Ransomware best practice checklist

Sledite uputstva: Šta raditi ako se zarazite ransomware-om i Kako da se zaštitite od ransomware-a.

Ransomware best practice checklist

Ransomware je vrsta malvera koja preuzima kontrolu nad mašinom ili fajlovima žrtve, a zatim traži otkupninu za njih. Ransomware postoji od 1989. godine i AIDS trojanca. U prvih nekoliko godina postojanja, ransomware je bio retka pojava. U poslednjih nekoliko godina, međutim, došlo je do prave epidemije ransomwarea. Napadači imaju veliki finansijski motiv da kontinuirano kreiraju nove vrste i varijante ransomwarea kojima će zaraziti što veći broj žrtava, bilo u masovnim, bilo u ciljanim napadima.

Sve prognoze su da će ransomware još dugo postojati kao jedan značajan pravac sajber-napada. Zato budite spremni za odbranu od ove pretnje. Što više posla oko zaštite obavite danas, bićete spremniji sutra. Svaka od sledećih preporuka će vam pomoći da smanjite rizik uspešne ransomware infekcije.

Checklista u slučaju ransomware napada

Checklista u slučaju ransomware napada Ova checklista treba da vam pomogne u slučaju da ste, nažalost, postali žrtva ransomwarea.

Korak 1: Diskonektujte sve

  • a. Isključite računare iz mreže.
  • b. Isključite sve wireless funkcije: Wi-Fi, Bluetooth, NFC.

Korak 2: Utvrdite razmere infekcije; proverite da li je došlo do enkripcije na sledećim mestima

  • a. Mapirani i zajednički diskovi.
  • b. Mapirani i zajednički folderi sa drugih računara.
  • c. Svi uređaji koji služe kao mrežno skladište.
  • d. Eksterni hard diskovi.
  • e. Svi USB uređaji (USB flash, memorijske kartice, povezani telefoni/kamere).
  • f. Cloud skladišta: DropBox, Google Drive, OneDrive itd.

Korak 3: Odredite vrstu ransomwarea

  • a. Koja vrsta/tip ransomwarea je u pitanju? Na primer: Sodinokibi, LockerGoga,Ryuk itd.

Savet: posetite sajt www.nomoreransom.org - ovde na osnovu kriptovanih fajlova možete da odredite koji konkretno ransomware je u pitanju i da li za isti postoji dekriptor.

Korak 4: Izaberite odgovor/reakciju na ransomware infekciju

Sada kada ste saznali razmere infekcije (količinu zaraženih/zaključanih fajlova) i kada znate sa kojom vrstom ransomwarea imate posla, možete doneti kvalitetniju odluku o vašem sledećem potezu.

Reakcija 1: Vraćate fajlove iz backupa

  1. Uklonite ransomware iz zaraženog sistema.
  2. Locirajte backup:
    • a. Proverite da li su tu svi fajlovi koji su vam potrebni.
    • b. Verifikujte integritet backupa (npr. da li ima fajlova koji se ne učitavaju ili su oštećeni).
    • c. Proverite Shadow kopije ako ste u mogućnosti (moguće je da neće pomoći kod novijih vrsta ransomwarea).
    • d. Proverite da li ima ranijih verzija fajlova koje su sačuvane u cloudu (DropBox, Google Drive, OneDrive itd.).
    • e. Ukoliko su vam online backup podaci takođe kriptovani, pređite na vraćanje podataka sa offsite/offline kopije.
  3. Vratite (restore) fajlove iz backupa.

Reakcija 2: Pokušavate da dekriptujete fajlove

  1. Odredite vrstu i verziju ransomwarea ako je to moguće (pogledajte Korak 3.)
  2. Pronađite dekriptor (možda ne postoji za novije vrste).

Ako ste uspeli da ga nađete, napravite sledeće korake:

  1. Povežite sva skladišta koja imaju kriptovane fajlove (hard diskove, USB memorije itd.).
  2. Dekriptujte fajlove.

Reakcija 3: Odlučili ste da ne reagujete (gubite fajlove)

  1. Uklonite ransomware.
  2. Napravite backup kriptovanih fajlova ukoliko se pojavi dekriptor u budućnosti (opciono).

Reakcija 4: Odlučili ste da pregovarate i/ili platite otkupninu napadačima

  1. Ukoliko je moguće, probajte da dogovorite manju cenu otkupnine i/ili duži period isplate.
  2. Utvrdite prihvatljivi način plaćanja za konkretnu vrstu ransomwarea (Bitcoin itd.).
  3. Pripremite se za plaćanje (najverovatnije će vam trebati Bitcoini):
    • a. Pronađite menjačnicu preko koje želite da kupite Bitcoine (vreme je ključno).
    • b. Napravite nalog/wallet i kupite Bitcoine.
  4. Konektujte zaraženi računar na internet.
  5. Instalirajte TOR browser (opciono).
  6. Pronađite adresu za Bitcoin plaćanje. Ona se nalazi ili u ransomware poruci na ekranu ili na TOR sajtu koji je napravljen u ove svrhe.
  7. Platite otkupninu: Prebacite Bitcoine u ransom wallet.
  8. Povežite sve uređaje koji sadrže kriptovane fajlove sa vašim računarom.
  9. Dekripcija fajlova bi trebalo da počne u periodu od 24h nakon plaćanja, a češći je slučaj da se to obavi u prvih nekoliko sati nakon plaćanja.

Korak 5: Kako da se zaštitite u budućnosti

a. Implementirajte Checklistu za prevenciju ransomwarea kako biste sprečili buduće napade.

Checklista za prevenciju ransomwarea

Checklista za prevenciju ransomwarea

Ako ne želite da postanete žrtva ransomwarea, ili ne želite da se ponovo nađete u situaciji da su vaši podaci taoci sajber kriminalaca, savetujemo vam da primenjujete sledeće preventivne korake:

Prva linija odbrane: Korisnici

  1. Implementirajte odgovarajući edukativni trening o bezbednosnim opasnostima kako bi korisnici znali kako da spreče preuzimanje i/ili izvršavanje opasnih aplikacija.
  2. Sprovedite simulaciju phishing napada kako bi upoznali korisnike sa aktuelnim pretnjama.

Druga linija odbrane: Softver

  1. Proverite da li imate Next Generation firewall (i da li je u funkciji). Next Generation firewall, poput Palo Alto Networks PAN Next Generation Firewall, je danas postao standard, a vreme MikroTika i klasičnih Cisco firewall-a je prošlo, oni praktično samo troše struju i zagrevaju prostoriju.
  2. Implementirajte antispam i/ili antiphishing. Ovo možete uraditi ili pomoću softvera ili preko hardvera namenjenog isključivo za te svrhe, poput Fortinet uređaja ili preko cloud servisa, kao što je Symantec Email Security.cloud.
  3. Proverite da li svi zaposleni u organizaciji koriste neki od vrhunskih antivirus softvera (i da li se redovno ažuriraju), odnosno antivirusa sledeće generacije, kao što je Symantec Endpoint Security.
  4. Implementirajte polise za restrikciju softvera u vašoj mreži kako biste sprečili pokretanje neautorizovanih aplikacija (opciono).
  5. Implementirajte rigoroznu proceduru zakrpa kojom se ažuriraju pojedine i sve aplikacije koje imaju ranjivosti.
  6. Implementirajte centralizovano nadgledanje i praćenje događaja (SIEM), analizu i odgovarajuće akcije/reakcije na iste.

Treća linija odbrane: Backup

  1. Implementirajte backup rešenje – softversko, hardversko ili oba.
  2. Barem jednu kopiju backup-a čuvajte offline/offsite.
  3. Proverite da li su backupovani svi fajlovi koji su vam potrebni , uključujući i fajlove iz mobilnih uređaja i sa USB-a.
  4. Proverite da li su fajlovi na sigurnom, da li su redundantni i da li im se može jednostavno pristupiti.
  5. Redovno testirajte funkcionalnost vraćanja (recovery) fajlova pomoću backup/restore procedura. Testirajte integritet fajlova u fizičkom backupu i jednostavnost vraćanja fajlova (ease-of-recovery) iz online i/ili softverskih backupa.

Zaključak

Borba protiv ransomwarea je neprekidan proces i sve provere moraju da se vrše redovno. Redovno ažuriranje softvera i znanja korisnika, kroz edukaciju o pretnjama, od ključne su važnosti za uspešnost borbe protiv ove, ali i mnogih drugih sajber pretnji.

Za smanjenje rizika od sajber napada potražite pomoć profesionalaca, kao što je Net++ technology, poželjno i pre nego što vas ransomware zadesi!