Ransomware prakticky
Vzhled
Samozřejmě nikoliv, jak si pomocí ransomware "vydělávat", ale jak mu předcházet, co dělat v akutní fázi napadení a jaká přijmout následná opatření. Text si neklade za cíl být univerzálním postupem (ani by to nešlo), ale poskytnou alespoň rámcová vodítka.
Prevence
[editovat | editovat zdroj]- zálohovat
Akutní fáze
[editovat | editovat zdroj]- odpojit od internetu (vypnout všechny externě dostupné služby a síťové porty)
- hrozí-li riziko kompromitace zálohovacího serveru, odpojit/vypnout jej jako první
- kde to jen lze vytvořit snapshoty systému včetně operační paměti (v případě virtualizací je to výrazně snazší)
- odpojit od sítě
- kontaktovat a řídit se pokyny (případně jako první krok)
- ověřit stav záloh (nejsou-li též zašifrovány)
- při dostatečně kompetentním ICT sbírat forenzní materiály
- zanalyzovat potřeby organizace, jaké mají nejbližší kritické termíny (např. výplaty) a určit tak pořadí obnovy systémů
- postupně zcela reinstalovat napadaná zařízení
- z bezpečnostního hlediska zrevidovat síťovou topologii
- pomáhající organizace by současně mala odhalit, jak došlo k napadení
- učinit příslušná protiopatření a doporučení
- přikročit k dalším krokům bez jistoty úspěšného vyčištění je "dobrou" cestou k zopakování si celého postupu
- zprovoznit síť
- oživit co nejaktuálnější neinfikovaná data. Lze se též pokusit dešifrovat napadená (dešifrátory firmy jako ESET, Kaspersky a další vydávají v řádu dnů od nové nákazy)
- je-li toto zdržení vyhodnoceno jako příliš "drahé", nezbývá než podstoupit riziko platby výkupného
- otestovat bezpečnost a zálohy
- obnovit provoz a připojit k internetu
Celý postup může být vhodné provést po izolovaných částech dle analýzy potřeb z kroku 8, případně dle síťové topologie
Následná opatření
[editovat | editovat zdroj]Typické zdroje napadaní
[editovat | editovat zdroj]- stažení (e-mail, internet) a aktivace infikovaného dokument/programu uživatelem
- uživatel navštíví infikovanou webovou stránku a nákaza pronikne přes jeho prohlížeč
Nástroje
[editovat | editovat zdroj]- ESET (např. dekryptor pro CrySiS) - https://www.eset.com/kh/download-utilities/
- Kaspersky Lab - https://noransom.kaspersky.com/