Ministerstwo Cyfryzacji radzi jak postępować ze skutkami ataków typu ransomware

24 sierpnia 2020

Ataki ransomware to aktualny numer 1 na liście zagrożeń, które wyrządzają najwięcej szkód finansowych i wizerunkowych. Firmy płacą coraz więcej grupom przestępczym przeprowadzającym ataki z udziałem ransomware. Z badań przeprowadzonych przez Coverware wynika, że w drugim kwartale bieżącego roku wartość średniego okupu wzrosła o 60 procent! Między innymi z tego powodu Ministerstwo Cyfryzacji chciało przypomnieć przedsiębiorcom jak należy zapobiegać i postępować po zainfekowaniu firmowych komputerów oprogramowaniem szantażującym. Środki zapobiegawcze zostały opisane w osobnym artykule, (link). Natomiast w przypadku ataku Ministerstwo radzi, aby podjąć niezwłocznie opisane niżej krok:

Komputery i inne urządzenia

  • Natychmiast odłącz zainfekowane komputery, laptopy lub tablety od wszystkich połączeń sieciowych, zarówno przewodowych jak też bezprzewodowych.
  • W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja. Zastanów się, czy w bardzo poważnym przypadku konieczne może być wyłączenie Wi-Fi i wyłączenie połączeń sieci bazowej (w tym przełączników sieciowych).
  • Zresetuj poświadczenia, w tym hasła (szczególnie dla administratorów), ale sprawdź, czy nie blokujesz systemów niezbędnych do odzyskiwania danych.

Zgłoszenie incydentu

  • Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).
  • Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj plik z okupem albo zaszyfrowany plik.
  • Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.
  • Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl/.W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Przywracanie danych z kopii zapasowej

  • Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.
  • Przed przywróceniem danych z kopii zapasowej sprawdź, czy kopia jest wolna od oprogramowania malware i ransomware. Dane należy przywrócić tylko z kopii zapasowej, jeżeli jesteśmy pewni, że kopia zapasowa nie jest zainfekowana.
  • Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Niestety, nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc – może się udać tylko jeśli przestępca popełnił błąd.

Uwaga! Istnieją „firmy od odzyskiwania danych”, które są oszustami. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać –jak już dawać się okraść, to tylko raz na infekcję. Pamiętaj, że tacy „pośrednicy” też popełniają przestępstwo.

Po odzyskaniu danych z kopii zapasowej

  • Podłącz urządzenia do niezainfekowanej sieci, aby pobrać, zainstalować i zaktualizować system operacyjny i całe inne oprogramowanie.
  • Zainstaluj, zaktualizuj i uruchom oprogramowanie antywirusowe.
  • Połącz się ponownie z siecią.
  • Monitoruj ruch w sieci i uruchamiaj skanowanie antywirusowe, aby stwierdzić, czy nadal występuje infekcja.
  • Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania)

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone