Archiwa tagu: PORADNIK bezpieczeństwa IT

Co zrobić, jeśli zaatakuje Cię ransomware?

Trzeba pamiętać, że o ile niezbędne jest zbudowanie silnej, wielowarstwowej strategii bezpieczeństwa swojej firmy,  system nigdy jest w 100% bezpieczny. Zawsze istnieje ryzyko, że dojdzie do skutecznego ataku ransomware.

Jeśli już dojdzie do ataku, oto co należy zrobić:

  1. Odłącz komputer od sieci.

Jeśli podejrzewasz, że komputer mogł zostać zaatakowany przez ransomware, obowiązkowym krokiem nr 1 jest przełączenie go w tryb offline. Fizyczne wyciągnięcie kabla Ethernet-owego, wyłączenie sieci Wi-Fi, jak i samo wyłączenie maszyny. Ponieważ niektóre z odmian ransomware mogą się rozprzestrzeniać za pośrednictwem połączenia sieciowego, im szybciej odłączysz potencjalnie zainfekowane komputery od sieci, tym większa szansa, że pozostałe sprzęty nie zostaną zainfekowane.

  1. Wyłączenie wspólnych dysków sieciowych.

Coraz więcej odmian ransomware, takich jak CryptoFortress i Locky, będzie za pośrednictwem sieci lokalnej szyfrować udostępnione dyski sieciowe podłączone do zainfekowanego komputera. Jeśli stwierdzisz, że masz zainfekowany chociaż jeden komputer, który jest podłączony do struktury sieci firmowej, to dobrym pomysłem będzie fizyczne wyłączenie dysków sieciowych na czas czyszczenia sieci z infekcji ransomware.

  1. Odbycie rozmowy z „pacjentem ZERO”.

Po wyłączeniu komputera i odcięciu dysków sieciowych, kolejnym krokiem jest przeprowadzenie rozmowy z użytkownikiem, którego maszyna została zainfekowana. O tym, co robił przed infekcją ransomware? Czy dostał dziwne, nietypowe maile? Czy kliknął w jakieś linki-makra, a jeśli tak, to jakie i gdzie. Należy poświęcić czas (lepiej późno niż wcale…) by uświadomić użytkowania o zagrożeniach czyhających w sieci. Taka nauka pozwoli uchronić sieć firmową przed kolejnym atakiem.

  1. Powiadomienie pozostałych użytkowników struktury sieci.

Gdy już wiesz z jakim rodzajem infekcji masz do czynienia, należy powiadomić innych użytkowników sieci lokalnej o możliwości zagrożenia, by mieli się na baczności wobec potencjalnie możliwych kolejnych ataków szkodnika. Obrócenie tego niefortunnego zdarzenia na korzyść, tj. na przykładzie wykonanego ataku i szkód, jakie spowodował, należy wyszkolić użytkowników sieci jak im zapobiegać oraz odświeżyć podstawowe wiadomości na temat zachowania bezpieczeństwa.

  1. Aktualizacja i uruchamianie skanowań zabezpieczających.

Teraz, gdy pojedynczy komputer został wyłączony a użytkownicy zaalarmowani, należy sprawdzić aktualizacje oprogramowania na wszystkich komputerach i uruchomić skanowanie wszystkich urządzeń w sieci. Ransomware ewoluują dość szybko, dlatego upewnij się, że masz najnowsze wersje oprogramowania antywirusowego i anty-malware zainstalowane na komputerach w całej strukturze sieci.

  1. Co z robić z zaszyfrowanym komputerem?
  • Można zapłacić okup za odszyfrowanie (sposób nie do końca jest doby, ale czasem jedyny możliwy).
  • Można wyrzucić całą zawartość dysku i zainstalować wszystkie systemy od nowa.
  • Można skorzystać z kopii backup, jeśli się taką posiada (pod warunkiem, że jest aktualna).
  1. Co zawiodło w zabezpieczeniach struktury sieci?

Skoro w jakiś sposób ransomware dostał się do naszej zabezpieczonej struktury sieci, oznacza to, że zabezpieczenia zawiodły i należy odnaleźć oraz naprawić dziurę przez którą dostał się w głąb naszej sieci. W jak najszybszy możliwy sposób naprawić tę lukę, by nie doszło do kolejnych ataków.

 

Autor: Paweł Piskorz

na postawie informacji z blog.barkley.com


 

Polecamy inne nasze artykuły na temat zagrożenia ransomware:

Co to jest ransomware i jak się przed nim chronić Metody ochrony i postępowanie po ataku ransomware