Anweisungen zum Schutz Ihres Computers vor dem Verschlüsselungs-Virus
 Anweisungen zum Schutz Ihres Computers vor dem Verschlüsselungs-Virus |
Anweisungen zum Schutz Ihres Computers vor dem Verschlüsselungs-Virus
Wie man die Auswirkungen eines Verschlüsselungs-Angriffs auf das Unternehmen minimiert.
Wie man die Auswirkungen eines Verschlüsselungs-Angriffs auf das Unternehmen minimiert. In unserem Blog gibt es tausend und einen Artikel darüber, wie man sich vor einer bestimmten Infektion schützt. Aber es kommt auch vor, dass es nicht möglich ist, sich zu schützen, und die Infektion sickert in den Umfang ein. Einige beginnen in diesem Moment in Panik zu geraten — im Gegenteil, Sie müssen einen nüchternen Verstand behalten und so schnell und bewusst wie möglich handeln. Tatsächlich werden Ihre Handlungen bestimmen, ob dieser Vorfall ein riesiges Problem für das Unternehmen oder eine weitere erfolgreich gelöste Aufgabe wird. Lassen Sie uns herausfinden, was und wie zu tun ist, am Beispiel einer Infektion mit einem Verschlüssler.
Teil eins: Wir suchen und isolieren. Also ist das Böse in dein Netzwerk eingedrungen, und du weißt es bereits. Aber er kann bei weitem nicht auf dem gleichen Auto und nicht einmal im selben Büro sein. Suchen Sie also zuerst nach infizierten Computern und Netzwerksegmenten in der Unternehmensinfrastruktur und isolieren Sie sie vom Rest des Netzwerks, damit die Malware andere nicht erwischt. Wie man sucht? Wenn es wenige Maschinen gibt, dann schauen Sie in die Protokolle von Antivirenprogrammen, in EDR und Firewalls. Alternativ - gehen Sie buchstäblich mit den Füßen von Auto zu Auto und überprüfen Sie, wie es dort weitergeht. Wenn es viele Computer gibt, ist es einfacher und bequemer, Ereignisse und Logs im SIEM-System zu analysieren. Es ist immer noch notwendig, danach zu gehen, aber es ist besser, zuerst eine allgemeine Vorstellung zu bekommen. Vergessen Sie nicht, dass es wichtig ist, die Beweise in der Hitze des Kampfes gegen den Verschlüssler nicht zu zerstören, sonst wird es schwierig sein, herauszufinden, wo er herkommt und wo Sie nach anderen Tools der Gruppe suchen müssen, die Ihre Computer angegriffen hat. Im Allgemeinen, achten Sie auf Protokolle und andere Spuren von Malware auf Computern, sie werden immer noch nützlich sein. Nachdem Sie die infizierten Maschinen vom Netzwerk isoliert haben, entfernen Sie am besten die Disk-Images von ihnen und berühren Sie sie nicht mehr, bis die Untersuchung abgeschlossen ist. Wenn ein einfacher Computer nicht möglich ist, machen Sie trotzdem Bilder und speichern Sie einen Speicherabbild — er kann auch bei der Untersuchung nützlich sein. Vergessen Sie auch nicht, alle Ihre Handlungen zu dokumentieren: Dies ist notwendig, um sowohl den Mitarbeitern als auch der ganzen Welt so transparent und ehrlich wie möglich über das Geschehen zu berichten. Aber darüber später.
Teil zwei: Wir säubern und handeln. Nach der Überprüfung des Umfangs haben Sie eine Liste von Maschinen mit Festplatten voller verschlüsselter Dateien sowie Images dieser Laufwerke. Alle Maschinen sind bereits vom Netz getrennt und stellen keine Bedrohung mehr dar. Sie können versuchen, sofort die Wiederherstellung zu übernehmen, aber es ist besser, wie oben erwähnt, sie noch nicht zu berühren, sondern sich mit der Sicherheit aller anderen Betriebe zu befassen. Zuerst sollten Sie den Verschlüssler analysieren, verstehen, wie er zu Ihnen kam und welche Gruppen ihn normalerweise verwenden — das heißt, Sie beginnen aktiv, Bedrohungen zu jagen. Wahrscheinlich erschien der Verschlüssler nicht von selbst, sondern es wurde etwas heruntergeladen — ein Dropper, eine Ratte, ein Trojaner-Downloader oder etwas anderes in diesem Sinne. Dieses «Etwas" muss innerhalb des Netzwerks lokalisiert und entwurzelt werden. Um dies zu tun, führen Sie eine interne Untersuchung durch: Graben Sie sich durch die Protokolle und versuchen Sie zu verstehen, auf welchem Computer der Verschlüssler zuerst erschien und warum er dort nicht aufgehört hat. Finden und zerstören. Nach den Ergebnissen der Untersuchung reinigen Sie zuerst das Netzwerk von komplexen und besonders geheimnisvollen Malware und starten Sie das Geschäft, wenn möglich, erneut. Zweitens, verstehen Sie, was in Bezug auf die Sicherheitssoftware fehlte, und beseitigen Sie diese Lücken. Drittens, schulen Sie die Mitarbeiter, dass sie nicht mehr auf einen solchen Rechen treten und gefährliche Dateien nicht auf Arbeitscomputer herunterladen. Schließlich sollten Sie viertens sicherstellen, dass Updates und Patches rechtzeitig installiert werden — dies ist für IT-Administratoren eine Priorität, da häufig Malware durch Schwachstellen klettert, für die bereits Patches veröffentlicht wurden.
Dritter Teil: Wir beschäftigen uns mit den Konsequenzen. Zu diesem Zeitpunkt gibt es keine Bedrohung mehr im Netzwerk und das Loch, durch das es geklettert ist, auch nicht. Es ist Zeit, sich daran zu erinnern, dass es nach dem Vorfall einen Park von defekten Computern gab. Wenn sie für die Untersuchung nicht mehr benötigt werden, ist es besser, die Maschinen sauber zu formatieren und dann Daten aus einer Sicherung wiederherzustellen, die kurz vor der Infektion erstellt wurde. Wenn es keine Sicherung gibt, müssen Sie versuchen, zu entschlüsseln, was Sie haben. Besuchen Sie die Website No Ransom - es besteht die Möglichkeit, dass es einen Entschlüssler für Ihren Verschlüssler gibt. Wenn Sie es nicht gefunden haben, schreiben Sie an die Unterstützung eines Unternehmens, das Ihnen Dienstleistungen im Bereich der Cybersicherheit bietet. Es ist möglich, dass sie dort helfen können. Es lohnt sich nicht, Ransomware zu bezahlen: Erstens gibt es keine Notwendigkeit, kriminelle Aktivitäten zu sponsern, und zweitens ist die Chance, dass alles entschlüsselt wird, weit von 100% entfernt. Mit hoher Wahrscheinlichkeit wurden Ihre Daten nicht nur blockiert, sondern auch gestohlen — und sie könnten damit drohen, sie zu veröffentlichen. Das ist vielleicht der unangenehmste Teil, aber es ist immer noch nicht notwendig, das Lösegeld zu bezahlen, und das ist der Grund. Angreifer sind standardmäßig gierig, und nachdem Sie bezahlt haben, möchten sie vielleicht mehr. Und es gab schon Fälle, in denen die Einbrecher wenige Monate nach dem Vorfall mit den Worten zurückkamen: «Zahlen Sie mehr, sonst veröffentlichen wir sie noch». Im Allgemeinen, wenn etwas durchgesickert ist, dann denke, dass es bereits veröffentlicht wurde, und bewege dich in deinen Handlungen davon ab. Verschlüsselte Dateien werden übrigens immer noch nicht gelöscht: Wenn es jetzt keinen Decriptor gibt, besteht die Chance, dass er später fertig wird — das ist auch schon passiert. Über den Vorfall muss noch gesprochen werden. Und buchstäblich mit allen: sowohl mit Mitarbeitern als auch mit Aktionären und Regierungsbehörden als auch höchstwahrscheinlich mit Journalisten ... Es ist besser, ehrlich und offen zu sprechen, es wird geschätzt. Ein gutes Beispiel ist der Vorfall beim Industriegiganten Hydro im Jahr 2019, als Vertreter regelmäßig Berichte darüber veröffentlichten, wie sie mit den Folgen des Vorfalls umgehen, und sogar Stunden nach der Infektion eine Pressekonferenz abhielten. Auf jeden Fall warten die PR-Abteilung und die Compliance-Manager auf heiße Tage.
Teil vier: Es ist besser, es nicht zu bringen. Ein großer Cyber-Vorfall ist immer viel Aufhebens und Kopfschmerzen. Und im Idealfall ist es natürlich besser, sie nicht zuzulassen. Um dies zu tun, müssen Sie im Voraus darüber nachdenken, was schief gehen kann, und sich vorbereiten: Einen guten Schutz für alle Endpunkte im Netzwerk (ja, sogar für Smartphones!). Das Netzwerk zu segmentieren und gut konfigurierte Firewalls darin zu haben, ist besser — NGFW oder einige Analoga, die automatisch Daten über neue Bedrohungen erhalten. Beschränken Sie sich nicht auf Antivirenprogramme, der Nutzen in der modernen Welt ist voll von verschiedenen Mitteln, um ernsthafte Bedrohungen zu jagen. Wenn das Unternehmen groß ist, dann implementieren Sie ein SIEM-System, um schneller zu verstehen, wenn etwas schief geht. Schulung von Cybersicherheitspersonal. Regelmäßig und idealerweise interaktiv.