成共识。

实施零信任架构，以防止对数据和服务的未授权访问。使访问控制的执行尽可能的细化。零信任架构假设一个网络被破坏，并提供了一个概念和想法的集合，旨在最大限度地减少在信息系统和服务中执行准确的，每个请求的最小特权访问决定的不确定性。

预防和缓解勒索软件和数据勒索事件的发生

参考本节列出的最佳实践和参考资料，以帮助预防和缓解勒索软件和数据勒索事件。预防最佳做法按勒索软件和数据勒索行为者的常见初始访问载体进行分组。
初始访问载体：面向互联网的漏洞和错误配置

定期进行漏洞扫描，以识别和解决漏洞，特别是面向互联网的设备上的漏洞，以限制攻击面[CPG 1.E]。

CISA提供免费的漏洞扫描服务和其他免费评估：cisa.gov/cyber-resource-hub[CPG1.F]。

定期给软件和操作系统打补丁并更新到最新的可用版本。

优先考虑对面向互联网的服务器--操作处理互联网数据的软件如网络浏览器、浏览器插件和文件阅读器--及时打补丁，特别是针对已知的被利用漏洞。编写机构意识到中小型企业在保持面向互联网的服务器更新方面的困难，敦促将系统迁移到有信誉的"管理"云供应商，以减少而不是消除身份和电子邮件系统的系统维护作用。欲了解更多信息，请访问NSA的网络安全信息页面缓解云漏洞。

确保所有企业内部、云服务、移动和个人(即自带设备[BYOD])设备得到正确配置并启用安全功能。例如，禁用不用于业务目的的端口和协议(例如，远程桌面协议[RDP1-传输控制协议(TCP]端口3389)[CPG2.X]。

通过laC减少或消除手动部署并编纂云资源配置。在部署前用静态安全扫描工具测试laC模板，以识别错误配置和安全漏洞。定期检查配置漂移，以确定在模板部署之外改变或引入的资源，减少引入新的安全漏洞和错误配置的可能性。利用云供应商的服务来自动或促进对资源的审计，以确保一致的基线。

限制RDP和其他远程桌面服务的使用。如果RDP是必要的，请应用最佳实践。威胁者往往通过暴露的、安全性差的远程服务获得对网络的初始访问，然后使用本地WindowsRDP客户端穿越网络。威胁者还经常通过利用虚拟专用网络(VPN)或使用受损的凭证获得访问权。请参阅 CISA咨询:企业VPN安全。

审计网络中使用RDP的系统，关闭未使用的RDP端口，在指定的尝试次数后强制锁定账户，应用多因素认证(MFA)并记录RDP登录尝试。
用最新的软件补丁和安全配置更新VPN、网络基础设施设备和用于远程进入工作环境的设备。在所有的VPN连接上实施MFA以提高安全性。如果没有实施MFA，要求远程工作者使用15个或更多字符的密码。

禁用服务器信息块(SMB)协议版本1和2，并在减轻现有的依赖性(在现有系统或应用程序的部分)后升级到版本3(SMBv3)，这些依赖性在禁用时可能会破坏。恶意行为者利用SMB在整个组织中传播恶意软件，因此，然后加固SMBv3:

阻止或限制内部SMB流量到需要访问的系统。这应该限制入侵者在你的网络中横向移动。
实施SMB签名。这应该可以防止某些中间人和通过哈希的攻击。欲了解更多信息，请参阅微软缓解新技术局域网(LAN)管理器(NTLM)对活动目录证书服务(ADCS)的中继攻击和微软服务器信息块签名概述。
通过阻断TCP445端口与用户数据报协议(UDP)137-138端口和TCP139端口的相关协议，阻止SMB对你的网络进行外部访问。
为支持该功能的系统实施带有通用命名规则(UNC)加固的SMB加密。这应限制窃听和拦截攻击的可能性。
记录和监控SMB流量，以帮助标记潜在的异常行为。

初始访问载体：被破坏的凭证

对所有服务实施抗网络钓鱼的MFA，特别是对电子邮件、VPN和访问关键系统的账户[CPG2.H]。一旦发现不允许使用MFA的系统、不执行MFA的系统以及任何未注册MFA的用户，就应上报给高级管理层。

考虑采用无密码的MFA，用两个或更多的验证因素(例如指纹、面部识别、设备引脚或加密钥匙)取代密码。
考虑订阅凭证监测服务，以监测暗网中的受损凭证。

实施身份和访问管理(IAM)系统，为管理员提供工具和技术，以监测和管理企业内部和云应用程序的个人网络实体的角色和访问权限。
通过创建强大的访问策略来限制用户对资源的访问和资源对资源的访问，实施零信任访问控制。这对云中的密钥管理资源很重要。
更改默认的管理员用户名和密码。[CPG2.A]
不要在日常操作中使用根访问账户。创建用户、组和角色来执行任务。
实施密码政策，要求至少有15个字符的唯一密码。[cpg2.b][cpg2.c]

密码管理器可以帮助你开发和管理安全密码。保护和限制对任何正在使用的密码管理器的访问，并启用正在使用的产品上的所有安全功能，如MFA。

在一定数量的失败登录尝试后执行账户锁定策略。记录并监控强行破解密码和喷射密码的登录尝试[CPG 2.G]。
将密码存储在一个安全的数据库中，并使用强大的散列算法。
在组策略管理控制台中禁止将密码保存到浏览器。
如果你的操作系统比WindowsServer2019和Windows10老，尽可能实施本地管理员密码解决方案(LAPS)，因为这些版本没有内置的LAPS。注意:编写机构建议组织升级到Windows Server2019和Windows10或更高版本。
防止本地安全授权子系统服务(LSASS)的倾倒：

为LSASS实施减少攻击面(ASR)规则。
为Windows10和Server2016实施CredentialGuard。更多信息请参考微软管理Windows Defender Credential Guard。对于WindowsServer2012R2为本地安全局( LSA)启用受保护的进程之光(PPL)。

在年度安全培训中对所有员工进行正确的密码安全教育，包括强调不要重复使用密码，不要在本地文件中保存密码。
在建立远程连接时，尽可能使用WindowsPowerShellRemoting、远程凭证保护或具有限制性管理模式的RDP 以避免凭证的直接暴露。
将管理员账户与用户账户分开[CPG2.E]。只允许指定的管理账户用于管理目的。如果单个用户需要对其工作站的管理权限，请使用一个单独的账户该账户不具有对其他主机(如服务器)的管理权限。对于一些云环境，当用于供应/管理钥匙的账户没有使用钥匙的权限时，要分开职责，反之亦然。由于这种策略引入了额外的管理开销，因此它并不活合所有环境。初始访问载体：钓鱼网站
实施网络安全用户意识和培训计划包括指导如何识别和报告可疑活动(例如，网络钓鱼)或事件[CPG2.1]。
在电子邮件客户中实施标记外部电子邮件。
在电子邮件网关处实施过滤器，以过滤掉具有已知恶意指标的电子邮件，如已知的恶意主题行，并在防火墙上阻止可疑的互联网协议(IP)地址[CPG2.M]。
启用常见的附件过滤器，以限制通常含有恶意软件的文件类型，不应通过电子邮件发送。欲了解更多信息，请参阅微软的文章《EOP中的反恶意软件保护》。

至少每半年审查一次过滤列表中的文件类型，并添加已成为攻击媒介的其他文件类型。例如，嵌入恶意软件的OneNote附件最近被用于网络钓鱼活动中。
恶意软件通常被压缩在受密码保护的档案中，以逃避反病毒扫描和电子邮件过滤器。

实施基于域的消息验证、报告和一致性(DMARC)政策和验证，以降低欺骗或修改电子邮件的机会来自有效的域名。DMARC保护你的域名不被欺骗，但并不保护
被欺骗的传入邮件，除非发送域也实施DMARC。DMARC建立在广泛部署的发件人政策框架(SPF)和域名密钥识别邮件(DKIM)协议的基础上，增加了一个报告功能，使发件人和收件人能够改善和监测对域名的保护，使其免受欺诈性邮件的影响。关于DMARC的更多信息，请参考 CISA Insights Enhance Email&Web Security以及互联网安全中心的博客How DMARC Advances Email Security.
确保通过电子邮件传输的MicrosoftOffice文件的宏脚本被禁用。这些宏程序可被用来发送勒索软件[CPG2.N]。注意:最近版本的Office默认配置为阻止包含Visual Basicfor Applications VBA)宏的文件，并显示一个信任栏。
禁用Windows脚本托管(WSH)。Windows脚本托管提供了一个环境，用户可以在其中执行脚本或执行任务。

初始访问载体：前体恶意软件的感染

使用反病毒和反恶意软件和签名的自动更新。

确保工具正确配置为升级警告和指标来通知安全人员。编写机构建议使用一个集中管理的反病毒解决方案。这样可以检测到"前驱"恶意软件和勒索软件。
勒索软件感染可能是以前未解决的问题的证据。网络受到破坏。例如，许多勒索软件的感染是现有恶意软件感染的结果，如QakBot Bumblebee和Emotet
在某些情况下，勒索软件的部署是网络入侵的最后一步，并被丢弃以掩盖之前的入侵后活动，如商业电子邮件入侵(BEC)。

在所有资产上使用应用程序允许列表和/或端点检测和响应(EDR)解决方案，以确保只有授权的软件可以执行，所有未经授权的软件都被阻止。

对于Windows，在所有支持这些功能的系统上启用WindowsDefender应用控制( WDAC)、AppLocker或两者。

WDAC正在持续开发中，而AppLocker只接受安全修复。AppLocker可以作为WDAC的补充，当WDAC被设置为最严格的级别，而AppLocker被用来为你的组织微调限制。

使用允许列表，而不是试图列出和拒绝网络环境中的每一种可能的应用程序的变化。考虑对基于云的资源实施EDR

考虑实施入侵检测系统(IDS)，以检测命令和控制活动以及其他在勒索软件部署前发生的潜在恶意网络活动。

确保IDS被集中监控和管理。正确地配置工具，并将警告和指标传送给适当的人员，以便采取行动。

用WindowsSysmon工具监控活动指标并阻止恶意软件文件的创建。从Sysmon14开始，FileBlockExecutable选项可用于阻止创建恶意可执行文件、动态链接库(DLL)文件和符合特定哈希值的系统文件。

初始访问载体：社会工程的高级形式

创建政策，包括网络安全意识培训

为能够访问你的网络的人员提供关于高级形式的社会工程的培训。培训应包括能够识别非法网站和搜索结果的提示。定期重复安全意识培训也很重要，以保持你的员工知情和警觉。

实施保护性域名系统(DNS)。通过在源头上阻止恶意的互联网活动，保护性 DNS服务可以提供高网络为远程工作者提供安全保障。这些安全服务分析DNS查询，并采取行动减轻威胁--如恶意软件、勒索软件、网络钓鱼攻击、病毒、恶意网站和间谍软件--利用现有的DNS协议和架构。SLTT的可以实施无成本的MDBR服务。
考虑实施沙盒浏览器，以保护系统免受来自网络浏览的恶意软件的影响。沙盒浏览器将主机与恶意代码隔离。

初始访问载体：第三方和管理服务提供者

考虑第三方或管理服务的风险管理和网络卫生做法。

您的组织依赖MSP来完成其任务。 MSP已经成为影响众多客户组织的勒索软件的感染媒介[CPG1.1]。

如果第三方或MSP负责维护和保护你的组织的备份，确保他们遵循上述适用的最佳实践。使用合同语言来正式确定你的安全要求，作为一种最佳做法。
在设置第三方的访问时，确保使用最小特权和职责分离。第三方和MSP应该只访问其角色或职责范围内的设备和服务器。
考虑为基于云的资源创建服务控制策略(SCP)，以防止整个组织的用户或角色能够访问特定服务或采取服务中的特定操作。例如，SCP可以用来限制用户删除日志，更新虚拟私有云(VPC)配置，以及改变日志配置。

第二部分：勒索软件和数据勒索应对清单

如果你的组织成为勒索软件的受害者，请遵循你批准的IRP。编写机构强烈建议使用以下检查表进行应对。请确保通过前三个步骤依次进行的步骤。

检测和分析

请参考以下最佳实践和参考资料，以帮助管理勒索软件带来的风险，并支持您的组织对勒索软件事件作出协调和有效的反应。根据组织资源的可用性，尽最大可能应用这些做法。

1.确定哪些系统受到了影响，并立即隔离他们。

如果几个系统或子网出现影响时，在交换机层面上将网络断开。在事件发生期间，断开单个系统的连接可能不可行。
优先隔离对日常运作至关重要的关键系统。
如果不能立即将网络暂时关闭，找到网线(如以太网)将受影响的设备从网络上拔掉，或将它们从Wi-Fi中移除，以控制感染。
对于云资源采取卷的快照，以获得一个时间点的副本，以便以后审查取证调查。
在初次入侵后，恶意行为者可能会监视你的组织的活动或通信，以了解他们的行动是否被发现。以协调的方式隔离系统，并使用带外通信方法，如电话，以避免向行为者透露他们已被发现并正在采取缓解行动。不这样做可能会导致行为者横向移动，以保持他们的访问或在网络被切断之前广泛部署勒索软件。

2.如果你无法将设备与网络断开，请关闭设备的电源，以避免勒索软件感染的进一步扩散。注意：此步骤将防止您的组织保留存储在易失性内存中的勒索软件感染工件和潜在证据。只有在不可能暂时关闭网络或使用其他手段断开受影响主机与网络的连接时，才应执行该步骤。
3.对受影响的系统进行分类，以便恢复和复原。

在干净的网络上确定并优先恢复关键系统，并确认存放在受影响系统上的数据的性质。
根据预先确定的关键资产清单包括对健康和安全、创收或其他关键服务至关重要的信息系统，以及它们所依赖的系统，确定恢复和复原的优先次序。
追踪那些不被认为受到影响的系统和设备，以便它们可以被取消优先级来进行恢复和复原。这使你的组织能够以更有效的方式恢复业务。

4.检查现有的组织检测或预防系统(例如，防病毒、EDRIDS 入侵预防系统)和日志。这样做可以突出其他系统或恶意软件参与攻击的早期阶段的证据。

寻找前驱"dropper"恶意软件的证据，如BumblebeeDridexEmotetQakBot，或Anchor勒索软件事件可能是以前未解决的网络入侵的证据。

这些高级恶意软件变种的操作者往往会出售网络的访问权。恶意行为者有时会利用这种访问权渗出数据，然后在赎回网络之前威胁要公开发布数据，以进一步高诈受害者并迫使他们付款。
恶意行为者经常投放勒索软件的变种，以掩盖入侵后的活动。在从备份中重建之前，必须注意识别这种下拉式恶意软件，以防止继续受到损害。

5.与你的团队商议，在初步分析的基础上，形成并记录对所发生情况的初步认识。
6.启动威胁猎杀活动。

对于企业环境，请检查以下内容：

新创建的AD账户或具有升级权限的账户，以及与特权账户(如域管理员)有关的近期活动。
异常的VPN设备登录或其他可疑的登录。
可能损害备份、影子复制、磁盘日志或启动配置的端点修改。寻找异常使用内置 Windows工具的情况，如bcdeditexe、fsutilexe(deletejournal)vssadmin.exe、wbadminexe和wmicexe(shadowcopy或shadowstorage)。滥用这些工具是一种常见的勒索软件技术，以抑制系统恢复。
Cobalt Strike信标/客户端存在的迹象。Cobalt Strike是一个商业渗透测试软件套件。恶意行为者经常将CobaltStrike的Windows进程命名为与合法Windows进程相同的名称，以混淆其存在并使调查变得复杂。
任何意外使用远程监控和管理(RMM)软件的迹象(包括未安装的便携式可执行文件)。RMM软件通常被恶意行为者用来维持持久性。任何意外的PowerShell执行或PsTools套件的使用。
枚举AD和/或LSASS凭证被转储的迹象(例如，Mimikatz或NTDSutilexe)意外的端点对端点(包括服务器)通信的迹象。
数据被从网络中渗出的潜在迹象。常见的数据外流工具包括RcloneRsync、各种基于网络的文件存储服务(也被威胁者用来在受影响的网络中植入恶意软件/工具)和FTP/SFTP。
新创建的服务、意外的计划任务、意外安装的软件，等等。

对于云环境

启用工具来检测和防止对IAM、网络安全和数据保护资源的修改。
使用自动化来检测常见的问题(如禁用功能、引入新的防火墙规则)，并在问题发生时立即采取自动化行动。例如如果创建了一个新的防火墙规则，允许开放流量(0000/0)，可以采取自动行动，禁用或删除该规则，并向创建该规则的用户以及安全团队发送通知，以便意识。这将有助于避免警报疲劳，使安全人员能够专注于关键问题。

报告和通知

注意：关于如何报告和通知勒索软件事件的细节，请参考本指南末尾的联系信息部分。

7.遵循你的网络事件响应和沟通计划

中列出的通知要求，让内部和外部团队和利益相关者参与进来，了解他们可以提供什么来帮助你缓解、应对和恢复事件。
分享你所掌握的信息，以获得及时和相关的援助。随着情况的发展，通过定期更新让管理层和高级领导了解情况。相关的利益相关者可能包括你的IT部门、安全管理服务提供商、网络保险公司以及部门或当选领导人[CPG 4.A]。
向CISA、当地的FBI外地办事处、FBI互联网犯罪投诉中心(IC3)或当地政府报告事件，并考虑向其请求援助。美国特勤局外地办事处。适当时，与通信和公共信息人员协调，以确保分享准确的信息。

8.如果事件导致了数据泄露，请遵循你的网络事件响应和沟通计划中的通知要求。
遏制和根除
如果看起来没有初步的缓解行动是可能的：

9.对受影响设备的样本进行系统镜像和内存捕获
(例如，工作站、服务器、虚拟服务器和云服务器)。收集任何相关的日志以及任何"前兆"恶意软件二进制文件的样本和相关的观察数据或入侵指标。
(例如，可疑的命令和控制IP地址，可疑的注册表项，或检测到的其他相关文件)。下面的联系人可能能够协助你执行这些任务。

保存性质上非常不稳定的证据或保留时间有限的证据，以防止丢失或被篡改(例如系统内存Windows安全日志，防火墙日志缓冲区的数据)。

10.即使有可能采取缓解行动，也要咨询联邦执法部门关于可能的解密器，因为安全研究人员可能已经发现了一些勒索软件变体的加密缺陷，并发布了解密或其他类型的工具。继续采取步骤控制和缓解事件：
11.研究值得信赖的指南(例如，由美国政府等来源发布的、MS-ISAC，或有信誉的安全供应商)的特定勒索软件变体，并遵循任何其他建议的步骤，以确定和控制被确认受到影响的系统或网络。

杀死或禁止执行已知的勒索软件二进制文件：这将最大限度地减少对您系统的损害和影响。删除其他已知的相关注册表值和文件。

12.确定最初违规事件中涉及的系统和账户。这可以包括电子邮件账户。
13.根据以上确定的破坏或损害细节，包含可能被用于进一步或持续的未经授权访问的相关系统。漏洞往往涉及大规模的凭证外泄。确保网络和其他信息源不被持续的基干凭证的未经授权的访问，可能包括：1：

禁用虚拟专用网络、远程访问服务器、单点登录资源和基于云或其他面向公众的资产。

14.如果服务器端数据被受感染的工作站加密，请按照服务器端数据加密的快速识别步骤进行审查计算机管理>会话和相关服务器上的开放文件列表，以确定访问这些文件的用户或系统。

审查加密文件或赎金笔记的文件属性，以确定可能与文件所有权相关的特定用户。查看TerminalServices-RemoteConnectionManager事件日志，检查RDP网络连接是否成功。
审查Windows安全日志、SMB事件日志以及可能识别重要认证或访问事件的相关日志在受影响的服务器上运行数据包捕获软件，如Wireshark，用一个过滤器来识别参与主动写入或重命名文件的IP地址(例如，smb2.filename包含cryptxxx)。

15.进行扩展分析，确定由外而内和由内而外的持久性机制。

外来的持久性可能包括通过流氓账户对外部系统的认证访问、外围系统的后门、对外部漏洞的利用等等。
由内而外的持久性可能包括在内部网络上植入恶意软件或各种生活方式的修改(例如，使用商业渗透测试工具，如CobaltStrike;使用PsTools套件，包括PsExec，以远程安装和控制恶意软件并收集有关或执行远程管理Windows系统的信息:使用PowerShell脚本)
识别可能涉及部署EDR解决方案，审计本地和域账户，检查集中式日志系统中发现的数据，或者在环境中的移动被摸清后对特定系统进行更深入的取证分析。

16.根据关键服务的优先次序(如健康和安全或创收服务)重建系统，如果可能的话，使用预配置的标准图像。使用基础设施作为代码模板来重建云资源。
17.一且环境被完全清理和重建，包括任何相关的受影响的账户和恶意的持久性机制的移除或补救，为所有受影响的系统发布密码重设，并解决任何相关的漏洞和安全或可视性方面的差距。这可能包括应用补工、升级软件和采取其他以前没有采取的安全预防措施。根据需要更新客户管理的加密密钥。
18.指定的IT或IT安全主管部门根据既定标准宣布勒索软件事件结束，这可能包括采取上述步骤或寻求外部援助。
恢复和事故后的活动