Pokud se vaše výpočetníprostředí stane terčem velkého útoku ransomwaru, budete určitě potřebovatpoužít plán pro obnovu po havárii (DR – disaster recovery).
Před zahájenímobnovení systémů je však potřebné infekci zastavit, identifikovat a odstranit. Přílišrychlý přechod do fáze obnovování totiž může ve skutečnosti situaci zhoršit.
Abychom pochopili,proč je to tak, potřebujeme pochopit, jak ransomware funguje.
Jak se ransomware šíří ve vašem prostředí
Je důležitézdůraznit, že cílem ransomwaru bývá jen zřídka infikovat jen jeden systém. Modernívarianty ransomwaru se okamžitě pokusí zjistit a zneužít různé zranitelnostioperačního systému, aby získaly administrativní přístup a dále se šířily sítí.
Útok budekoordinován prostřednictvím řídicích (C&C – command-and-control) serverů akontaktování těchto serverů za účelem získání pokynů je první věc, kterou každávarianta ransomwaru dělá.
Při reakci naaktivní útok ransomwaru je klíčové zablokovat komunikaci s řídicími servery adalší komunikaci mezi infikovanými systémy a zbytkem sítě.
Pokud u vás vsoučasné chvíli neprobíhá kybernetická infekce, je nejvyšší čas vytvořit plánreakce přizpůsobený vaší síti a testovat ho tak často, jak testujete svůjklasický DR plán.
Vyhledání pomoci
V případě velkéhoransomwarového útoku není vhodné situaci čelit osamoceně. Existujídostupné zdroje, které vám pomohou útok zastavit a zotavit se v situaci, kterávypadá jako apokalyptický konec světa, a existují také kroky, které mohoupomoci policii při chytání zločinců. Součástí plánureakce na ransomware by měly být kontaktní informace a prostředky pro využitítakových zdrojů.
Pokud máte zásadyzahrnující pojištění pro kybernetickou oblast, může vám to velmi pomoci. Můževám to například pomoci zkontaktovat specialisty, kteří vám pomohou s řešenímsituace. Kontaktujte je ale nyní, tedy dříve, než by nastal útok, abyste mohlivyužít jejich procesy pro reakci, a vše zdokumentujte ve svém plánu. Pokudtakové zásady nemáte, tak zvažte jejich zavedení.
Měli byste takéokamžitě kontaktovat odpovídající policejní oddělení (potřebujete si tedypředem zjistit kontakty). Jeho úroveň zapojení do konkrétního případu bude dánarozsahem a povahou útoku, ale předání informací o všech útocích jim pomáhá lépereagovat na ransomware. Mají také přístup k nástrojům a zdrojům, které promnoho jiných organizací nejsou k dispozici, což může pomoci zejména vsituacích, kdy útok přichází z jiné země.
Když budete hledatpomoc, dejte si pozor na společnosti, které tvrdí, že pro vás zajistídešifrování dat. Jejich obchodní praktikou bývá zaplatit za vás výkupnéa naúčtovat vám ho. Udělejte si nyní čas, abyste si prověřili firmy, jejichžslužby byste mohli potřebovat při reakci na ransomware.
Zastavte šíření infekce
Zjistěte vše, comůžete, o šíření ransomwaru a zablokujte mechanismy, které ke svému šířenípoužívá. Některé z kroků možná budou vypadat jako extrém, alebudete se muset rozhodnout, co je horší: malý rozsahneplánovaného výpadku nebo riziko velkého neplánovaného výpadku.
Okamžitězablokujte veškerou komunikaci mezi všemi počítači ve svém prostředí. Pokudto nemůžete udělat, alespoň zablokujte komunikaci mezi svou sítí LAN a vnějšímsvětem. To zabrání infikovaným počítačům (ransomwaru) získávatdalší instrukce od řídicích serverů.
Vypněte protokolRDP (Vzdálená plocha), protože je to nejčastější způsob, jak se ransomware šíříuvnitř napadeného prostředí. Nejjednoduššímzpůsobem je změnit klíč registru. Protože jedůležité to udělat co nejrychleji, automatizujte to pomocí prostředíPowerShell.
Změňte hesla správcůa ukončete všechny probíhající administrativní relace. Pokudbyly některé počítače zkompromitovány, zastaví to jejich další poškozování. Ik tomu je nejlepší použít PowerShell.
Všechny tyto úlohymohou trvat dlouho, pokud k nim nepoužijete automatizaci, takže vše potřebnévytvořte a otestujte dříve, než to budete potřebovat.
Po dokončení výšeuvedených akcí je nejbezpečnější všechny počítače vypnout, dokud se nepodařírozlišit, které jsou infikované a které čisté. Je to extrémníkrok, ale absolutně zastaví šíření a další škody, pokud ho uděláte. Také vám toposkytne čas promyslet další kroky.
Identifikujte ransomware
Nejlepšímnástrojem, jak zjistit, která varianta ransomwaru vás zasáhla, je využítprojekt pro identifikaci ransomwaru, který dokáže provést identifikaci pomocívzorku zprávy o výkupném, kterou jste dostali, a pomocí zašifrovaných souborů.
Nainstalujtenástroj pro hledání malwaru do infikovaného počítače a proskenujte ho. Pokudse mu podaří identifikovat ransomware a uložit ho do karantény, udělejte totéžve všech ostatních počítačích ve vašem prostředí. Tento manuální proces by mělbýt prováděn co největším počtem lidí, takže by součástí vašeho plánu proobnovení z útoku ransomwaru mělo být odpovídající školení.
V závislosti natypu ransomwaru nemusí být infikované počítače skenovatelné, protože mohou býtzašifrovány soubory potřebné pro přihlášení do systému nebo pro jeho spuštění. Tytopočítače je potřebné kompletně přemazat a obnovit.
A co samotnéobnovení? To je celé další téma. Prozatím můžete začít společněpracovat na výše uvedených krocích. Plánujte již nyní,abyste byli připraveni, kdyby problém nastal.