Mature and Tested Data Backup Process

数据备份是一种从勒索软件事件中快速恢复的方法. 执行定期备份可确保数据的当前备份随时准备就绪. Additionally, 定期测试备份是确认备份将提供成功恢复的重要步骤. 因为勒索软件有能力感染映射的网络驱动器, 建议将数据备份离线存储在安全的位置.

漏洞和补丁管理流程

勒索软件的许多变种都是通过网络钓鱼邮件或漏洞利用工具包传播的. 定期扫描资产对于识别和修补易受攻击的应用程序至关重要, such as Adobe Reader, Adobe Flash, and Internet Explorer. In addition, SamSam是一种勒索软件，它利用未打补丁的JBoss应用程序中的漏洞. 高级漏洞和补丁管理流程将确保所有内部和外部主机不会受到这些交付方法的攻击.

网络文件共享最小访问实现原则

勒索软件能够在映射的网络驱动器上传播和加密数据. 限制用户对网络文件共享的特权也将限制勒索软件能够加密的内容. 这有助于确保一个用户的感染不会导致文件共享上的大部分数据丢失.

Application Whitelisting

这将允许受信任的软件运行，同时防止未知的软件, such as malware, from running. 这种额外的保护不依赖于防病毒签名，可以禁止恶意电子邮件附件或在线下载的运行.

IDS/IPS with Threat Intel

实时检测勒索软件事件将使您的团队能够更快地做出反应, 限制了勒索软件传播的时间. IPS的阻塞功能提供了一个机会，可以阻止与已死在其轨道上的命令和控制服务器的通信.

Block TOR and I2P Traffic

一些最新变种的勒索软件使用TOR或I2P网络与他们的命令与控制(C2)服务器通信. 阻止对这些匿名网络的访问将阻止勒索软件与他们的C2服务器通信，并可能阻止勒索软件完全安装.

禁用MS Office文件中的活动内容

带有恶意宏的MS Office文件通常被用来执行初始勒索软件感染. 确保在默认情况下禁用活动内容, 并训练用户不要点击“启用内容”按钮，除非他们100%确定该文件不是恶意的.

SIEM Use Cases

监控系统和应用程序日志文件中的勒索软件攻击指标，可以让您及早发现攻击并可能控制它们. 以下项目是SIEM可以识别的勒索软件指标的示例(列表并非详尽无遗):

• 从%AppData%或%Temp%运行的二进制文件
• Execution of PowerShell Scripts
• Use of VSSadmin.exe
• Registry: HKCU\Software\Locky\pubkey
• Registry: HKCU\Software\Locky\id

Block Uncategorized and Unknown Websites

The overwhelming majority of the time, 勒索软件的第一级传播方式要么是网络钓鱼邮件，要么是驾车下载. In both instances, 利用勒索软件被安置在一个临时的互联网web服务器上，该服务器没有被分类, unknown, or newly registered. Therefore, 阻止访问这些类型的网站将大大降低勒索软件被下载感染机器的能力，而设备在公司网络上. 这一步骤还将建立更强的保护，防止大多数其他类型的恶意软件. 这一步可能会导致潜在的问题，应该在实施之前进行测试和监控.