capetron/ransomware-response-playbook

# 勒索软件响应手册 一个涵盖检测、遏制、根除、恢复和经验教训的逐步勒索软件事件响应手册。包括付款决策决策树、FBI报告清单、保险通知程序以及利益相关者沟通模板。 ## 目录 - [目的与范围](#purpose-and-scope) - [勒索软件响应阶段](#ransomware-response-phases) - [阶段 1：检测与识别](#phase-1-detection-and-identification) - [阶段 2：遏制](#phase-2-containment) - [阶段 3：根除](#phase-3-eradication) - [阶段 4：恢复](#phase-4-recovery) - [阶段 5：事后/经验教训](#phase-5-post-incident--lessons-learned) - [支付与不支付的决策树](#pay-vs-do-not-pay-decision-tree) - [FBI 与执法报告](#fbi-and-law-enforcement-reporting) - [保险通知清单](#insurance-notification-checklist) - [沟通模板](#communication-templates) - [勒索软件预防清单](#ransomware-prevention-checklist) - [关于 Petronella 技术集团](#about-petronella-technology-group) ## 目的与范围 本手册提供了一套结构化的、可重复的勒索软件事件响应流程。它专为 IT 团队、服务提供商以及任何需要在勒索软件事件前后拥有清晰计划的组织而设计。 勒索软件攻击同比增长超过 70%。勒索软件攻击造成的平均停机时间超过 20 天。经过测试的手册可以缩短恢复时间并降低事件总成本。 **本手册涵盖：** - 活动勒索软件感染（文件被加密、赎金提示显示） - 勒索软件数据盗窃（双重勒索） - 伪装成勒索软件的擦除器恶意软件 - 勒索软件前的活动（在加密前检测到横向移动） ## 勒索软件响应阶段 ``` DETECTION --> CONTAINMENT --> ERADICATION --> RECOVERY --> LESSONS LEARNED (0-1 hr) (1-4 hrs) (4-48 hrs) (1-14 days) (within 30 days) ``` ## 阶段 1：检测与识别 **目标：** 确认勒索软件感染，确定范围并激活事件响应团队。 ### 即时操作（前 15 分钟） - [ ] **确认警报的真实性**——验证赎金提示、加密文件或异常文件扩展名是否为误报 - [ ] **记录赎金提示**——拍摄或截图赎金提示，记录勒索软件变种名称、付款地址和索要金额 - [ ] **记录时间戳**——记录首次检测到感染的时间以及加密开始的时间 - [ ] **激活事件响应团队**——通知事件响应负责人、IT 总监、首席信息安全官、法律顾问和 executive sponsor - [ ] **不要重启受感染系统**——加密密钥可能存在于内存中，强制重启可能导致取证证据丢失 - [ ] **不要打开赎金提示链接**——不要访问攻击者的付款门户 ### 范围评估（15-60 分钟） - [ ] **识别受影响的系统**——确定有多少端点、服务器和文件共享被加密 - [ ] **识别勒索软件变种**——使用 [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) 或 [No More Ransom](https://www.nomoreransom.org/) 识别该恶意软件家族 - [ ] **检查数据盗窃情况**——审查过去 24-72 小时的网络日志，查找大型出站数据传输 - [ ] **确定初始访问向量**——钓鱼邮件、RDP 暴露、VPN 漏洞或供应链妥协 - [ ] **评估备份状态**——立即验证备份完整性。备份是在线、离线还是物理隔离？是否也被加密？ - [ ] **检查横向移动**——查看 AD 日志、RDP 日志和 EDR 警报，了解攻击者的横向移动情况 ## 阶段 2：遏制 **目标：** 阻止勒索软件扩散并保护证据。 ### 网络遏制 - [ ] **隔离受感染系统**——禁用网络适配器或交换机端口，不要关闭电源 - [ ] **阻断已知恶意 IP 和域名**——根据该勒索软件变种的 IOC 更新防火墙规则 - [ ] **禁用受妥协的账户**——重置攻击者使用过的账户密码 - [ ] **隔离未受影响的系统**——隔离关键系统（域控制器、备份服务器） - [ ] **禁用远程访问**——关闭 VPN、RDP 和远程管理工具，直到范围明确 - [ ] **保护证据**——在开始修复之前创建受感染系统的取证镜像 ### 身份遏制 - [ ] **重置 krbtgt 密码两次**——使攻击者创建的 Golden Tickets 失效（两次重置之间等待 12 小时） - [ ] **重置所有管理员账户密码**——域管理员、企业管理员、服务账户 - [ ] **撤销活动会话**——强制所有系统重新认证 - [ ] **禁用受妥协的服务账户**——识别并禁用攻击链中使用的服务账户 ## 阶段 3：根除 **目标：** 移除勒索软件，关闭初始访问向量并消除持久化机制。 - [ ] **识别并关闭入口点**——修补被利用的漏洞、禁用受妥协的 RDP、移除钓鱼基础设施 - [ ] **从所有系统移除恶意软件**——运行完整的 EDR 扫描、使用离线 AV 工具或重新映像受感染系统 - [ ] **检查持久化机制**——计划任务、注册表运行键、WMI 订阅、启动文件夹、组策略登录脚本 - [ ] **扫描其他后门**——攻击者常在部署勒索软件前安装多个访问方法 - [ ] **验证 Active Directory 完整性**——检查是否存在恶意管理员账户、修改的 GPO 或未经授权的信任关系 - [ ] **在所有安全工具中更新所有 IOC**——确保 EDR、SIEM 和防火墙规则包含本事件的所有指标 - [ ] **修补所有系统**——在重新连接网络前应用所有关键安全更新 ## 阶段 4：恢复 **目标：** 从干净的备份或重建的系统中恢复运营。 ### 恢复优先级顺序 | 优先级 | 系统 | 目标 RTO | |--------|------|----------| | 1 | 域控制器、DNS、DHCP | 4 小时 | | 2 | 电子邮件、身份验证（MFA） | 8 小时 | | 3 | 文件服务器、数据库 | 24 小时 | | 4 | 生产线业务应用程序 | 48 小时 | | 5 | 终端工作站 | 72 小时 | ### 恢复步骤 - [ ] **在恢复前验证备份完整性**——在恢复前扫描备份以确认无恶意软件 - [ ] **从干净介质重建域控制器**——如果 AD 被破坏，不要还原域控制器备份 - [ ] **从最近一次干净备份恢复数据**——确定攻击开始前的最后一次备份 - [ ] **重建受感染端点**——从已知良好的映像重新安装，而不是尝试清理 - [ ] **验证恢复的数据**——抽查恢复的文件，确认未被加密或损坏 - [ ] **逐步重新启用网络连接**——分阶段将系统重新上线并监控是否重新感染 - [ ] **在 30 天内积极监控**——在恢复期间增加日志记录、告警和 SOC 监控 - [ ] **测试所有系统后再返回生产环境**——验证应用程序、服务和集成是否正常运行 ## 阶段 5：事后/经验教训 **目标：** 记录事件，识别改进项并更新防御措施。 - [ ] **在恢复后两周内召开事后回顾会**——与所有利益相关者一起进行无责备复盘 - [ ] **记录完整的时间线**——从初始访问到完全恢复创建详细的事件时间线 - [ ] **计算总成本**——包括停机时间、恢复劳动、硬件更换、法律费用、通知成本和声誉影响 - [ ] **更新事件响应计划**——将经验教训纳入手册 - [ ] **实施缺失的控制措施**——解决导致攻击成功的差距 - [ ] **在 90 天内开展桌面演练**——基于真实事件运行桌面演练以测试改进 - [ ] **向高管层简要汇报**——提供包含成本、根本原因和修复状态的书面摘要 ## 支付与不支付的决策树 **重要：** 这是一个讨论框架，不是法律建议。在做出付款决定前请务必咨询法律顾问和执法部门。 ``` Is a free decryptor available? (Check nomoreransom.org) |-- YES --> Use the free decryptor. Do NOT pay. |-- NO | Are clean backups available for all critical data? |-- YES --> Restore from backups. Do NOT pay. |-- NO | Is the data essential for business survival? |-- NO --> Accept the loss. Do NOT pay. |-- YES | Is the attacker a sanctioned entity? (Check OFAC SDN list) |-- YES --> Payment may violate federal law. Consult legal counsel immediately. |-- NO / UNKNOWN | Has law enforcement advised against payment? |-- YES --> Follow law enforcement guidance. |-- NO | Engage professional ransomware negotiator. Document everything for insurance and legal. Payment does NOT guarantee decryption. ``` **关键考虑因素：** - FBI 建议不要支付赎金，但承认每个组织必须自行做出决定 - 支付赎金会资助犯罪企业并可能招致重复攻击 - 只有 65% 的付款组织能够恢复全部数据 - OFAC 可能对支付给受制裁团体的款项实施处罚，即使不知情 ## FBI 与执法报告 **立即报告。** 尽早与执法部门接触可能提供解密密钥、威胁情报或协助。 ### FBI 清单 - [ ] **向 IC3 提交报告**——[https://www.ic3.gov/](https://www.ic3.gov/)（互联网犯罪投诉中心） - [ ] **联系当地 FBI 办事处**——[https://www.fbi.gov/contact-us/field-offices](https://www.fbi.gov/contact-us/field-offices) - [ ] **向 CISA 报告**——[https://www.cisa.gov/report](https://www.cisa.gov/report) - [ ] **保护所有证据**——在执法部门提取所需信息前不要擦除或重新映像系统 - [ ] **记录赎金要求**——金额、加密货币地址、通信方式和截止日期 - [ ] **与执法部门共享 IOC**——恶意软件哈希、IP地址、电子邮件地址、域名 - [ ] **请求 FLASH 警报检查**——FBI 可能掌握有关特定威胁行动的情报 ### 州通知要求 大多数州要求在个人数据被泄露时通知受影响个体。通知时限从 30 天到 90 天不等。请咨询您所在司法管辖区的法律顾问。 ## 保险通知清单 - [ ] **在 24 小时内通知网络保险公司**——大多数保单要求及时通知 - [ ] **记录保单号和联系人**——在事件发生前准备好这些信息 - [ ] **使用承保商批准的供应商**——大多数保单要求使用预先批准的 IR 公司、法证调查员和法律顾问 - [ ] **从第一天起跟踪所有成本**——事件响应、法证、律师、通知和业务中断 - [ ] **不要在承保商批准前授权付款**——未经批准的付款可能使保单失效 - [ ] **向承保商提供定期状态更新**——响应期间每周更新一次 ## 沟通模板 ### 内部员工通知 ### 客户/用户通知 ## 勒索软件预防清单 - [ ] 维护离线的、经过每月测试的备份 - [ ] 在所有端点和服务器上部署 EDR - [ ] 在所有远程访问和管理账户上强制执行 MFA - [ ] 在关键 CVE 发布后 48 小时内修补互联网暴露系统 - [ ] 在 IT 与 OT 环境之间实施网络分段 - [ ] 每季度执行钓鱼模拟 - [ ] 禁用互联网暴露系统的 RDP，或要求使用 VPN + MFA - [ ] 在关键服务器上实施应用程序白名单 - [ ] 每季度审查并限制管理员权限 - [ ] 维护经过测试的事件响应计划并进行年度桌面演练 ## 额外资源 - [CISA 勒索软件指南](https://www.cisa.gov/stopransomware) - [NIST 网络安全框架](https://www.nist.gov/cyberframework) - [No More Ransom 项目](https://www.nomoreransom.org/) - [FBI IC3 勒索软件报告](https://www.ic3.gov/) ## 许可证 本项目采用 MIT 许可证。详见 [LICENSE](LICENSE)。 ## 关于 Petronella 技术集团 本手册由 [Petronella 技术集团, Inc.](https://www.petronellatech.com/) 维护——一家专注于事件响应、合规（CMMC、HIPAA、SOC 2、NIST）以及为美国各地企业提供托管安全服务的网络安全与 IT 服务公司。 - 网站：[https://www.petronellatech.com](https://www.petronellatech.com/) - 预约咨询：[https://book.petronella.ai](https://book.petronella.ai/) - 电话：[(919) 348-4912](tel:9193484912) - LinkedIn：[Petronella 技术集团](https://www.linkedin.com/company/petronella-computer-consultants-inc-)

标签：CSV导出, FBI报告, IT团队, MSP, 业务连续性, 事后复盘, 保险通知, 停机时间, 决策树, 利益相关者沟通, 勒索软件, 勒索软件响应, 包含, 双 extortion, 取证, 响应流程, 备份, 威胁情报, 库, 应急响应, 开发者工具, 恢复, 托管服务提供商, 执法报告, 支付决策, 是否支付, 根除, 检测, 沟通模板, 组织, 经验教训, 识别, 遏制, 防护, 预防清单