Zaštitite uređaj sa Emsisoft Anti-Malware.
Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.

Ako se ne pripremite, pripremate se za neuspjeh
U slučaju ransomware napada, učinkovit plan odgovora može značiti razliku između panike i odlučne akcije. To može značiti razliku između infekcije u cijeloj tvrtki i zatvorenog incidenta; razlika između brze sanacije i trajnog zatvaranja poduzeća.
U ovom ćemo vodiču detaljno razgovarati o tome kako bi tvrtke trebale reagirati na ransomware napade i istražiti preventivne mjere koje mogu pomoći u smanjenju rizika od zaraze.
Ako preventivne mjere ne uspiju, organizacije bi trebale poduzeti sljedeće korake odmah nakon utvrđivanja zaraze ransomwareom.
1. Izolirajte pogođene sustave
Izolaciju treba smatrati glavnim prioritetom. Velika većina ransomwarea skenirat će ciljanu mrežu, šifrirati datoteke pohranjene na mrežnim dijelovima i pokušati se proširiti na druge sustave. Da bi se spriječila zaraza i spriječilo širenje ransomwarea, zaraženi sustavi moraju se ukloniti s mreže što je prije moguće.
2. Osigurajte sigurnosne kopije
Iako sigurnosne kopije igraju presudnu ulogu u sanaciji, važno je zapamtiti da nisu imune na ransomware. Kako bi osujetili napore na oporavku, mnogi moderni sojevi ransomwarea posebno će ciljati sigurnosne kopije tvrtke i pokušati ih šifrirati, poništiti ili izbrisati.
U slučaju incidenta s ransomwareom, organizacije moraju osigurati svoje sigurnosne kopije isključivanjem sigurnosne kopije s mreže ili zaključavanjem pristupa sigurnosnim kopijama dok se infekcija ne riješi.
Pogledajte ovaj vodič za više informacija o tome kako stvoriti i održavati sigurnosne kopije otporne na ransomware .
3. Onemogućite zadatke održavanja
Organizacije bi trebale odmah onemogućiti automatizirane zadatke održavanja, poput privremenog uklanjanja datoteka i rotacije logova na pogođenim sustavima, jer ti zadaci mogu ometati datoteke koje mogu biti korisne istražiteljima i forenzičkim timovima.
Na primjer, zapisnici logova mogu sadržavati vrijedne tragove u vezi s početnom točkom zaraze, dok neke loše programirane inačice ransomwarea mogu pohraniti važne informacije (poput ključeva za šifriranje) u privremene datoteke.
4. Stvorite sigurnosne kopije zaraženih sustava
Organizacije bi trebale stvoriti sigurnosne kopije ili slike zaraženih sustava nakon što ih izoliraju od mreže. Dva su glavna razloga za to:
Spriječite gubitak podataka
Neki dešifrivači ransomware sadrže bugove koji mogu oštetiti podatke. Na primjer, poznato je da dešifriratelj ransomware obitelji poznat kao Ryuk skraćuje datoteke , učinkovito odsijecajući jedan bajt svake datoteke tijekom postupka dešifriranja. Iako ovo nije uzrokovalo velike probleme kod nekih formata datoteka, druge vrste datoteka - poput formata datoteka virtualnog tvrdog diska kao što su VHD / VHDX kao i puno datoteka baze podataka Oracle i MySQL - pohranjuju važne informacije u zadnji bajt i nalazile su se u rizik od oštećenja nakon dešifriranja.
Sigurnosna kopija zaraženih sustava osigurava integritet podataka. Ako nešto pođe po zlu tijekom postupka dešifriranja, žrtve mogu vratiti svoje sustave i pokušati ponoviti dešifriranje ili se obratiti stručnjaku za oporavak ransomwarea radi pouzdanog, prilagođenog rješenja za dešifriranje.
U budućnosti će biti moguće besplatno dešifriranje
Ako šifrirani podaci nisu presudni za poslovanje organizacije i ne treba ih hitno oporaviti, treba ih sigurnosno kopirati i sigurno pohraniti jer postoji mogućnost da se u budućnosti mogu dešifrirati.
Bilo je slučajeva kada su agencije za provođenje zakona uhvatile autore ransomwarea i pronađene C&C poslužitelje, što je rezultiralo oslobađanjem ključeva za dešifriranje i omogućilo žrtvama da besplatno obnove svoje podatke. Pored toga, brojne ransomware grupe - uključujući Shade, TeslaCrypt i CrySis, između ostalih - dragovoljno su pustile ključeve za dešifriranje nakon isključivanja svojih operacija.
5. Zlonamjerni softver stavite u karantenu
Žrtve nikada ne bi smjele izravno uklanjati, brisati, preoblikovati ili preoblikovati zaražene sustave, osim ako to specijalno ne naloži stručnjak za oporavak ransomware-a. Umjesto toga, zlonamjerni softver treba staviti u karantenu, što istražiteljima omogućuje analizu infekcije i utvrđivanje točnog soja ransomwarea odgovornog za šifriranje datoteka. Uklanjanjem cjelokupne infekcije timovima za oporavak izuzetno je teško pronaći određeni uzorak ransomwarea koji je uključen u napad.
Ako se zlonamjerni softver i dalje izvodi, prije karantene treba napraviti Memory Dump kako bi se stvorio cjelovit zapis o svim zlonamjerenim procesima koji se izvode. Memory Dump može sadržavati ključni materijal korišten za šifriranje datoteka, koji se potencijalno može izdvojiti i koristiti za pomoć žrtvama u dešifriranju datoteka bez plaćanja otkupnine.
6. Identificirajte i istražite nultog pacijenta
Identificiranje nultog pacijenta (tj. Izvora zaraze) ključno je za razumijevanje kako su napadači stekli pristup sustavu, koje su druge radnje poduzeli dok su bili na mreži i opseg zaraze. Otkrivanje izvora zaraze korisno je ne samo za rješavanje trenutnog incidenta, već također može pomoći organizacijama u rješavanju ranjivosti i smanjenju rizika od budućih kompromisa.
Može biti izazov identificirati izvornu točku kompromisa jer će u mnogim slučajevima akteri prijetnje biti u sustavu tjednima ili čak mjesecima prije postavljanja korisnog tereta za ransomware. Tvrtke kojima nedostaju resursi ili stručnost za obavljanje temeljite digitalne forenzike trebale bi razmotriti mogućnost registracije za usluge profesionalne forenzičke tvrtke.
7. Prepoznajte soj ransomware-a
Organizacije mogu koristiti besplatne usluge poput Emsisoftovog mrežnog alata za identifikaciju ransomware-a ili ID Ransomware-a kako bi utvrdile na koji soj ransomware-a je utjecao.
Ovi alati omogućuju korisnicima prijenos napomene o otkupnini, uzorak šifrirane datoteke i kontaktne podatke napadača te analizu podataka kako bi se utvrdilo koji je soj ransomwarea utjecao na korisnikove datoteke. Također usmjerava korisnika na besplatni alat za dešifriranje ako je dostupan.
8. Odlučite hoćete li platiti otkupninu
Ako su sigurnosne kopije oštećene i ako nema dostupnog besplatnog alata za dešifriranje, organizacije će možda doći u iskušenje da plate otkupninu kako bi oporavile svoje datoteke.
Iako plaćanje otkupnine može pomoći u smanjenju smetnji i može biti jeftinije od ukupnih troškova zastoja, to nije odluka koju treba uzeti olako. Organizacije bi trebale razmisliti o plaćanju otkupnine samo ako su sve ostale mogućnosti iscrpljene, a gubitak podataka vjerojatno će dovesti do toga da tvrtka prestane poslovati.
Treba uzeti u obzir sljedeće čimbenike:
Nepravilno postupanje s incidentom ransomwareom može spriječiti napore oporavka, ugroziti podatke i rezultirati nepotrebnim plaćanjem otkupnina žrtvama. Nakon napada na ransomware, organizacije bi trebale izbjegavati sljedeće pogreške:
1. NEMOJTE ponovo pokretati pogođene uređaje
Organizacije bi trebale izbjegavati ponovno pokretanje uređaja na koje je utjecao ransomware. Mnogi sojevi ransomwarea otkrivat će pokušaje ponovnog pokretanja i kažnjavanja žrtava oštećivanjem instalacije sustava Windows tako da se sustav više nikada neće pokrenuti, dok će drugi možda početi nasumično brisati šifrirane datoteke. Zloglasni Jigsaw ransomware, koji je bio plodan 2016. godine, nasumično je izbrisao 1.000 šifriranih datoteka svaki put kad bi se zaraženi uređaj ponovno pokrenuo.
Ponovno pokretanje sustava također može omesti napore forenzičara. Ponovnim podizanjem sustava briše se memorija uređaja koja, kao što je ranije spomenuto, može sadržavati tragove koji mogu biti korisni istražiteljima. Umjesto toga, pogođeni sustavi trebaju se staviti u stanje hibernacije, što zapisuje sve podatke u memoriju u referentnu datoteku na tvrdom disku uređaja, koja se zatim može koristiti za buduću analizu.
2. NEMOJTE spajati vanjske uređaje za pohranu na zaražene sustave
Mnoge obitelji ransomware namjerno ciljaju uređaje za pohranu i sigurnosne kopije. Kao takvi, vanjski uređaji za pohranu i sigurnosni sustavi ne smiju biti povezani (fizički ili putem mrežnog pristupa) sa zaraženim sustavima sve dok organizacije ne budu potpuno sigurne da je zaraza uklonjena.
Nije uvijek očito da je pokrenut ransomware. Nažalost, bilo je mnogo slučajeva kada su tvrtke započele postupak oporavka, a da nisu shvatile da je ransomware još uvijek prisutan u njihovom sustavu, što je rezultiralo ransomwareom koji šifrira svoje sigurnosne kopije i uređaje za pohranu.
3. NEMOJTE odmah platiti otkupninu
Iako izgledi za zastoj i potencijalni gubitak reputacije mogu biti zastrašujući, organizacije ne bi trebale odmah platiti otkupninu. Uvijek postoje druge mogućnosti, a njih treba istražiti u cijelosti prije nego što se pribjegne plaćanju otkupnine.
4. NE komunicirajte na ugroženoj mreži
Tijekom oporavka, žrtve bi trebale pretpostaviti da napadači još uvijek imaju pristup ugroženoj mreži i stoga mogu presresti bilo koju komunikaciju koja se šalje i prima putem mreže. Organizacije bi trebale uspostaviti sigurne komunikacijske kanale izvan opsega i zabraniti korisnicima komuniciranje na ugroženoj mreži sve dok sanacija ne završi i mreža se ne ukloni od uljeza.
5. NE brišite datoteke
Datoteke se ne smiju brisati iz šifriranih sustava, osim ako to nije savjetovao stručnjak za oporavak ransomware-a. Ne samo da su šifrirane datoteke korisne za forenziku, već neke obitelji ransomwarea pohranjuju ključeve za šifriranje u šifrirane datoteke - ako se datoteke izbrišu, dešifrivač neće raditi.
Slično tome, bilješke o otkupnini ne smiju se brisati. Neke obitelji otkupljivača, poput DoppelPaymer i BitPaymer, stvaraju bilješku o otkupnini za svaku datoteku koju šifriraju, a koja sadrži kodirani i šifrirani ključ potreban za dešifriranje. Ako se napomena o otkupnini izbriše, odgovarajuća datoteka se ne može dešifrirati.
6. NE vjerujte autorima ransomwarea
Iako se sve više trude usvojiti fasadu profesionalizma, autori ransomwarea kriminalci su koji nisu obvezni pridržavati se bilo kakvih sporazuma ili se pridržavati bilo kojeg etičkog kodeksa. Organizacije ne bi trebale vjerovati nikakvim informacijama koje pružaju grupe otkupljivača, uključujući podatke u napomeni o otkupnini (poput soja ransomware-a), niti vjerovati da će plaćanje otkupnine dovesti do oporavka šifriranih podataka.
Pouzdane usluge poput Emsisoftovog internetskog alata za identifikaciju ransomwarea i ID Ransomware uvijek se trebaju koristiti za identifikaciju sojeva. Žrtve trebaju imati na umu da napadači ne smiju pružiti dekriptor nakon plaćanja i da alati za dešifriranje koje pruža napadač mogu biti neispravni i / ili potencijalno oštetiti šifrirane podatke.
Proaktivni pristup sigurnosti može pomoći smanjiti rizik od ransomware incidenta. Tvrtke svih veličina trebale bi provoditi, provoditi i redovito testirati sljedeće preventivne mjere:
Postupke reagiranja na incidente treba redovito testirati kako bi se osiguralo da su zaposlenici upoznati sa sigurnosnim postupcima i razumiju točno što treba učiniti u slučaju infekcije. Testiranje također pomaže tvrtkama da identificiraju i isprave nedostatke u lancu odgovora. Najgore vrijeme za tvrtku da pokuša razraditi što učiniti u ransomware napadu je tijekom pravog ransomware napada. Pogledajte ovo upozorenje FBI-a za više informacija o otkrivanju i uklanjanju zlonamjernih aktivnosti.
Proaktivni pristup prevenciji ransomware programa može pomoći tvrtkama da značajno smanje rizik od zaraze. U slučaju incidenta, organizacije moraju imati uspostavljene učinkovite postupke reagiranja kako bi se incident spriječio, spriječio gubitak podataka i sigurno pokrenuo postupak oporavka.
Prakse opisane u ovom članku mogu pomoći tvrtkama svih veličina da ublaže utjecaj ransomware napada. Ipak, imajte na umu da bi se ovi postupci trebali smatrati općim i neobuhvatnim savjetom. Sigurnosni zahtjevi mogu se značajno razlikovati, a sigurnosni sustavi uvijek bi trebali biti prilagođeni industriji, regulatornim zahtjevima i jedinstvenim sigurnosnim potrebama tvrtke.
Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.
Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.