Ransomware prakticky

Samozřejmě nikoliv, jak si pomocí ransomware "vydělávat", ale jak mu předcházet, co dělat v akutní fázi napadení a jaká přijmout následná opatření. Text si neklade za cíl být univerzálním postupem (ani by to nešlo), ale poskytnou alespoň rámcová vodítka.

Prevence[editovat | editovat zdroj]

• zálohovat

Akutní fáze[editovat | editovat zdroj]

1. odpojit od internetu (vypnout všechny externě dostupné služby a síťové porty)
2. hrozí-li riziko kompromitace zálohovacího serveru, odpojit/vypnout jej jako první
3. kde to jen lze vytvořit snapshoty systému včetně operační paměti (v případě virtualizací je to výrazně snazší)
4. odpojit od sítě
5. kontaktovat a řídit se pokyny (případně jako první krok)
   • CSIRT nebo jiných příslušných CERT
   • NÚKIB/NCKB
6. ověřit stav záloh (nejsou-li též zašifrovány)
7. při dostatečně kompetentním ICT sbírat forenzní materiály
8. zanalyzovat potřeby organizace, jaké mají nejbližší kritické termíny (např. výplaty) a určit tak pořadí obnovy systémů
9. postupně zcela reinstalovat napadaná zařízení
10. z bezpečnostního hlediska zrevidovat síťovou topologii
    • např. nasadit firewall, uplatnit IDS/IPS detekční mechanismy
11. pomáhající organizace by současně mala odhalit, jak došlo k napadení
12. učinit příslušná protiopatření a doporučení
    • přikročit k dalším krokům bez jistoty úspěšného vyčištění je "dobrou" cestou k zopakování si celého postupu
13. zprovoznit síť
14. oživit co nejaktuálnější neinfikovaná data. Lze se též pokusit dešifrovat napadená (dešifrátory firmy jako ESET, Kaspersky a další vydávají v řádu dnů od nové nákazy)
    • je-li toto zdržení vyhodnoceno jako příliš "drahé", nezbývá než podstoupit riziko platby výkupného
15. otestovat bezpečnost a zálohy
16. obnovit provoz a připojit k internetu

Celý postup může být vhodné provést po izolovaných částech dle analýzy potřeb z kroku 8, případně dle síťové topologie

Následná opatření[editovat | editovat zdroj]

Typické zdroje napadaní[editovat | editovat zdroj]

• stažení (e-mail, internet) a aktivace infikovaného dokument/programu uživatelem
• uživatel navštíví infikovanou webovou stránku a nákaza pronikne přes jeho prohlížeč

Nástroje[editovat | editovat zdroj]

• ESET (např. dekryptor pro CrySiS) - https://www.eset.com/kh/download-utilities/
• Kaspersky Lab - https://noransom.kaspersky.com/