Co zrobić, jeśli zaatakuje Cię ransomware?

Jeśli już dojdzie do ataku, oto co należy zrobić:

1. Odłącz komputer od sieci

Jeśli podejrzewasz, że komputer mógł zostać zaatakowany przez ransomware, obowiązkowym krokiem nr 1 jest przełączenie go w tryb offline. Fizyczne wyciągnięcie kabla Ethernet-owego, wyłączenie sieci Wi-Fi, jak i samo wyłączenie maszyny. Niektóre z odmian ransomware mogą się rozprzestrzeniać za pośrednictwem połączenia sieciowego. Im szybciej odłączysz potencjalnie zainfekowane komputery od sieci, tym większa szansa, że pozostałe sprzęty nie zostaną zainfekowane.

2. Wyłączenie wspólnych dysków sieciowych

Coraz więcej odmian ransomware, takich jak CryptoFortress i Locky, będzie za pośrednictwem sieci lokalnej szyfrować udostępnione dyski sieciowe podłączone do zainfekowanego komputera. Jeśli stwierdzisz, że masz zainfekowany chociaż jeden komputer, który jest podłączony do struktury sieci firmowej, to dobrym pomysłem będzie fizyczne wyłączenie dysków sieciowych na czas czyszczenia sieci z infekcji ransomware.

3. Odbycie rozmowy z „pacjentem ZERO”

Po wyłączeniu komputera i odcięciu dysków sieciowych, kolejnym krokiem jest przeprowadzenie rozmowy z użytkownikiem, którego maszyna została zainfekowana. O tym, co robił przed infekcją ransomware? Czy dostał dziwne, nietypowe maile? Czy kliknął w jakieś linki-makra, a jeśli tak, to jakie i gdzie. Należy poświęcić czas (lepiej późno niż wcale...) by uświadomić użytkowania o zagrożeniach czyhających w sieci. Taka nauka pozwoli uchronić sieć firmową przed kolejnym atakiem.

4. Powiadomienie pozostałych użytkowników struktury sieci

Gdy już wiesz z jakim rodzajem infekcji masz do czynienia, trzebapowiadomić innych użytkowników sieci lokalnej o możliwości zagrożenia. Ważne jest to by mieli się na baczności wobec potencjalnie możliwych kolejnych ataków szkodnika. Obrócenie tego niefortunnego zdarzenia na korzyść, tj. na przykładzie wykonanego ataku i szkód, jakie spowodował, należy wyszkolić użytkowników sieci jak im zapobiegać oraz odświeżyć podstawowe wiadomości na temat zachowania bezpieczeństwa.

5. Aktualizacja i uruchamianie skanowań zabezpieczających

Teraz, gdy pojedynczy komputer został wyłączony a użytkownicy zaalarmowani, należy sprawdzić aktualizacje oprogramowania na wszystkich komputerach i uruchomić skanowanie wszystkich urządzeń w sieci. Ransomware ewoluuje dość szybko, dlatego upewnij się, że masz najnowsze wersje oprogramowania antywirusowego i anty-malware zainstalowane na komputerach w całej strukturze sieci.

6. Co z robić z zaszyfrowanym komputerem?

• Można zapłacić okup za odszyfrowanie (sposób nie do końca jest dobry, ale czasem jedyny możliwy).
• Warto wyrzucić całą zawartość dysku i zainstalować wszystkie systemy od nowa.
• Należy skorzystać z kopii backup, jeśli się taką posiada (pod warunkiem, że jest aktualna).

7. Co zawiodło w zabezpieczeniach struktury sieci?

Skoro w jakiś sposób ransomware dostał się do naszej zabezpieczonej struktury sieci, oznacza to, że zabezpieczenia zawiodły. Należy odnaleźć oraz naprawić dziurę przez którą dostał się w głąb naszej sieci. W jak najszybszy możliwy sposób naprawić tę lukę, by nie doszło do kolejnych ataków. Autor: Paweł Piskorz

Polecamy inne nasze artykuły na temat zagrożenia ransomware: Ransomware - metody ochrony Przyczajony ransomware, ukryty trojan