Hogyan lehet helyreállítani a rendszereket egy zsarolóvírus-támadás után?

Kategóriák
Címkék

Ha egy zsarolóvírus sikeresen megtámadja egy vállalat informatikai rendszerét, az általában pusztítást okoz. A normál működés többnyire megszűnik, és az egész szervezet „vészhelyzeti üzemmódba” kapcsol. Az ebből való visszatérés olyan kihívás lehet, amely hetekig vagy hónapokig tarthat. Íme néhány gyakorlati megfontolás.

A zsarolóvírus-támadások száma még mindig növekszik, és valószínűleg soha nem fognak eltűnni. A szervezeteknek és cégeknek feltételezniük kell, hogy előbb-utóbb ransomware vagy rosszindulatú programok támadásával kell szembenézniük. A megoldás kulcsa mindig a felkészülés. 

Megpróbáltuk összefoglalni a zsarolóvírus-támadás áldozatává vált vállalatok vagy szervezetek lehetséges válaszlépéseit. Az elsődleges cél az, hogy a cégek felkészültek legyenek, és ne kelljen rögtönözniük a katasztrófa bekövetkezésekor, ami további hibákhoz vezet, és akár több adatvesztést is eredményezhet. Az alábbi lépések azok a minimális lépések, amelyeket egy kibertámadás esetén követnie kell. Ne feledje, hogy a kibertámadásból való felépülés jellemzően nem történik meg néhány óra alatt, hanem általában hetekig vagy hónapokig tart.

Elszigetelés

A zsarolóvírus további terjedésének megakadályozása érdekében fontos, hogy a fertőzött eszközöket a lehető legjobban elkülönítsük. Ez azt jelenti, hogy el kell távolítani az eszközöket a hálózatból, és le kell választani minden hálózati kábelt vagy csatlakozást, beleértve a Wi-Fi hálózatokat is. Ha hálózata szegmentált, akkor érdemes megfontolni a potenciálisan fertőzött hálózati szegmens leválasztását is.

És bár a hálózati kábel kihúzása egyértelműen az első lépés, nem ennyire egyértelmű, hogy leállítsuk-e a részben vagy egészben fertőzött gépeket vagy sem. Mivel sok mai kártevő a memóriába írja magát, és innen működik, a gépek leállítása megnehezíti vagy ellehetetleníti a későbbi forensic vizsgálatokat, amelyek megállapíthatnák, hogy a kártevő hogyan, milyen módon működik. Amennyiben a részletes kivizsgálás cél, a gépeket csak szegmentáljuk, vegyük ki a hálózatból, de ne állítsuk le. Amennyiben a későbbi kivizsgálás nem cél, a gépeket leállíthatjuk, és leállíthatjuk azokat a szervereket is, amelyek internetes szolgáltatásokat nyújtanak, vagy azokat a tárolókat, amelyeken mindenképpen szeretnénk elkerülni a titkosítás végigfutását. 

Az is jó ötlet, hogy gyorsan cselekszik a támadás hatásának korlátozása érdekében, mivel a támadók a zsarolóvírus telepítésének időpontjára már bejárnak a hálózatába. Ha az infrastruktúra potenciálisan érintett virtuális gépeket tartalmaz, készítsen pillanatképeket róluk, és tárolja őket biztonságos helyen.

A kár mértékének felmérése

A zsarolóvírus-támadásra válaszul az egyik első lépés a támadás mértékének felmérése a titkosított és esetlegesen kiszivárgott adatok azonosításával. Ez az információ kulcsfontosságú egy hatékony válasz kidolgozásához. A támadás mértékének ismerete azért fontos, mert lehetővé teszi a támadás belső és külső következményeinek megértését, valamint a kezelési terv kidolgozását. A támadás mértékének meghatározásához próbálja meg azonosítani, hogy mely adatokat tárolták vagy dolgozták fel a titkosított gépeken, és keressen meg minden olyan adatot, amelyek esetleg kiszivárogtak.

Azonosítás

Annak azonosításához, hogy mely eszközöket fertőzte meg a ransomware, keresse meg a közelmúltban titkosított, szokatlan kiterjesztésű fájlokat, és a fájlok megnyitási nehézségeiről szóló jelentéseket. A zsarolóvírus további terjedésének megelőzése érdekében célszerű elkülöníteni és letiltani a nem teljesen titkosított eszközöket is, amelyeken akár csupán néhány fájl került titkosításra. Készítsen átfogó listát az összes érintett rendszerről, beleértve a NAS-eszközöket, a felhőalapú tárolókat, a külső merevlemezeket, az okostelefonokat és a laptopokat, és fontolja meg a hálózati megosztások zárolását a folyamatban lévő titkosítási folyamatok leállítása és más megosztások megfertőződésének megakadályozása érdekében. Az eszközök elkülönítése és letiltása előtt tekintse át a titkosított megosztásokat, hogy további információkat gyűjtsön a támadásról. Például, ha egy eszközön a szokásosnál több megnyitott fájl van, akkor ez lehet az első fertőzött eszköz a láncban. Azt is ellenőrizheti, hogy vannak-e riasztások a vírusvédelmi rendszertől vagy a monitoring platformról, és ellenőrizheti, hogy az emberek mit csinálnak az e-mailekkel és a mellékletekkel. Az állományok tulajdonságainak vizsgálata is adhat támpontokat, például a fájl tulajdonosaként feltüntetett személyt. Ne feledje, hogy a legtöbb zsarolóprogram rosszindulatú e-mail hivatkozásokon és mellékleteken keresztül jut be a hálózatokba, ezért fontos, hogy legyen óvatos az ilyen típusú tartalommal való interakció során.

Külső segítség igénybevétele

Célszerű ellenőrizni, hogy a biztosítási szerződése tartalmaz-e incidens-elhárítási fedezetet, így a biztosító csapatot küldhet az esemény kezelésére. Ha nem, akkor előfordulhat, hogy saját magának kell felvennie egy professzionális incidensreagáló csapatot, hogy segítsen felmérni a támadás irányát, célját, a behatolási pontot, és végrehajtani a megfelelő mérséklő intézkedéseket. Ilyen típusú segítséget nyújthat vírusvédelmi vagy monitoring rendszerének szállítója, vagy az erre a tevékenységre szakosodott szolgáltatók. Alternatív megoldásként rendelkezhet belső szakértelemmel, amelyet felhasználhat a támadásra való reagáláshoz. Függetlenül attól, hogy milyen megközelítést alkalmaz, fontos, hogy rendelkezzen a szükséges erőforrásokkal a támadás hatékony felméréséhez és mérsékléséhez. Amikor felveszi a kapcsolatot egy incidens-elhárítási szolgáltatóval, győződjön meg arról, hogy a lehető legtöbb információval rendelkezik. A legnagyobb jelentőségű adatok közé tartozik az incidens természete, az érintett rendszerek száma, a megtett intézkedések, valamint a támadás észlelésének részletei, az időt is beleértve.

Kommunikáció

Fontos, hogy a zsarolóvírus-támadással kapcsolatos érzékeny információkat egy különálló, biztonságos csatornán keresztül közöljük az esetleges adatszivárgás elleni védelem érdekében. Ha a levelezőrendszere még mindig működik, a legjobb, ha feltételezi, hogy ezt is feltörték, és a támadó hozzáférést szerzett. Ezért fontos minimalizálni a kommunikációt a hálózaton, és alternatív módszereket használni a belső és külső kommunikációhoz. Fontolja meg egy biztonságos kommunikációs csatorna, például a Signal vagy a WhatsApp létrehozását, vagy ideiglenes külső konferenciarendszer használatát, és külön csoportok létrehozását a kommunikációhoz. A hatékony koordináció és kommunikáció kulcsfontosságú a zsarolóvírus-támadások elleni hatékony válaszadáshoz, ezért fontos kommunikációs tervet készíteni, és azt szorosan követni.

A nyilvánossággal való hatékony kommunikáció kritikus fontosságú a zsarolóvírus-támadások után. Fontos, hogy korán és gyakran kommunikáljunk a belső munkatársakkal, beszállítókkal, szolgáltatókkal és ügyfelekkel, hogy tájékoztassuk őket a helyzetről. A támadás elrejtése általában nem jó ötlet, mivel ronthatja márkája hírnevét. Legyen átlátható az alkalmazottai, az érdekelt felek, az ügyfelek és a sajtó számára a támadásról, és fontolja meg egy alternatív kommunikációs weboldal létrehozását, ahol frissítésekkel és információkkal szolgáltathat. A bizalom fenntartása és a támadás negatív hatásának minimalizálása érdekében fontos, hogy nyitott és őszinte legyen az érintettekkel. Bármilyen információt adjon meg anélkül, hogy olyan részleteket közölne, amelyek veszélyeztethetik az incidensre adott válaszfolyamatot. Jelöljön ki a kommunikációra egy személyt és felületet, és győződjön meg arról, hogy minden információ csak ezeken kerül terjesztésre.

Válságkezelő csapat

A válságkezelő csapat segíthet megoldani az esetleges konfliktusokat és az üzleti funkciók helyreállítását. Ennek a csapatnak kell felelnie az összes belső és külső kommunikáció koordinálásáért, valamint annak biztosításáért, hogy a válság során következetes üzenetet közvetítsen. A válságkezelő csapatnak foglalkoznia kell az esetlegesen felmerülő jogi problémákkal is, és szakemberekkel együtt kell dolgoznia a kommunikációs stratégia kidolgozásán. A válságkezelő csapat elsődleges feladata az erőfeszítések összehangolása, és a támadásra adott válasz hatékony és eredményes biztosítása.

Jogi kötelezettség

A támadás technikai kezelése mellett fontos figyelembe venni a jogi kötelezettségeket is. Tájékozódjon ezekről, mert előfordulhat, hogy bizonyos időn belül jelentenie kell az adatvédelmi incidenst, hogy elkerülje a bírságokat vagy egyéb szankciókat. Például az általános adatvédelmi rendelet (GDPR) értelmében, ha 72 órán belül nem értesíti a hatóságokat az uniós polgárok adatait érintő adatvédelmi incidensről, vállalkozása jelentős pénzbírsággal sújtható. 

Visszaállítás és rendszerindítás

Miután felmérte a kibertámadás mértékét, és lépéseket tett az érintett eszközök elkülönítésére, ideje elkezdeni a rendszer visszaállítását. Ennek egyik leggyorsabb és legegyszerűbb módja, ha egy friss, nem fertőzött biztonsági másolatot használ a rendszer visszaállításához. Ez lehetővé teszi, hogy a lehető leggyorsabban visszaállítsa rendszereit működőképes állapotba. Fontos, hogy egy megbízható és naprakész biztonsági mentési rendszer működjön zsarolóvírus-támadás vagy egyéb adatvesztés esetére. Problémát jelent, hogy attól függően, hogy a támadó mennyi ideig férhetett hozzá az Ön hálózati infrastruktúrájához, fennáll annak a lehetősége, hogy bizonyos biztonsági másolatokat már feltörtek. A gépek visszaállításának megkísérlése előtt konzultáljon az incidens-elhárítási csapattal.

Ha nem rendelkezik használható biztonsági másolattal, még mindig van némi esély az adatok visszaszerzésére. Számos ingyenes visszafejtő kulcs található a No More Ransom oldalon. Kérjük, vegye figyelembe, hogy még működő dekódoló kulccsal is hetekbe telhet a fájlok helyreállítása. Ennek az az oka, hogy a visszafejtési eszközök nincsenek optimalizálva a sebességre, mert a bűnözői csoportok fő célja a gyors és hatékony titkosítás, hogy a lehető legkorábban váltságdíjat követelhessenek. A visszafejtő eszközeik teljesítménye nem elsődleges szempont.

Egy zsarolóvírus-támadás után fontos, hogy először azokra a felhasználókra összpontosítson, akikre szükség van a helyreállítási folyamathoz. Ne engedje azonnal az összes felhasználónak az internethez való hozzáférést, mert ez további fenyegetéseknek teheti ki rendszereit. Ehelyett javítsa ki és frissítse a támadás által érintett ismert sebezhető rendszereket, és fontolja meg a többfaktoros hitelesítés bevezetését, ha az még nincs érvényben. Először összpontosítson a kiemelt fiókokra és szolgáltatásokra, például a vezetői fiókokra és a kezelési szolgáltatásokra. Használjon végponti biztonsági megoldást annak biztosítására, hogy minden fertőzött rendszer és eszköz mentes legyen a zsarolóprogramoktól, mivel a szunnyadó rosszindulatú programok továbbra is zárolhatják hálózatát és rendszereit, és megrongálhatják a biztonsági másolatokat. Vezessen be hálózatfigyelő szolgáltatást, hogy jobban megértse a hálózatán zajló tevékenységeket. Ez segít azonosítani a potenciális fenyegetéseket, és megtenni a megfelelő lépéseket a rendszer védelme érdekében.

Készüljön fel a következő támadásra

Legyen tudatában annak, hogy új támadás mindig lehetséges. Szánjon időt a támadás elemzésére és dokumentálására, hogy készen álljon a következőre. Ha nem foltozza a sérülékenységeket, még az eredeti támadók is visszamehetnek a hálózatba. 

Zárszó

Egy utolsó fontos dolog: határozottan nem tanácsoljuk a váltságdíj fizetését! Ne feledje, hogy a támadók nagy valószínűséggel anyagi haszonszerzésben érdekeltek, ezért minden eszközzel megpróbálnak több pénzt kicsikarni Öntől. Legyen óvatos, amikor a támadókkal bánik. Egy profi tárgyaló alkalmazása nem csodaszer. Sok olyan eset volt, amikor a váltságdíj összege megduplázódott egy tárgyaló felkérése után, és ne feledje, hogy a professzionális tárgyaló nem mindig a legjobb megoldás. Arra sincs garancia, hogy megkapja a visszafejtő kulcsokat a kiberbűnözőktől.

A G DATA zsarolóvírusok elleni technológiájáról itt olvashat bővebben.

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:

Ne felejtsen el feliratkozni hírlevelünkre:

További cikkek

2024. 03. 19.

MrBeast ingyen pénzt osztogat? Nem.

Tovább
2024. 02. 21.

Az MI barátnők adnak egy pofont az adatvédelemnek

Tovább
2024. 01. 29.

Az NSA elismerte, hogy titokban böngészési adatokat vásárolt

Tovább

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Hogyan lehet helyreállítani a rendszereket egy zsarolóvírus-támadás után?
A weboldalon sütiket (cookie) használunk, melyek segítenek minket a lehető legjobb szolgáltatások nyújtásában. Weboldalunk további használatával elfogadja Adatkezelési tájékoztatónkat.