對于任何一個勒索軟件攻擊事件或安全事件，都會有之前、期間和之后這三個階段。人們需要了解如何在每個階段保護其所在的企業，并了解勒索軟件是如何實施的。

[[441572]]

企業需要按照必要的勒索軟件恢復步驟為勒索軟件攻擊事件的“之前”和“期間”做好準備。本文將討論企業如何恢復數據、減少聲譽損失和降低安全風險，以及如何最大限度地降低總體成本。

一旦勒索軟件攻擊結束，可能將會發生以下一些事情：

• 如果文件被加密，遭遇攻擊的企業將了解勒索攻擊者的勒索要求。
• 企業將面臨支付贖金的選擇——受害者將在域名為.onion的網站上與勒索軟件攻擊者進行談判，可以商定贖金并通過加密貨幣支付給勒索攻擊者。收到贖金之后，勒索軟件攻擊者可能會提供解密/恢復文件所需的私鑰，但并不會提供任何保證。
• 勒索攻擊者可能解密或恢復數據，也可能在二次攻擊中使用這些泄露的數據，要求受害方支付費用，否則將這些文件發布到互聯網上。

在這一方面，受害方需要將損害降到最低，重新上線運營并提醒相關人員。

企業在勒索軟件攻擊之后恢復數據的5個步驟

勒索軟件恢復工作將取決于企業自身情況、數據和安全事件的性質。在勒索軟件攻擊發生之后，企業依循以下5個步驟對企業是有幫助的。

(1)根據響應計劃對系統進行恢復和確定恢復工作的優先級

在勒索軟件攻擊期間，企業需要獲得一份干凈的數據副本，以便遷移到分階段恢復運行環境，并重新上線。這些是企業重新上線運營所需的最低限度的關鍵任務操作?，F在，企業將要開始優先考慮恢復數據。

企業IT主管要與其他高管合作，確保與其他利益相關者就恢復層級達成一致。應該明確定義應用程序恢復優先級或層級，以便業務部門了解恢復應用程序的時間表，并且不會出現意外。其規劃還應包括關鍵基礎設施，例如Active Directory和DNS。如果沒有完成這些工作，其他業務應用程序可能無法重新聯機或正常運行。

(2)繼續開展取證工作，并與有關部門、企業的網絡保險提供商和任何監管機構合作

企業與其取證專家合作以發現更多細節，例如：

• 泄露發生時是否啟用了加密措施?
• 備份或保留數據的狀態如何?
• 查看日志以確定在違規時誰有權訪問數據，誰目前擁有訪問權限，他們是否仍然需要其訪問權限，或者他們的訪問權限是否可以被限制/撤銷?
• 哪些類型的數據遭到破壞?誰受到了影響，有他們的聯系方式嗎?

在收集取證報告時，需要與執法機構(如FBI)和監管機構以及企業的保險提供商合作，這一點很重要。

(3)通過恢復離線沙盒環境開始恢復工作，允許團隊識別和根除惡意軟件感染

建議利用分層安全架構和“數據掩體”。這種方法可以幫助企業保留和保護大量數據，并使其立即可用。

當企業開始恢復數據時，需要檢查網絡分段。在設置網絡時，可能會對其進行分段，以便一臺服務器或一個站點上的漏洞不會導致另一臺服務器或站點出現漏洞。企業與其取證專家合作，分析細分計劃是否有效地遏制了違規行為。如果進行任何更改，需要立即進行。

(4)始終如一地進行溝通，讓業務部門隨時了解恢復工作的進展情況

企業需要制定一個全面的計劃，讓所有受影響的受眾、員工、客戶、投資者、業務合作伙伴和其他利益相關者都能受益。不要對勒索攻擊行為做出誤導性的陳述;預測人們會問的問題是有幫助的;解決主要的問題，并提供清晰明了的回答。這有助于減少客戶的擔憂和沮喪，從而節省企業的時間和費用。

此外，不要公開分享可能使消費者或企業面臨更大風險的信息。

(5)調查服務商的角度 

企業需要了解勒索攻擊行為是否涉及任何服務提供商、合作伙伴或供應商?檢查他們可以訪問哪些個人信息，并決定是否需要更改他們的訪問權限?，F在是確保服務提供商自己采取必要措施以防止再次遭遇網絡攻擊的好時機。如果企業的服務提供商表示已經修復了漏洞，則需要進行驗證。