需要在2020年制定勒索软件恢复计划

化。现代勒索软件不像2015年的勒索软件。恶意软件开发人员非常复杂。现在，勒索软件不再处于尽可能快地加密尽可能多的文件的状态，而是处于闲置状态，以便通过多个备份作业来备份触发文件。当恶意软件开始加密过程时，它开始缓慢，从而避免了检测。在某些情况下，它首先根据最后访问日期对文件进行加密，首先对最早的数据进行加密，然后逐步处理直到最新的文件。

目的是加密用户不会立即注意到的数据。在某些情况下，该恶意软件在进行任何检测之前会加密组织中80%或更多的数据。最近在勒索软件攻击中看到的另一个因素是，缓慢的加密过程会持续尽可能长的时间。但是，一旦用户打开了加密文件，触发文件便会进入快速攻击模式，在消除之前要对尽可能多的文件进行加密。

企业的业务从失去对数据中心的访问中恢复是必要的。但是勒索软件有所不同。首先，数据中心在技术上不会“丢失”。其次，不同的备份集可能具有不同的损坏级别。尽管大多数数据保护解决方案现在都利用不可变的(只读)存储来保护自己，但它们却不得不备份损坏的文件或勒索软件的触发文件。IT团队需要针对勒索软件恢复的特定计划，并需要执行该计划的实践。

对大多数灾难的默认响应是从备份存储库中恢复数据的最新副本。但是，最新副本可能包含大量损坏(加密)的文件。很多时候，由于勒索软件不是整个站点的灾难，因此组织将选择从快照中恢复或使用备份中的即时恢复。问题在于这些快速恢复技术仍将恢复许多加密文件，并且可能会重新启动勒索软件过程，使组织处于比开始恢复过程之前更糟糕的状态。

创建勒索软件恢复计划

无论攻击的性质如何，第一步都是查找触发文件并将其从环境中删除。恢复的第二步是确定恶意软件正在使用哪种类型的攻击媒介。如果是较旧的

（编辑：孝感站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!