Ministerstwo Cyfryzacji radzi jak postępować ze skutkami ataków typu ransomware

24 sierpnia, 2020

Ataki ransomware to aktualny numer 1 na liście zagrożeń, które wyrządzają najwięcej szkód finansowych i wizerunkowych. Firmy płacą coraz więcej grupom przestępczym przeprowadzającym ataki z udziałem ransomware. Z badań przeprowadzonych przez Coverware wynika, że w drugim kwartale bieżącego roku wartość średniego okupu wzrosła o 60 procent! Między innymi z tego powodu Ministerstwo Cyfryzacji chciało przypomnieć przedsiębiorcom jak należy zapobiegać i postępować po zainfekowaniu firmowych komputerów oprogramowaniem szantażującym. Środki zapobiegawcze zostały opisane w osobnym artykule, (link). Natomiast w przypadku ataku Ministerstwo radzi, aby podjąć niezwłocznie opisane niżej krok:

Komputery i inne urządzenia

  • Natychmiast odłącz zainfekowane komputery, laptopy lub tablety od wszystkich połączeń sieciowych, zarówno przewodowych jak też bezprzewodowych.
  • W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja. Zastanów się, czy w bardzo poważnym przypadku konieczne może być wyłączenie Wi-Fi i wyłączenie połączeń sieci bazowej (w tym przełączników sieciowych).
  • Zresetuj poświadczenia, w tym hasła (szczególnie dla administratorów), ale sprawdź, czy nie blokujesz systemów niezbędnych do odzyskiwania danych.

Zgłoszenie incydentu

  • Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).
  • Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj plik z okupem albo zaszyfrowany plik.
  • Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.
  • Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl/.W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Przywracanie danych z kopii zapasowej

  • Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.
  • Przed przywróceniem danych z kopii zapasowej sprawdź, czy kopia jest wolna od oprogramowania malware i ransomware. Dane należy przywrócić tylko z kopii zapasowej, jeżeli jesteśmy pewni, że kopia zapasowa nie jest zainfekowana.
  • Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Niestety, nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc – może się udać tylko jeśli przestępca popełnił błąd.

Uwaga! Istnieją „firmy od odzyskiwania danych”, które są oszustami. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać –jak już dawać się okraść, to tylko raz na infekcję. Pamiętaj, że tacy „pośrednicy” też popełniają przestępstwo.

Po odzyskaniu danych z kopii zapasowej

  • Podłącz urządzenia do niezainfekowanej sieci, aby pobrać, zainstalować i zaktualizować system operacyjny i całe inne oprogramowanie.
  • Zainstaluj, zaktualizuj i uruchom oprogramowanie antywirusowe.
  • Połącz się ponownie z siecią.
  • Monitoruj ruch w sieci i uruchamiaj skanowanie antywirusowe, aby stwierdzić, czy nadal występuje infekcja.
  • Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania)
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 4 / 5. Liczba głosów: 1

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]