Cyberzagrożenia, Poradnik bezpieczeństwa IT

Co zrobić, jeśli zaatakuje Cię ransomware?

Trzeba pamiętać, że o ile niezbędne jest zbudowanie silnej, wielowarstwowej strategii bezpieczeństwa swojej firmy,  system nigdy jest w 100% bezpieczny. Zawsze istnieje ryzyko, że dojdzie do skutecznego ataku ransomware.

Jeśli już dojdzie do ataku, oto co należy zrobić:

  1. Odłącz komputer od sieci

Jeśli podejrzewasz, że komputer mogł zostać zaatakowany przez ransomware, obowiązkowym krokiem nr 1 jest przełączenie go w tryb offline. Fizyczne wyciągnięcie kabla Ethernet-owego, wyłączenie sieci Wi-Fi, jak i samo wyłączenie maszyny. Ponieważ niektóre z odmian ransomware mogą się rozprzestrzeniać za pośrednictwem połączenia sieciowego, im szybciej odłączysz potencjalnie zainfekowane komputery od sieci, tym większa szansa, że pozostałe sprzęty nie zostaną zainfekowane.

  1. Wyłączenie wspólnych dysków sieciowych

Coraz więcej odmian ransomware, takich jak CryptoFortress i Locky, będzie za pośrednictwem sieci lokalnej szyfrować udostępnione dyski sieciowe podłączone do zainfekowanego komputera. Jeśli stwierdzisz, że masz zainfekowany chociaż jeden komputer, który jest podłączony do struktury sieci firmowej, to dobrym pomysłem będzie fizyczne wyłączenie dysków sieciowych na czas czyszczenia sieci z infekcji ransomware.

  1. Odbycie rozmowy z „pacjentem ZERO”

Po wyłączeniu komputera i odcięciu dysków sieciowych, kolejnym krokiem jest przeprowadzenie rozmowy z użytkownikiem, którego maszyna została zainfekowana. O tym, co robił przed infekcją ransomware? Czy dostał dziwne, nietypowe maile? Czy kliknął w jakieś linki-makra, a jeśli tak, to jakie i gdzie. Należy poświęcić czas (lepiej późno niż wcale…) by uświadomić użytkowania o zagrożeniach czyhających w sieci. Taka nauka pozwoli uchronić sieć firmową przed kolejnym atakiem.

  1. Powiadomienie pozostałych użytkowników struktury sieci

Gdy już wiesz z jakim rodzajem infekcji masz do czynienia, należy powiadomić innych użytkowników sieci lokalnej o możliwości zagrożenia, by mieli się na baczności wobec potencjalnie możliwych kolejnych ataków szkodnika. Obrócenie tego niefortunnego zdarzenia na korzyść, tj. na przykładzie wykonanego ataku i szkód, jakie spowodował, należy wyszkolić użytkowników sieci jak im zapobiegać oraz odświeżyć podstawowe wiadomości na temat zachowania bezpieczeństwa.

  1. Aktualizacja i uruchamianie skanowań zabezpieczających

Teraz, gdy pojedynczy komputer został wyłączony a użytkownicy zaalarmowani, należy sprawdzić aktualizacje oprogramowania na wszystkich komputerach i uruchomić skanowanie wszystkich urządzeń w sieci. Ransomware ewoluują dość szybko, dlatego upewnij się, że masz najnowsze wersje oprogramowania antywirusowego i anty-malware zainstalowane na komputerach w całej strukturze sieci.

  1. Co z robić z zaszyfrowanym komputerem?

  • Można zapłacić okup za odszyfrowanie (sposób nie do końca jest doby, ale czasem jedyny możliwy).
  • Można wyrzucić całą zawartość dysku i zainstalować wszystkie systemy od nowa.
  • Można skorzystać z kopii backup, jeśli się taką posiada (pod warunkiem, że jest aktualna).
  1. Co zawiodło w zabezpieczeniach struktury sieci?

Skoro w jakiś sposób ransomware dostał się do naszej zabezpieczonej struktury sieci, oznacza to, że zabezpieczenia zawiodły i należy odnaleźć oraz naprawić dziurę przez którą dostał się w głąb naszej sieci. W jak najszybszy możliwy sposób naprawić tę lukę, by nie doszło do kolejnych ataków.

Autor: Paweł Piskorz

 


Polecamy inne nasze artykuły na temat zagrożenia ransomware:

Ransomware – metody ochrony

Przyczajony ransomware, ukryty trojan




2
Dodaj komentarz

avatar
1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Joanna PanethToma Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Joanna Paneth
Admin

Istnieje kilka podstawowych czynności prewencyjnych, jakie należy podjąć, aby ochronić swoją domową sieć przed atakami typu ransomware. Przede wszystkim:
1) tworzyć regularne kopie zapasowe systemu i przechowywać je na osobnym nośniku
2) na bieżąco aktualizować systemy operacyjne, urządzenia oraz oprogramowanie zainstalowane w komputerze
3) uaktualnić do najnowszej wersji program antywirusowy
4) przy wyborze antywirusa, zwrócić uwagę na to, czy po ataku narzędzie:
– określa skąd pochodziła infekcja
– jak długo istniała w danym środowisku
– czy została usunięta ze wszystkich urządzeń/folderów
– czy program posiada moduł antymalware i antyransomware-owy.

Toma
Gość

Ciekawy artykuł. Czy są jakieś wskazówki dla użytkowników domowych?