Data herstellen na een ransomware aanval

Wat moet je doen als je slachtoffer bent geworden van een aanval? Moet je de ransomware betalen of niet? Hoe kan ik mezelf ertegen beschermen? Hoewel wij bij Ontrack niet kunnen toveren, kunnen wij vaak hulp bieden. Zelfs als er na een ransomware aanval geen back-up beschikbaar is, moet je de mogelijkheid om data te herstellen nooit uitsluiten. Mogelijke oplossingen zijn afhankelijk van het type opslagmedium of opslagsysteem en het type ransomware.

Klantcase: 400.000 euro losgeld voor 100 servers

Een Europees bedrijf voor beurzen en events ondervond een cyberaanval waarbij 100 van zijn servers gedeeltelijk versleuteld werden. Door de cybercriminelen werd er een losgeld van 400.000,00 euro geëist. De betrokken politie alsmede een internationaal team van security- en forensische-IT experts konden de soort ransomware niet identificeren. Er werd vastgesteld dat de klant direct was aangevallen en er was nog nooit zoiets gezien. De klant had een IBM SAN met 50 schijven en na de forensische analyse bleek dat de data in de LUN’s was verwijderd of overschreven. Dit betrof zes LUN's van 25 TB met verschillende bestandssystemen (vier ReFS en twee met NTFS).

De ingenieurs van Ontrack werden ingezet en zijn erin geslaagd om de logische schade zodanig te herstellen dat 100% van het ReFS-bestandssysteem werd hersteld. Het interne ontwikkelteam van Ontrack heeft vervolgens aangepaste tools gemaakt om het NTFS-bestandssysteem weer samen te stellen en de data te de-dupliceren, zodat data van een Veeam-back-up konden worden gerestored en aan de klant konden worden uitgeleverd.

Wat doe je tijdens een ransomware aanval?

Wat doe je tijdens een ransomware aanval?

Ransomware blijft een hardnekkig probleem dat lastig is te voorkomen. Europol noemt het niet voor niets de grootste cyberdreiging. Maar wat moet je doen als je slachtoffer bent geworden?

Voer de volgende stappen uit:

  1. Schakel alle betrokken systemen uit. Dit voorkomt verdere verspreiding;
  2. Verwijder alle geïnfecteerde systemen van internet;
  3. Zoek de nieuwste back-up zodra het systeem opnieuw is geregistreerd. Daarna kun je snel weer aan de slag;
  4. Neem contact op met een data recovery specialist als je back-up niet werkt.
0800 4 200 008 Neem contact met mij op

Wat is ransomware?

Ransomware is een type malware, ofwel kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas als je losgeld betaalt kun je de computer of de bestanden (misschien) weer gebruiken.

Er zijn drie soorten ransomware:

  • Scareware
    Dit is de eenvoudigste soort ransomware en bestaat uit nep-applicaties of programma's die op antivirus- of optimalisatiesoftware lijken;
  • Lock-screen virus
    Deze gevaarlijkere variant verspreidt een virus die de computer van de gebruiker blokkeert. Vervolgens verschijnt er een tekst op het scherm, waarbij er aan de gebruiker om losgeld wordt gevraagd om de computer te ontgrendelen;
  • CryptoLocker
    Dit is de meest hardnekkige vorm van ransomware die moeilijk te elimineren is. Nadat Cryptolocker toegang heeft tot de computer, infiltreert het in de data- en bestandsstructuur om vervolgens alle inhoud te versleutelen. Cybercriminelen vragen losgeld om de bestanden te decoderen.

Meer informatie over ransomware kun je vinden in onze nieuwste whitepaper: Alles wat je moet weten over ransomware

Lees ook onze tips om een ransomware aanval te voorkomen

Wat is ransomware?

Download ons gratis whitepaper

Alles wat je moet weten over ransomware

Al jaren is er een flinke groei te zien in het aantal ransomware aanvallen. Echter worden de aanvallen steeds intenser, daar waar voorheen bestanden werden versleuteld en tegen betaling weer werden vrijgegeven, zie je nu dat volledige netwerken en apparaten worden gegijzeld. De verwachting is dat dit de komende jaren alleen maar zal toenemen.

In deze whitepaper ontdek je wat ransomware écht is, hoe cybercriminelen te werk gaan, welke soorten ransomware je hebt, hoe je Veeam back-ups kunt beschermen en ransomware aanvallen kunt voorkomen.

Download Whitepaper
A definitive guide to ransomware

Terugblik webinar: Hoe je als organisatie de risico’s van ransomware kunt verminderen

In samenwerking met NetApp hebben wij onlangs een webinar gegeven. Bekijk deze nu terug en kom erachter hoe het hedendaagse dreigingslandschap van ransomware eruit ziet. Kom er daarnaast achter hoe organisaties ransomware kunnen voorkomen, hoe je herstelt van een aanval (op bijvoorbeeld Netapp technologie), wanneer een data recovery bedrijf moet worden betrokken en hoe Ontrack kan helpen.

Ga naar de opname

Casestudy: hoe NetApp technologie ons heeft geholpen om een ransomware infectie op te lossen

 

Een incident waaraan we recent hebben aan meegewerkt, was een laptop die geïnfecteerd was met CryptoLocker ransomware.

CryptoLocker versleutelde een reeks gebruikersbestanden op een laptop, die was verbonden met een bedrijfsnetwerk. Doordat het CIFS (Common Internet Files System) volume was ingesteld om bestanden te delen op een NetApp FAS, kon de schadelijke software infiltreren en andere bestanden versleutelen. Zodra het IT team was ingelicht, was ook de back-up overschreven met versleutelde data.

Het gevolg was dat het bedrijf geen toegang meer had tot de volgende data:

  • 46 schijven;
  • Eén data aggregate;
  • Eén volume geïnfecteerd op een RAID-DP;

Om het herstel te laten doorgaan, hebben onze ingenieurs het aggregate offline gehaald. De klant bracht zijn 46 schijven naar ons lab voor evaluatie en onze ingenieurs moesten aan een oplossing werken.

Ons engineering team:

  • Herbouwde de RAID- groepen over tien verschillende shelves;
  • Bouwde het data aggregate vrijwel opnieuw;
  • Herbouwde het datavolume vrijwel volledig.

Een extra uitdaging bij dit herstel was dat het data aggregate twee weken in gebruik was nadat het incident plaatsvond, waardoor sommige gegevens waren overschreven.

Doordat wij gebruik konden maken van het besturingssysteem van NetApp (OnTap) en het bestandssysteem (WAFL) waren wij in staat om ‘terug te gaan in de tijd’ en niet-gecodeerde kopieën van de data te vinden, samen te voegen en te herstellen.

data recovery ransomware cryptovirussen cryptoware gijzelsoftware: foto Hacker hoodie

Additional Resources

http://www.nomoreransom.org/ - provides decryption software
http://bleepingcomputer.com - good resource site
https://id-ransomware.malwarehunterteam.com/ - can ID different types of ransomware
http://privacy-pc.com/articles/ransomware-chronicle.html - history of ransomware
https://blog.avast.com/avast-releases-four-free-ransomware-decryptors - free decryptors from Avast
https://www.nomoreransom.org/crypto-sheriff.php - can ID different types of ransomware

Begin direct met het herstellen van uw gegevens!

Neem direct contact op met ons team van experts. Ontrack data recovery is geschikt voor iedereen - van de grootste bedrijven en overheidsinstellingen tot de consument die digitale foto's kwijt is geraakt.

0800 4 200 008 Neem contact met mij op