O ransomware w polskich gminach, czyli historie z happy endem i bez

[Grandalf]

Ratunku, zaszyfrowałem się
Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

1. Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).
2. W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.
3. Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).
4. Odwiedź stronę
   Zaloguj lub Zarejestruj się aby zobaczyć!
   , gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.
5. Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.
6. Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z
   Zaloguj lub Zarejestruj się aby zobaczyć!
   . W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.
7. Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.
8. Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję
9. Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!