Kroky, které je třeba podniknout, pokud jste byli napadeni ransomwarem
Napadení ransomwarem je vážným bezpečnostním incidentem, který může způsobit velké škody. Zde jsou základní kroky, které je nutné podniknout při napadení ransomwarem:
Izolace
Okamžitě izolujte napadený počítač nebo síť od zbytku sítě. To může pomoci zabránit šíření ransomwaru na další počítače nebo servery ve vaší síti.
Oznámení incidentu
- Informujte IT oddělení správce Vaší infrastruktury, nebo bezpečnostní tým ve vaší organizaci o incidentu.
- Případně oznámení místní policii nebo bezpečnostním orgánům může být také vhodné, zvláště pokud je incident součástí většího kybernetického útoku.
Analýza rozsahu celého incidentu
Je nutné provést analýzu v jakém se nyní nacházíme situaci. Co vše bylo zasaženo, zda-li máme šíření ramsomware pod kontrolou. Mohou zaměstnanci pracovat?
Výkupné
V tomto kroku již máme povědomí o požadavcích teroristů. Známe rozsah škod a vyhodnotíme si zda-li musíme, nebo nemusíme vykupné platit.
Obnova systémů
V případě, že existují zálohy. Je možné začít obnovu ze záloh, nebo alespon uvedení systémů do provozu bez veškerých dat.
Bezpečnostní aktualizace
Celou síť je vhodné zabezbečit.
- Application Whitelist
- Tearing
- Nasazení internet gateway/Proxy
- Robustní email filtrace
- Firewall – Filtrace ven i dovnitř
- Robustní zálohování
Prevence
Po řešení incidentu přijměte dodatečná bezpečnostní opatření, jako jsou školení zaměstnanců ohledně phishingových útoků, používání bezpečných hesel, pravidelná zálohování dat a používání bezpečnostního softwaru.