Přeskočit na obsah

Ransomware prakticky

Z Wikiknih

Samozřejmě nikoliv, jak si pomocí ransomware "vydělávat", ale jak mu předcházet, co dělat v akutní fázi napadení a jaká přijmout následná opatření. Text si neklade za cíl být univerzálním postupem (ani by to nešlo), ale poskytnou alespoň rámcová vodítka.

  • zálohovat

Akutní fáze

[editovat | editovat zdroj]
  1. odpojit od internetu (vypnout všechny externě dostupné služby a síťové porty)
  2. hrozí-li riziko kompromitace zálohovacího serveru, odpojit/vypnout jej jako první
  3. kde to jen lze vytvořit snapshoty systému včetně operační paměti (v případě virtualizací je to výrazně snazší)
  4. odpojit od sítě
  5. kontaktovat a řídit se pokyny (případně jako první krok)
  6. ověřit stav záloh (nejsou-li též zašifrovány)
  7. při dostatečně kompetentním ICT sbírat forenzní materiály
  8. zanalyzovat potřeby organizace, jaké mají nejbližší kritické termíny (např. výplaty) a určit tak pořadí obnovy systémů
  9. postupně zcela reinstalovat napadaná zařízení
  10. z bezpečnostního hlediska zrevidovat síťovou topologii
  11. pomáhající organizace by současně mala odhalit, jak došlo k napadení
  12. učinit příslušná protiopatření a doporučení
    • přikročit k dalším krokům bez jistoty úspěšného vyčištění je "dobrou" cestou k zopakování si celého postupu
  13. zprovoznit síť
  14. oživit co nejaktuálnější neinfikovaná data. Lze se též pokusit dešifrovat napadená (dešifrátory firmy jako ESET, Kaspersky a další vydávají v řádu dnů od nové nákazy)
    • je-li toto zdržení vyhodnoceno jako příliš "drahé", nezbývá než podstoupit riziko platby výkupného
  15. otestovat bezpečnost a zálohy
  16. obnovit provoz a připojit k internetu

Celý postup může být vhodné provést po izolovaných částech dle analýzy potřeb z kroku 8, případně dle síťové topologie

Následná opatření

[editovat | editovat zdroj]

Typické zdroje napadaní

[editovat | editovat zdroj]
  • stažení (e-mail, internet) a aktivace infikovaného dokument/programu uživatelem
  • uživatel navštíví infikovanou webovou stránku a nákaza pronikne přes jeho prohlížeč