In deze blog vindt u een aantal aandachtspunten voor het omgaan met een ransomware-aanval uit de praktijk.
Wat moet u doen als u bent getroffen door ransomware?
-
Blijf kalm. Overhaaste beslissingen kunnen leiden tot verder gegevensverlies.
-
Controleer uw meest recente set back-ups.
-
Betaal het losgeld niet, want er is geen garantie dat u uw gegevens terugkrijgt.
-
Neem contact met ons op voor advies en om de mogelijkheden voor gegevensherstel te bekijken.
Enkele aandachtspunten die we willen benadrukken:
Blijf kalm, maar snelheid is geboden.
In deze eerste momenten zal de adrenaline waarschijnlijk toeslaan, naast gevoelens van schok, woede en angst. Het is belangrijk om niet in paniek te raken en kalm te blijven terwijl u de situatie beoordeelt. Zodra de versleuteling begint, is het een snel proces. Het kost maar een paar minuten om 100.000 bestanden te versleutelen.
Stop verdere verspreiding! Sluit alle (netwerk)verbindingen.
Zodra u weet dat u bent getroffen door een ransomware-aanval - meestal doordat er een grote melding op het scherm verschijnt - is het essentieel om het geïnfecteerde apparaat of de geïnfecteerde apparaten te isoleren. Verwijder netwerk- en datakabels, USB's en dongels en schakel Wifi en Bluetooth uit om te voorkomen dat het apparaat verbindingen maakt waardoor de dreiging zich kan verspreiden. Het netwerkteam moet zo snel mogelijk op de hoogte zijn om de toegang te beperken en deze verbindingen te verbreken.
Schakel direct om juridisch advies in.
Is het een incident of een datalek dat gemeld moet worden? Ervaren juridisch advies is nodig om te bepalen of en hoe de autoriteiten op een juiste en tijdige manier moeten worden geïnformeerd om te voldoen aan de geldende regelgeving.
Communicatie
Het is belangrijk dat alle communicatie wordt georkestreerd door een centraal punt binnen de organisatie om verkeerde informatie of verwarring te voorkomen. Dit moet een richtlijn omvatten om met niemand in de media te spreken of iets op sociale media te publiceren. PR-aankondigingen moeten zorgvuldig worden voorbereid om te voorkomen dat aandeelhouders, belanghebbenden en de bredere markt ongerust worden.
Zodra een aanval bekend is, moet iedereen in het bedrijf worden gewaarschuwd voor de dreiging. Als iemand vermoedt dat zijn apparaat is geïnfecteerd, moet hij stappen ondernemen om het onmiddellijk van het netwerk te isoleren.
In de hedendaagse verbonden wereld is het ook belangrijk om het bedrijf/de contactpersonen op de hoogte te stellen.
Wachtwoorden opnieuw instellen.
Best practices zeggen ook dat gebruikers al hun wachtwoorden opnieuw moeten instellen - vooral voor zogenoemde priviledged accounts - om te voorkomen dat de cyber crimineel waardevolle gegevens verzamelt die kunnen worden gebruikt om verdere aanvallen uit te voeren.
Controleer uw meest recente back-ups/herstel gegevens van back-ups.
Het bijhouden van een up-to-date back-up is de meest effectieve manier om te herstellen van een ransomware-aanval. Vooral als u de '3-2-1-1-0-regel' volgt - 3 kopieën van de gegevens, opgeslagen op 2 verschillende media, waarvan 1 offline en 1 offsite en geverifieerd dat deze 0 fouten bevat. Als het gaat om het herstellen van gegevens, scan uw gegevens dan eerst op malware en zorg ervoor dat back-ups alleen worden aangesloten op apparaten waarvan bekend is dat ze schoon zijn om herinfectie te voorkomen.
Identificeer het type ransomware.
Als de organisatie al een 'losgeldbrief' heeft ontvangen, kunt u aan de hand van de 'losgeldbrief' op internet zoeken om te zien door wat voor soort malware/ ransomware u bent getroffen, om mogelijke tegenacties te bepalen. Sommige bedreigers hernoemen actieve bestanden met een extra extensie. Noteer die extensie en zoek ook op internet naar meer informatie.
Gebruik de malware scantool op het apparaat, of via het Security Operations Centre van de organisatie, om te helpen identificeren welke ransomware is gebruikt, omdat dit helpt bij het bepalen van de herstelacties die moeten worden ondernomen.
Leg alle stappen vast.
Maak daarnaast aantekeningen over de aanval, inclusief de datum, tijd, bestandsgegevens, eerste tekenen van ransomware, getroffen apparaten, wat u aan het doen was vlak voor de aanval en wanneer uw apparaat was aangesloten. Maak ook foto's en noteer verdachte programma's, bestanden en pop-ups.
Losgeld betalen (geen garantie dat u uw gegevens terugkrijgt)
Cyberbeveiligingsprofessionals en federale instanties zijn het erover eens: betaal het losgeld niet. Onderzoek wijst uit dat slechts 3 op de 5 organisaties weer toegang kregen tot gegevens/systemen, dus er is geen garantie dat u toegang krijgt tot uw gegevens of computer. En zelfs als u uw gegevens terugkrijgt, is er geen garantie dat ze veilig zijn - bij 18% van de ransomware-slachtoffers die de eis betaalden, werden hun gevoelige gegevens nog steeds blootgesteld door slechte actoren op het dark web.
Verwijder de ransomware van uw apparaten
Helaas is het verwijderen van ransomware van apparaten niet zo eenvoudig als klikken op 'verwijderen'. In veel gevallen is een volledige factory reset nodig, wat onomkeerbaar is en het risico op gegevensverlies met zich meebrengt. Daarom is het altijd het beste om de hulp in te roepen van een professional die de juiste decryptie tools kan gebruiken en u veilig terug kan brengen naar de normale gang van zaken. Het is altijd een goede gewoonte om de versleutelde gegevens op te slaan voor het geval internationale politieonderzoeken de criminelen opjagen en specifieke inzichten en codes verzamelen om de juiste decryptie tools te programmeren.
De aanval rapporteren
Deze informatie is van onschatbare waarde om instanties te helpen volgen hoe ransomware-aanvallen zich ontwikkelen om de cybercriminelen te stoppen, te helpen met herstelprogramma's en verdere verspreiding te voorkomen.
Neem contact op met Ontrack voor herstel van data na ransomware-aanval
Neem contact met ons op voor advies en om de mogelijkheden voor gegevensherstel te onderzoeken. Elke ransomware-aanval is uniek en varieert in complexiteit, maar gegevensherstel is mogelijk. Bij Ontrack hebben we een gespecialiseerde verzameling zelf ontwikkelde tools om gegevens te herstellen. Met laboratoria over de hele wereld zijn onze specialisten 24/7 beschikbaar om hulp en ondersteuning te bieden in het ergste geval.
Meer over gegevensherstel na ransomware
Lees ook onze uitgebreide Ransomware-gids
België | Nederlands
Locaties
Zoeken
Terug naar overzicht
