بعد از حمله باج‌افزار چه کنیم؟

فایل‌های شما رمزگذاری شد!

چگونه می‌توان عواقب حمله باج افزارهای سازمانی را به حداقل رساند؟

شما هزار و یک مقاله درباره حفاظت از شبکه خود در برابر هر تهدیدی خوانده‌اید. اما گاهی اوقات، با وجود همه اقدامات احتیاطی، یک راه نفوذ پیدا می‌شود. اکنون زمان حفظ خونسردی و اقدامات سریع و قاطع است. عکس العمل شما کمک خواهد کرد تا تعیین کنید که آیا این حادثه به یک دردسر بزرگ برای شرکت تبدیل شده باشد یا خیر.

همانطور که مراحل ریکاوری را طی می‌کنید، فراموش نکنید که همه اقدامات خود را به صورت مستند جمع‌آوری کنید تا کارمندان خودتان و هر فرد دیگری بتواند به صورت شفاف آن‌ها را مطالعه کند. و سعی کنید هر مدرکی راجع به باج افزار، برای تلاش‌های بعدی برای یافتن ابزارهای مخرب دیگری که سیستم شما را هدف قرار داده‌اند، حفظ کنید. این به معنای ذخیره سیاهه‌های مربوط و سایر آثار بدافزار است که ممکن است در تحقیقات بعدی به کار شما بیایند.

مکان‌یابی و جداسازی

اولین قدم شما تعیین میزان نفوذ است. آیا بدافزار در کل شبکه پخش شده؟ به بیش از یک سیستم نفوذ کرده؟

با جستجوی کامپیوترهای آلوده و بخش‌های شبکه در زیرساخت‌های شرکت شروع کنید و بلافاصله آن‌ها را از بقیه شبکه جدا کنید تا آلودگی محدود شود.

اگر این شرکت رایانه‌های زیادی ندارد، با سیاهه‌های مربوط به آنتی ویروس، EDR و فایروال شروع کنید. روش دیگر، برای سیستم‌های بسیار محدود، این است که به طور فیزیکی از یک دستگاه به دستگاه دیگر بروید و آن‌ها را بررسی کنید.

اگر سیستم‌های زیادی مورد بحث باشد، باید وقایع و گزارشات مربوط به سیستم SIEM را تجزیه و تحلیل کنید. البته این کار، مانع دوندگی‌های دیگر نخواهد شد، اما شروع خوبی است.

پس از جداسازی دستگاه‌های آلوده از شبکه، یک image از دیسک آن‌ها ایجاد کنید و در صورت امکان این دستگاه‌ها را تا پایان تحقیقات ایزوله کنید. (اگر شرکت امکان تعطیلی سیستم‌ها را نداشته باشد، به هر حال image دیسک بسازید – و حافظه را برای بررسی نگه دارید.)

تجزیه و تحلیل کرده و اقدام کنید

پس از بررسی محیط، اکنون لیستی از دستگاه‌های دارای دیسک پر از فایل‌های رمزگذاری شده، به علاوه image آن دیسک‌ها را در اختیار دارید. همه آن‌ها از شبکه جدا شده‌اند و دیگر خطری ندارند. می‌توانید بلافاصله فرایند بازیابی را شروع کنید، اما ابتدا به امنیت بقیه شبکه توجه کنید.

اکنون زمان آن است که باج افزار را تجزیه و تحلیل کنید، بفهمید که این برنامه چگونه وارد شده و چه گروه‌هایی معمولاً از آن استفاده می‌کنند – یعنی فرایند شکار تهدید را شروع کنید. باج افزار به سادگی ظاهر نمی‌شود و ممکن است Dropper، RAT، حامل تروجان یا موارد مشابه، آن را نصب کرده باشند. باید آن را ریشه یابی کنید.

برای انجام این کار، یک تحقیق داخلی انجام دهید. در سیاهه‌های مربوط جستجو کنید تا مشخص شود کدام یک از رایانه‌ها ابتدا مورد حمله قرار گرفته است و چرا آن رایانه نتوانسته است حمله را متوقف کند.

بر اساس نتایج تحقیقات، شبکه را از شر بدافزار مخفی پیشرفته خلاص کرده و در صورت امکان، عملیات تجاری را مجدداً راه اندازی کنید. سپس، بفهمید چه چیزی آن را متوقف کرده است: از نظر نرم افزار امنیتی چه چیزی از دست رفته است؟ این ایرادها را برطرف کنید.

در مرحله بعد، به کارمندان در مورد آنچه اتفاق افتاده هشدار دهید، آن‌ها را در مورد کشف چنین دام‌هایی و اجتناب از آن‌ها آگاه کنید و به آن‌ها اطلاع دهید که آموزش آن‌ها ادامه‌دارخواهد بود.

سرانجام، از اینجا به بعد، به روزرسانی‌ها و پچ‌ها را به موقع نصب کنید. به روزرسانی‌ها و مدیریت پچ یک اولویت اساسی برای مدیران فناوری اطلاعات است. بدافزار اغلب از طریق آسیب پذیری‌هایی که در پچ‌های آن موجود است، نفوذ می‌کند.

فرمت و بازیابی کنید

در این مرحله، شما تهدیدی که برای شبکه ایجاد شده و همچنین راه نفوذی که به دلیل آن پدیدار شده است را مدیریت کرده‌اید. اکنون توجه خود را به رایانه‌هایی که از کار افتاده‌اند معطوف کنید. اگر درایوها دیگر برای بررسی مورد نیاز نیستند، آن‌ها را فرمت کنید. سپس از جدیدترین داده‌ها، نسخه پشتیبان تهیه کنید.

اگر هیچ نسخه پشتیبانی ندارید، باید سعی کنید هر آنچه که در درایو است، رمزگشایی کنید. از وب سایت Kaspersky’s No Ransom شروع کنید، جایی که ممکن است رمزگشایی از قبل برای باج افزاری که با آن روبرو شده‌اید وجود داشته باشد – و در غیر اینصورت، در صورت در دسترس بودن با ارائه دهنده امنیت سایبری خود تماس بگیرید. در هر صورت، فایل‌های رمزگذاری شده را حذف نکنید! هر چند وقت یکبار رمزگشاهای جدیدی ارائه می‌شوند که ممکن است بتوانید با استفاده از آن‌ها، فایل‌های خود را رمزگشایی کنید.

صرف نظر از مشخصات، هزینه‌ای به این باج افزارها پرداخت نکنید.

در این صورت، شما حامی فعالیت مجرمانه هستید و به هر حال احتمال رمزگشایی داده‌های شما زیاد نیست. علاوه بر مسدود کردن داده‌های شما، مهاجمان باج افزار ممکن است آن‌ها را برای اهداف باج گیری به سرقت برده باشند. سرانجام، پرداخت به مجرمان اینترنتی آن‌ها را ترغیب می‌کند که مطالبات بیشتری داشته باشند. در برخی موارد، فقط چند ماه پس از پرداخت، مهاجمان دوباره خواستار پول بیشتر شده و تهدید به انتشار همه چیز می‌کنند مگر اینکه پول بیشتری بگیرند. به طور کلی، داده‌های به سرقت رفته را در نظر داشته باشید و آماده مقابله با داده‌های منتشر شده باشید.

اقدامات پیشگیرانه انجام دهید

یک حمله بزرگ سایبری همیشه مساوی با دردسری بزرگ است و پیشگیری بهترین درمان به شمار می‌آید. بنابراین از قبل برای این اتفاقات آماده شوید:

  • محافظ قابل اطمینان را در تمام اندپوینت‌های شبکه (از جمله تلفن‌های هوشمند) نصب کنید.
  • شبکه را تقسیم‌بندی کرده و با فایروال‌های پیکربندی شده خوب تجهیز کنید. بهتر است از یک فایروال نسل بعدی (NGFW) یا یک محصول مشابه استفاده کنید که به طور خودکار اطلاعات مربوط به تهدیدهای جدید را دریافت می‌کند.
  • به غیر از آنتی ویروس‌ها، از ابزارهای قدرتمند شکار تهدید استفاده کنید.
  • برای هشدارهای فوری، یک سیستم SIEM (برای شرکت‌های بزرگ) مستقر کنید.
  • با جلسات منظم تعاملی، کارمندان را برای آگاهی از امنیت سایبری آموزش دهید.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دوره هکر قانونمند