Ați fost victima unui ransomware? Iată 8 lucruri pe care ar trebui să le faceți după atac

de | noiembrie 30, 2021 | Cum să...

Ce este de făcut după un atac ransomware.

Atacurile de tip ransomware s-au înmulțit în ultima vreme! „De ce nu pot să deschid acel document? Calculatorul meu devine din ce în ce mai lent; am nevoie de ajutor!” Totul începe așa, iar apoi primiți un telefon de la echipa IT care vă spune cuvintele pe care sperați să nu le auziți: „Am fost atacați, domnule!” Practic, acestea sunt câteva semne care arată că sunteți victima unui atac ransomware! Vestea bună este că acesta este un loc sigur, unde veți învăța pas cu pas ce trebuie să faceți după un atac cibernetic.

„Ce pot face acum?”, vă veți întreba. În primul rând, nu intrați în panică, pentru că reacția la atac poate schimba totul! În schimb, încercați să luați câteva măsuri inițiale care pot ajuta la protecția datelor.

Ce trebuie să știți despre ransomware?

Pe scurt, ransomware-ul se răspândește, de obicei, prin spam sau e-mailuri de phishing. Deși vă puteți infecta cu ransomware și prin accesarea unor site-uri web sau prin descărcarea unor fișiere diferite. Odată instalat, ransomware-ul blochează fișierele companiei, folosind o criptare puternică, până când aceasta plătește o răscumpărare pentru a le recupera.

Care sunt etapele unui atac tipic de ransomware?

  1. Infectarea – după ce a fost livrat în sistem prin intermediul unui atașament de e-mail, e-mail de phishing, aplicație infectată sau altă metodă menționată, ransomware-ul se instalează în terminal și pe orice dispozitiv din rețea pe care îl poate accesa.
  2. Schimbul securizat de chei – următorul pas are loc atunci când ransomware-ul contactează serverul de comandă și control operat de atacatori pentru a genera chei de criptare care să fie utilizate pe sistemul local.
  3. Criptarea – programul malițios începe să cripteze toate fișierele pe care le poate găsi pe dispozitivele locale și în rețea.
  4. Șantajul – după ce activitatea de criptare este finalizată, ransomware-ul va afișa instrucțiunile de șantaj și de plată a răscumpărării și va amenința că va distruge datele dacă nu se face plata.
  5. Deblocarea – companiile pot plăti răscumpărarea în speranța că infractorii cibernetici pot decripta efectiv fișierele afectate sau pot încerca să se recupereze prin ștergerea fișierelor și sistemelor infectate din rețea și prin restaurarea datelor dintr-o copie de rezervă curată. Din nefericire, negocierile cu infractorii cibernetici sunt adesea un eșec, inclusiv un raport recent a constatat că, deși organizațiile au plătit răscumpărarea, 42% dintre fișierele nu au fost decriptate.

Acum că am aflat ce se întâmplă în timpul atacului, să vedem ce putem face în continuare!

Ce este de făcut în continuare?

Infectarea cu ransomware este o situație foarte neplăcută. Din fericire, există câteva măsuri care se pot lua pentru a minimiza răspândirea și a repara unele dintre daune.

1. Izolarea infectării

  • Preveniți răspândirea infectării la celelalte fișiere prin deconectarea computerului de la rețea (atât prin cablu, cât și prin Wi-Fi) și izolarea hard disk-ului.

2. Identificarea infectării

  • Cu ajutorul instrumentelor de identificare, a probelor pe calculator și a mesajelor. Dar, mai întâi, determinați cu ce tulpină de malware vă confruntați.
  • În mare parte, o puteți recunoaște atunci când vă cere răscumpărarea. Numeroase site-uri specifice vă ajută să identificați ransomware-ul (de exemplu, ID Ransomware).
  • Identificarea acestuia vă va ajuta să înțelegeți ce tip de ransomware este, cum se răspândește, tipurile de fișiere pe care le criptează și opțiunile pe care le aveți pentru eliminare și dezinfectare. De asemenea, vă va permite să raportați atacurile autorităților, ceea ce este recomandabil.

3. Raportarea către autorități

Folosind camera telefonului, capturați cu o fotografie mesajul de răscumpărare de pe ecran. Apoi, poate fi depusă o plângere la FBI, la Internet Crime Complaint Center.

4. Stabilirea opțiunilor

Opțiunile pe care le aveți atunci când sunteți victima unui atac sunt următoarele:

  • încercarea de a elimina malware-ul
  • plata răscumpărării
  • curățarea dispozitivului (dispozitivelor) și reinstalarea de la zero

Plata răscumpărării este, de obicei, considerată o idee proastă, deoarece încurajează mai mult ransomware și, în multe cazuri, deblocarea fișierelor criptate nu are succes. Chiar dacă decideți să plătiți, este foarte posibil să nu vă recuperați datele. Vă rămân două opțiuni: să eliminați programele malware și să restaurați selectiv sistemul sau să ștergeți totul și să îl reinstalați de la zero.

5. Copii de rezervă protejate

Deși copiile de rezervă joacă un rol crucial în remediere, este important să conștientizăm că acestea nu sunt imune la ransomware. O mare parte din programele malițioase moderne vor viza în mod special copiile de rezervă ale unei companii și vor încerca să le cripteze, să le anuleze sau să le șteargă. În acest caz, trebuie să vă protejați copiile de rezervă prin deconectarea de la rețea a dispozitivelor de stocare a copiilor de rezervă sau prin blocarea accesului la sistemele de rezervă până la remedierea problemei.

6. Identificarea sursei

  • După deconectarea dispozitivelor infectate, identificați sursa prin investigarea rețelei dumneavoastră.
  • Dacă sunteți o companie mare, s-ar putea să vi se pară destul de dificil de găsit „pacientul zero”. Prin urmare, va trebui să vă contactați angajații pentru a afla cine a fost primul vizat de atac. Încercați să aflați dacă au accesat un link dintr-un e-mail care a provocat pătrunderea ransomware-ului sau dacă au observat solicitări neobișnuite în browsere.
  • De asemenea, va trebui să determinați ce permisiuni sunt necesare pentru a modifica fișierele și cine are aceste permisiuni.
  • Atunci când ați găsit pacientul zero, este posibilă limitarea infectării, acționând rapid. În orice caz, rețineți că cele mai multe infectări nu sunt observate decât după ce întreaga operațiune este finalizată.

7. Decriptarea fișierelor

  • În funcție de etica atacatorului, este posibil să primiți un instrument de decriptare a fișierelor odată ce răscumpărarea este plătită. Prin urmare, trebuie să utilizați software-ul furnizat de atacator pentru a decripta fișierele.

8. Restaurare sau reluare de la zero

  • Este discutabil dacă o infectare poate fi eliminată în totalitate și în mod eficient. Nu există un decriptor funcțional pentru fiecare ransomware cunoscut. Prin urmare, cu cât software-ul rău intenționat este mai nou, cu atât este mai sofisticat și cu atât mai puțin timp au avut la dispoziție persoanele competente pentru a dezvolta un decriptor.
  • Cel mai sigur mod de a fi siguri că ransomware-ul a fost eliminat din sistem este să ștergeți complet toate dispozitivele de stocare și să reinstalați totul de la zero. În plus, formatarea hard disk-urilor din sistem va asigura că nu vor rămâne urme de programe malware.

Considerații finale

Acum este clar că cel mai bun mod de a răspunde la un atac de ransomware este să evitați să fie activat, în primul rând! Și cum se face asta? Sunt suficiente doar două acțiuni:

  1. Formați angajații pentru a fi atenți
  2. Asigurați-vă că aveți copii de siguranță bune

În acest moment, este important să știți cum ar trebui să reacționați atunci când aveți de-a face cu un atac ransomware pentru a vă proteja afacerea!

ATTRIBUIRE:

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.