Cyberzagrożenia,Poradnik bezpieczeństwa IT

Co zrobić, jeśli zaatakuje Cię ransomware?

Czas czytania: 3 min

Trzeba pamiętać, że o ile niezbędne jest zbudowanie silnej, wielowarstwowej strategii bezpieczeństwa swojej firmy,  system nigdy jest w 100% bezpieczny. Zawsze istnieje ryzyko, że dojdzie do skutecznego ataku ransomware.

Technikalia dla administratorów

Jeśli już dojdzie do ataku, oto co należy zrobić:

  1. Odłącz komputer od sieci

Jeśli podejrzewasz, że komputer mógł zostać zaatakowany przez ransomware, obowiązkowym krokiem nr 1 jest przełączenie go w tryb offline. Fizyczne wyciągnięcie kabla Ethernet-owego, wyłączenie sieci Wi-Fi, jak i samo wyłączenie maszyny. Niektóre z odmian ransomware mogą się rozprzestrzeniać za pośrednictwem połączenia sieciowego. Im szybciej odłączysz potencjalnie zainfekowane komputery od sieci, tym większa szansa, że pozostałe sprzęty nie zostaną zainfekowane.

  1. Wyłączenie wspólnych dysków sieciowych

Coraz więcej odmian ransomware, takich jak CryptoFortress i Locky, będzie za pośrednictwem sieci lokalnej szyfrować udostępnione dyski sieciowe podłączone do zainfekowanego komputera. Jeśli stwierdzisz, że masz zainfekowany chociaż jeden komputer, który jest podłączony do struktury sieci firmowej, to dobrym pomysłem będzie fizyczne wyłączenie dysków sieciowych na czas czyszczenia sieci z infekcji ransomware.

  1. Odbycie rozmowy z „pacjentem ZERO”

Po wyłączeniu komputera i odcięciu dysków sieciowych, kolejnym krokiem jest przeprowadzenie rozmowy z użytkownikiem, którego maszyna została zainfekowana. O tym, co robił przed infekcją ransomware? Czy dostał dziwne, nietypowe maile? Czy kliknął w jakieś linki-makra, a jeśli tak, to jakie i gdzie. Należy poświęcić czas (lepiej późno niż wcale…) by uświadomić użytkowania o zagrożeniach czyhających w sieci. Taka nauka pozwoli uchronić sieć firmową przed kolejnym atakiem.

  1. Powiadomienie pozostałych użytkowników struktury sieci

Gdy już wiesz z jakim rodzajem infekcji masz do czynienia, trzebapowiadomić innych użytkowników sieci lokalnej o możliwości zagrożenia. Ważne jest to by mieli się na baczności wobec potencjalnie możliwych kolejnych ataków szkodnika. Obrócenie tego niefortunnego zdarzenia na korzyść, tj. na przykładzie wykonanego ataku i szkód, jakie spowodował, należy wyszkolić użytkowników sieci jak im zapobiegać oraz odświeżyć podstawowe wiadomości na temat zachowania bezpieczeństwa.

  1. Aktualizacja i uruchamianie skanowań zabezpieczających

Teraz, gdy pojedynczy komputer został wyłączony a użytkownicy zaalarmowani, należy sprawdzić aktualizacje oprogramowania na wszystkich komputerach i uruchomić skanowanie wszystkich urządzeń w sieci. Ransomware ewoluuje dość szybko, dlatego upewnij się, że masz najnowsze wersje oprogramowania antywirusowego i anty-malware zainstalowane na komputerach w całej strukturze sieci.

  1. Co z robić z zaszyfrowanym komputerem?

  • Można zapłacić okup za odszyfrowanie (sposób nie do końca jest doby, ale czasem jedyny możliwy).
  • Warto wyrzucić całą zawartość dysku i zainstalować wszystkie systemy od nowa.
  • Należy skorzystać z kopii backup, jeśli się taką posiada (pod warunkiem, że jest aktualna).
  1. Co zawiodło w zabezpieczeniach struktury sieci?

Skoro w jakiś sposób ransomware dostał się do naszej zabezpieczonej struktury sieci, oznacza to, że zabezpieczenia zawiodły. Należy odnaleźć oraz naprawić dziurę przez którą dostał się w głąb naszej sieci. W jak najszybszy możliwy sposób naprawić tę lukę, by nie doszło do kolejnych ataków.

Autor: Paweł Piskorz

 


Polecamy inne nasze artykuły na temat zagrożenia ransomware:

Ransomware – metody ochrony

Przyczajony ransomware, ukryty trojan




  • Joanna Paneth 10 czerwca 2019 na 13:28

    Istnieje kilka podstawowych czynności prewencyjnych, jakie należy podjąć, aby ochronić swoją domową sieć przed atakami typu ransomware. Przede wszystkim:
    1) tworzyć regularne kopie zapasowe systemu i przechowywać je na osobnym nośniku
    2) na bieżąco aktualizować systemy operacyjne, urządzenia oraz oprogramowanie zainstalowane w komputerze
    3) uaktualnić do najnowszej wersji program antywirusowy
    4) przy wyborze antywirusa, zwrócić uwagę na to, czy po ataku narzędzie:
    – określa skąd pochodziła infekcja
    – jak długo istniała w danym środowisku
    – czy została usunięta ze wszystkich urządzeń/folderów
    – czy program posiada moduł antymalware i antyransomware-owy.

  • Toma 5 czerwca 2019 na 13:52

    Ciekawy artykuł. Czy są jakieś wskazówki dla użytkowników domowych?


Dodaj komentarz