• G DATA. Bízzon a német biztonságban. 1985 óta. | GDPR megfelelő vállalati antivírus megoldások és otthoni vírusirtó szoftverek.
  • Segítség
  • Viszonteladóknak
  • Fiókom
G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40
  • OTTHONRA
    • Védelem Windowsra
      • G DATA Total Security
      • G DATA Internet Security
      • G DATA Antivirus
      • Windowsos termékek összehasonlítása
    • Android és MAC OS X
      • G DATA Mobile Security for Android
      • G DATA Antivirus for Mac OS X
    • Védelem az interneten
      • G DATA VPN
  • CÉGEKNEK
    • VÍRUSVÉDELEM
      • G DATA Endpoint Protection
      • G DATA Client Security
      • G DATA Antivirus
      • G DATA Levelezésvédelem
      • Termékek áttekintése és rendszerkövetelmények
    • INFORMÁCIÓK
      • Általános tudnivalók
      • Licencpolitika
      • Árajánlatkérés
      • Esettanulmányok
      • Vállalati demó igénylése
      • Partnereink
  • VÁSÁRLÁS
  • LETÖLTÉS
  • TESZTEK
  • HÍREK
  • G DATA
  • Segítség
  • Viszonteladóknak
  • Fiókom
0

0 Ft

✕
  • Főoldal
  • Hírek és blogbejegyzések
  • Blogbejegyzés
  • Hogyan lehet helyreállítani a rendszereket egy zsarolóvírus-támadás után?

Hogyan lehet helyreállítani a rendszereket egy zsarolóvírus-támadás után?

2023. 02. 13.
Kategóriák
  • Blogbejegyzés
  • Vállalati hírek
  • Viszonteladói hírek
Címkék
  • Fertőzés
  • forensic
  • G DATA
  • helyreállítás
  • zsarolóvírus

Ha egy zsarolóvírus sikeresen megtámadja egy vállalat informatikai rendszerét, az általában pusztítást okoz. A normál működés többnyire megszűnik, és az egész szervezet „vészhelyzeti üzemmódba” kapcsol. Az ebből való visszatérés olyan kihívás lehet, amely hetekig vagy hónapokig tarthat. Íme néhány gyakorlati megfontolás.

A zsarolóvírus-támadások száma még mindig növekszik, és valószínűleg soha nem fognak eltűnni. A szervezeteknek és cégeknek feltételezniük kell, hogy előbb-utóbb ransomware vagy rosszindulatú programok támadásával kell szembenézniük. A megoldás kulcsa mindig a felkészülés. 

Megpróbáltuk összefoglalni a zsarolóvírus-támadás áldozatává vált vállalatok vagy szervezetek lehetséges válaszlépéseit. Az elsődleges cél az, hogy a cégek felkészültek legyenek, és ne kelljen rögtönözniük a katasztrófa bekövetkezésekor, ami további hibákhoz vezet, és akár több adatvesztést is eredményezhet. Az alábbi lépések azok a minimális lépések, amelyeket egy kibertámadás esetén követnie kell. Ne feledje, hogy a kibertámadásból való felépülés jellemzően nem történik meg néhány óra alatt, hanem általában hetekig vagy hónapokig tart.

Elszigetelés

A zsarolóvírus további terjedésének megakadályozása érdekében fontos, hogy a fertőzött eszközöket a lehető legjobban elkülönítsük. Ez azt jelenti, hogy el kell távolítani az eszközöket a hálózatból, és le kell választani minden hálózati kábelt vagy csatlakozást, beleértve a Wi-Fi hálózatokat is. Ha hálózata szegmentált, akkor érdemes megfontolni a potenciálisan fertőzött hálózati szegmens leválasztását is.

És bár a hálózati kábel kihúzása egyértelműen az első lépés, nem ennyire egyértelmű, hogy leállítsuk-e a részben vagy egészben fertőzött gépeket vagy sem. Mivel sok mai kártevő a memóriába írja magát, és innen működik, a gépek leállítása megnehezíti vagy ellehetetleníti a későbbi forensic vizsgálatokat, amelyek megállapíthatnák, hogy a kártevő hogyan, milyen módon működik. Amennyiben a részletes kivizsgálás cél, a gépeket csak szegmentáljuk, vegyük ki a hálózatból, de ne állítsuk le. Amennyiben a későbbi kivizsgálás nem cél, a gépeket leállíthatjuk, és leállíthatjuk azokat a szervereket is, amelyek internetes szolgáltatásokat nyújtanak, vagy azokat a tárolókat, amelyeken mindenképpen szeretnénk elkerülni a titkosítás végigfutását. 

Az is jó ötlet, hogy gyorsan cselekszik a támadás hatásának korlátozása érdekében, mivel a támadók a zsarolóvírus telepítésének időpontjára már bejárnak a hálózatába. Ha az infrastruktúra potenciálisan érintett virtuális gépeket tartalmaz, készítsen pillanatképeket róluk, és tárolja őket biztonságos helyen.

A kár mértékének felmérése

A zsarolóvírus-támadásra válaszul az egyik első lépés a támadás mértékének felmérése a titkosított és esetlegesen kiszivárgott adatok azonosításával. Ez az információ kulcsfontosságú egy hatékony válasz kidolgozásához. A támadás mértékének ismerete azért fontos, mert lehetővé teszi a támadás belső és külső következményeinek megértését, valamint a kezelési terv kidolgozását. A támadás mértékének meghatározásához próbálja meg azonosítani, hogy mely adatokat tárolták vagy dolgozták fel a titkosított gépeken, és keressen meg minden olyan adatot, amelyek esetleg kiszivárogtak.

Azonosítás

Annak azonosításához, hogy mely eszközöket fertőzte meg a ransomware, keresse meg a közelmúltban titkosított, szokatlan kiterjesztésű fájlokat, és a fájlok megnyitási nehézségeiről szóló jelentéseket. A zsarolóvírus további terjedésének megelőzése érdekében célszerű elkülöníteni és letiltani a nem teljesen titkosított eszközöket is, amelyeken akár csupán néhány fájl került titkosításra. Készítsen átfogó listát az összes érintett rendszerről, beleértve a NAS-eszközöket, a felhőalapú tárolókat, a külső merevlemezeket, az okostelefonokat és a laptopokat, és fontolja meg a hálózati megosztások zárolását a folyamatban lévő titkosítási folyamatok leállítása és más megosztások megfertőződésének megakadályozása érdekében. Az eszközök elkülönítése és letiltása előtt tekintse át a titkosított megosztásokat, hogy további információkat gyűjtsön a támadásról. Például, ha egy eszközön a szokásosnál több megnyitott fájl van, akkor ez lehet az első fertőzött eszköz a láncban. Azt is ellenőrizheti, hogy vannak-e riasztások a vírusvédelmi rendszertől vagy a monitoring platformról, és ellenőrizheti, hogy az emberek mit csinálnak az e-mailekkel és a mellékletekkel. Az állományok tulajdonságainak vizsgálata is adhat támpontokat, például a fájl tulajdonosaként feltüntetett személyt. Ne feledje, hogy a legtöbb zsarolóprogram rosszindulatú e-mail hivatkozásokon és mellékleteken keresztül jut be a hálózatokba, ezért fontos, hogy legyen óvatos az ilyen típusú tartalommal való interakció során.


Külső segítség igénybevétele

Célszerű ellenőrizni, hogy a biztosítási szerződése tartalmaz-e incidens-elhárítási fedezetet, így a biztosító csapatot küldhet az esemény kezelésére. Ha nem, akkor előfordulhat, hogy saját magának kell felvennie egy professzionális incidensreagáló csapatot, hogy segítsen felmérni a támadás irányát, célját, a behatolási pontot, és végrehajtani a megfelelő mérséklő intézkedéseket. Ilyen típusú segítséget nyújthat vírusvédelmi vagy monitoring rendszerének szállítója, vagy az erre a tevékenységre szakosodott szolgáltatók. Alternatív megoldásként rendelkezhet belső szakértelemmel, amelyet felhasználhat a támadásra való reagáláshoz. Függetlenül attól, hogy milyen megközelítést alkalmaz, fontos, hogy rendelkezzen a szükséges erőforrásokkal a támadás hatékony felméréséhez és mérsékléséhez. Amikor felveszi a kapcsolatot egy incidens-elhárítási szolgáltatóval, győződjön meg arról, hogy a lehető legtöbb információval rendelkezik. A legnagyobb jelentőségű adatok közé tartozik az incidens természete, az érintett rendszerek száma, a megtett intézkedések, valamint a támadás észlelésének részletei, az időt is beleértve.

Kommunikáció

Fontos, hogy a zsarolóvírus-támadással kapcsolatos érzékeny információkat egy különálló, biztonságos csatornán keresztül közöljük az esetleges adatszivárgás elleni védelem érdekében. Ha a levelezőrendszere még mindig működik, a legjobb, ha feltételezi, hogy ezt is feltörték, és a támadó hozzáférést szerzett. Ezért fontos minimalizálni a kommunikációt a hálózaton, és alternatív módszereket használni a belső és külső kommunikációhoz. Fontolja meg egy biztonságos kommunikációs csatorna, például a Signal vagy a WhatsApp létrehozását, vagy ideiglenes külső konferenciarendszer használatát, és külön csoportok létrehozását a kommunikációhoz. A hatékony koordináció és kommunikáció kulcsfontosságú a zsarolóvírus-támadások elleni hatékony válaszadáshoz, ezért fontos kommunikációs tervet készíteni, és azt szorosan követni.

A nyilvánossággal való hatékony kommunikáció kritikus fontosságú a zsarolóvírus-támadások után. Fontos, hogy korán és gyakran kommunikáljunk a belső munkatársakkal, beszállítókkal, szolgáltatókkal és ügyfelekkel, hogy tájékoztassuk őket a helyzetről. A támadás elrejtése általában nem jó ötlet, mivel ronthatja márkája hírnevét. Legyen átlátható az alkalmazottai, az érdekelt felek, az ügyfelek és a sajtó számára a támadásról, és fontolja meg egy alternatív kommunikációs weboldal létrehozását, ahol frissítésekkel és információkkal szolgáltathat. A bizalom fenntartása és a támadás negatív hatásának minimalizálása érdekében fontos, hogy nyitott és őszinte legyen az érintettekkel. Bármilyen információt adjon meg anélkül, hogy olyan részleteket közölne, amelyek veszélyeztethetik az incidensre adott válaszfolyamatot. Jelöljön ki a kommunikációra egy személyt és felületet, és győződjön meg arról, hogy minden információ csak ezeken kerül terjesztésre.

Válságkezelő csapat

A válságkezelő csapat segíthet megoldani az esetleges konfliktusokat és az üzleti funkciók helyreállítását. Ennek a csapatnak kell felelnie az összes belső és külső kommunikáció koordinálásáért, valamint annak biztosításáért, hogy a válság során következetes üzenetet közvetítsen. A válságkezelő csapatnak foglalkoznia kell az esetlegesen felmerülő jogi problémákkal is, és szakemberekkel együtt kell dolgoznia a kommunikációs stratégia kidolgozásán. A válságkezelő csapat elsődleges feladata az erőfeszítések összehangolása, és a támadásra adott válasz hatékony és eredményes biztosítása.

Jogi kötelezettség

A támadás technikai kezelése mellett fontos figyelembe venni a jogi kötelezettségeket is. Tájékozódjon ezekről, mert előfordulhat, hogy bizonyos időn belül jelentenie kell az adatvédelmi incidenst, hogy elkerülje a bírságokat vagy egyéb szankciókat. Például az általános adatvédelmi rendelet (GDPR) értelmében, ha 72 órán belül nem értesíti a hatóságokat az uniós polgárok adatait érintő adatvédelmi incidensről, vállalkozása jelentős pénzbírsággal sújtható. 

Visszaállítás és rendszerindítás

Miután felmérte a kibertámadás mértékét, és lépéseket tett az érintett eszközök elkülönítésére, ideje elkezdeni a rendszer visszaállítását. Ennek egyik leggyorsabb és legegyszerűbb módja, ha egy friss, nem fertőzött biztonsági másolatot használ a rendszer visszaállításához. Ez lehetővé teszi, hogy a lehető leggyorsabban visszaállítsa rendszereit működőképes állapotba. Fontos, hogy egy megbízható és naprakész biztonsági mentési rendszer működjön zsarolóvírus-támadás vagy egyéb adatvesztés esetére. Problémát jelent, hogy attól függően, hogy a támadó mennyi ideig férhetett hozzá az Ön hálózati infrastruktúrájához, fennáll annak a lehetősége, hogy bizonyos biztonsági másolatokat már feltörtek. A gépek visszaállításának megkísérlése előtt konzultáljon az incidens-elhárítási csapattal.

Ha nem rendelkezik használható biztonsági másolattal, még mindig van némi esély az adatok visszaszerzésére. Számos ingyenes visszafejtő kulcs található a No More Ransom oldalon. Kérjük, vegye figyelembe, hogy még működő dekódoló kulccsal is hetekbe telhet a fájlok helyreállítása. Ennek az az oka, hogy a visszafejtési eszközök nincsenek optimalizálva a sebességre, mert a bűnözői csoportok fő célja a gyors és hatékony titkosítás, hogy a lehető legkorábban váltságdíjat követelhessenek. A visszafejtő eszközeik teljesítménye nem elsődleges szempont.

Egy zsarolóvírus-támadás után fontos, hogy először azokra a felhasználókra összpontosítson, akikre szükség van a helyreállítási folyamathoz. Ne engedje azonnal az összes felhasználónak az internethez való hozzáférést, mert ez további fenyegetéseknek teheti ki rendszereit. Ehelyett javítsa ki és frissítse a támadás által érintett ismert sebezhető rendszereket, és fontolja meg a többfaktoros hitelesítés bevezetését, ha az még nincs érvényben. Először összpontosítson a kiemelt fiókokra és szolgáltatásokra, például a vezetői fiókokra és a kezelési szolgáltatásokra. Használjon végponti biztonsági megoldást annak biztosítására, hogy minden fertőzött rendszer és eszköz mentes legyen a zsarolóprogramoktól, mivel a szunnyadó rosszindulatú programok továbbra is zárolhatják hálózatát és rendszereit, és megrongálhatják a biztonsági másolatokat. Vezessen be hálózatfigyelő szolgáltatást, hogy jobban megértse a hálózatán zajló tevékenységeket. Ez segít azonosítani a potenciális fenyegetéseket, és megtenni a megfelelő lépéseket a rendszer védelme érdekében.

Készüljön fel a következő támadásra

Legyen tudatában annak, hogy új támadás mindig lehetséges. Szánjon időt a támadás elemzésére és dokumentálására, hogy készen álljon a következőre. Ha nem foltozza a sérülékenységeket, még az eredeti támadók is visszamehetnek a hálózatba. 

Zárszó

Egy utolsó fontos dolog: határozottan nem tanácsoljuk a váltságdíj fizetését! Ne feledje, hogy a támadók nagy valószínűséggel anyagi haszonszerzésben érdekeltek, ezért minden eszközzel megpróbálnak több pénzt kicsikarni Öntől. Legyen óvatos, amikor a támadókkal bánik. Egy profi tárgyaló alkalmazása nem csodaszer. Sok olyan eset volt, amikor a váltságdíj összege megduplázódott egy tárgyaló felkérése után, és ne feledje, hogy a professzionális tárgyaló nem mindig a legjobb megoldás. Arra sincs garancia, hogy megkapja a visszafejtő kulcsokat a kiberbűnözőktől.

A G DATA zsarolóvírusok elleni technológiájáról itt olvashat bővebben.

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:

Megosztás

Ne felejtsen el feliratkozni hírlevelünkre:

Megosztás

További cikkek

2025. 02. 1.

A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 


Tovább
2025. 01. 22.

Miért van szükség vírusirtóra?


Tovább
2025. 01. 17.

Az automatikus elemzések határai


Tovább

Vélemény, hozzászólás? Válasz megszakítása

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Keresés a cikkek között

Legújabb cikkek

  • 0
    A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 
    2025. 02. 1.
  • 0
    Miért van szükség vírusirtóra?
    2025. 01. 22.
  • 0
    Az automatikus elemzések határai
    2025. 01. 17.
  • 0
    Orosz beavatkozás miatt érvénytelenítették a román elnökválasztás első fordulóját
    2024. 12. 11.
  • 0
    Az Egyesült Államok kínai hackert vádol azzal, hogy kihasznált egy nulladik napi sérülést 81 ezer Sophos tűzfalban
    2024. 12. 11.

Értesüljön híreinkről

Válassza ki, hogy milyen hírek érdeklik Önt:

Kategóriák

  • Blogbejegyzés
  • Lakossági tudásbázis
  • Sajtóközlemény
  • Vállalati hírek
  • Vállalati tudásbázis
  • Viszonteladói hírek

Címkék

adathalászat adatszivárgás adatvédelem Adobe Android Apple BankGuard Bitcoin botnet csalás deepray Facebook fbi G DATA GDPR Google hacker Instagram iOS IOT iPhone Jelszó kiberháború kibertámadás koronavírus Kriptovaluta kártevő kémprogram Linux Management Server mesterséges intelligencia MI Microsoft Oroszország OS X Patch Management spam sérülékenység torrent trójai Ukrajna Virus Bulletin Windows zsarolóvírus átverés

Lakossági vírusirtók

Windowsos szoftverek

> G Data Antivirus

> G Data Internet Security

> G Data Total Security

Andoridos szoftverek

> G Data Internet Security for Android

OS X (Mac) szoftverek

> G Data Antivirus for Mac

Vállalati antivírus

Vállalati vírusvédelem

> G Data EndpointProtection

> G Data ClientSecurity

> G Data AntiVirus

Levelezésvédelem

> G Data Levelezésvédelem

Hasznos linkek

Facebook és Twitter

> Csatlakozzon hozzánk a Facebookon

> Iratkozzon fel hírlevelünkre

> Vírusirtó tesztek

> Affiliate Partner Program

Kapcsolat

Elérhetőségek

> Terméktámogatás

G Data e-mail címE-mail címünk:

tamogatas (kukac) virusirto.hu

G Data telefonszámTelefonszámunk:

+36 800 88 528

H-P, 11.00 – 16.00

Nemzetközi terméktámogatás:

+36 1 999 6709
(angol és német nyelven, 0-24)


A G Data vírusirtó szoftverek díjai

Felhasználási feltételek és impresszum | Adatkezelési tájékoztató | Sajtókapcsolat |© Vírusirtó.hu - G Data Antivirus

✕

Belépés

Elfelejtett jelszó?

Fiók létrehozása?

G DATA Magyarország
Sütik kezelése

A legjobb élmény biztosítása érdekében olyan technológiákat használunk, mint a sütik az eszközadatok tárolására és/vagy eléréséhez. Ha beleegyezik ezekbe a technológiákba, akkor olyan adatokat dolgozhatunk fel ezen az oldalon, mint a böngészési viselkedés vagy az egyedi azonosítók. A hozzájárulás elmulasztása vagy visszavonása bizonyos funkciókat és funkciókat hátrányosan érinthet.

Funkcionális Always active
A technikai tárolás vagy hozzáférés feltétlenül szükséges a felhasználó által kifejezetten kért meghatározott szolgáltatás igénybevételének lehetővé tételéhez, vagy kizárólag a kommunikáció elektronikus hírközlő hálózaton történő továbbításának végrehajtásához.
Preferenciák
A technikai tárolás vagy hozzáférés a felhasználó által nem kért preferenciák tárolásának legitim céljához szükséges.
Statisztika
Az a technikai tárhely vagy hozzáférés, amelyet kizárólag statisztikai célokra használnak. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
A technikai tárhely vagy hozzáférés szükséges ahhoz, hogy felhasználói profilokat hozzanak létre reklámküldéshez, vagy hasonló marketing célból követhessék a felhasználót egy webhelyen vagy több webhelyen.
Manage options Manage services Manage {vendor_count} vendors Read more about these purposes
View preferences
{title} {title} {title}