(Cyber)ataki z wykorzystaniem ransomware powoduje blokadę lub zaszyfrowanie plików znajdujących się na danym urządzeniu. Ransomware stanowi złośliwe oprogramowanie blokujące dostęp do danych lub systemów w zamian za okup. Taki atak może być poważnym problemem, w szczególności dla działalności firm.
Najlepiej jeszcze przed potencjalnym atakiem ustalić, w jaki sposób postępować w razie wystąpienia ataku typu ransomware, ale w razie braku procedury należy pamiętać, aby działać szybko i ostrożnie, by zminimalizować ewentualne szkody.
1) Izolacja zainfekowanego systemu
W pierwszej kolejności należy odłączyć urządzenie od sieci: Natychmiast należy odłączyć komputer lub serwer od Internetu i lokalnej sieci (odłącz kabel Ethernet lub wyłączyć Wi-Fi), aby zapobiec rozprzestrzenianiu się ransomware. O ile jest to możliwe, należy zidentyfikować zainfekowane urządzenia i sprawdzić, które komputery, serwery lub inne urządzenia zostały zainfekowane.
2) Zaleca się, aby nie płacić okupu
Choć mogą pojawiać się pomysły zapłaty okupu, nie zaleca się płacenia okupu, ponieważ ofiary takiego ataku:
- Nie mają gwarancji odzyskania danych.
- Ryzykują, że sfinansują inne bezprawne działania cyberprzestępców.
- Mogą tym zachęcić do kolejnych ataków.
3) Identyfikacja ransomware
Ofiara ataku ransomware powinna podjąć starania, aby zidentyfikować rodzaj ransomware: W tym celu należy sprawdzić, czy komunikat o okupie zawiera nazwę złośliwego oprogramowania lub inne szczegóły jego dotyczące.
W tym celu skorzystać można z narzędzi online, w tym takich jak No More Ransom, gdzie można sprawdzić rodzaj ransomware i czy istnieje narzędzie do jego odszyfrowania.
Zachować należy kopie plików z okupem. W tym celu należy zapisać wiadomość od przestępców i nazwy zaszyfrowanych plików – to może pomóc w późniejszym czasie ekspertom.
4) Przywrócenie systemu z kopii zapasowej
Jeśli ofiara ataku posiada niedawne kopie zapasowe, będzie mogła przywróć systemy do stanu sprzed ataku. Przed wykorzystaniem kopii zapasowej należy się upewnić, że kopia jest bezpieczna i należy sprawdzić, czy oprogramowanie ransomware nie zainfekowało kopii zapasowych.
5) Usuń ransomware z urządzenia, o ile posiadasz umiejętności techniczne
- Skanowanie antywirusowe: Użyj narzędzi antywirusowych, aby usunąć złośliwe oprogramowanie.
- Tryb awaryjny: Jeśli system nie działa poprawnie, uruchom go w trybie awaryjnym i spróbuj usunąć ransomware.
- Specjalistyczne narzędzia: Niektóre programy oferują dedykowane rozwiązania do usuwania ransomware.
6) Zgłoszenie ataku (incydentu)
W razie ataku typu ransomware należy zawiadomić odpowiednie organy. W Polsce zgłoszenia cyberataku można dokonać w każdym komisariacie policji lub w prokuraturze. Zgłoszenie można dokonać również do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CERT Polska: https://incydent.cert.pl/
Jeśli atak dotyczy przedsiębiorstwa, natychmiast należy poinformować odpowiedzialne osoby, w tym zespoły IT i kierownictwo.
7) Analiza i poprawa bezpieczeństwa
Po usunięciu ransomware i odzyskaniu systemów, kluczowe jest wdrożenie działań zapobiegawczych:
- Aktualizacja oprogramowania: Upewnij się, że system operacyjny, aplikacje i oprogramowanie antywirusowe są aktualne.
- Szkolenia dla użytkowników: Edukuj pracowników lub domowników o zagrożeniach (np. nieotwieranie podejrzanych załączników e-maili).
- Segmentacja sieci: Ogranicz możliwość rozprzestrzeniania się infekcji między urządzeniami.
- Regularne kopie zapasowe: Twórz kopie zapasowe i przechowuj je offline lub w oddzielnej, zabezpieczonej lokalizacji.
- Zastosowanie ochrony przed ransomware: Korzystaj z narzędzi bezpieczeństwa, które oferują ochronę przed atakami tego typu.
8) Konsultacja z ekspertami
W przypadku dużych organizacji lub złożonych ataków, można skontaktować się z ekspertami ds. cyberbezpieczeństwa lub firmą specjalizującą się w reakcjach na tego rodzaju incydenty.
9) Problematyczne sytuacje
Czego unikać przy ataku typu ransomware?
Przy ataku ransomware należy unikać samodzielnego manipulowania zaszyfrowanymi plikami. Takie działania mogą zniszczyć dane lub utrudnić ich odzyskanie.
Należy unikać również podłączania zainfekowanego urządzenia do kopii zapasowej. Ransomware może rozprzestrzenić się na kopię zapasową (backup).
Co zrobić, jeśli ofiara ataku nie posiada kopii zapasowej?
Jeśli kopie zapasowe są niedostępne, a dane są krytyczne, to należy zwrócić się do specjalistów. Eksperci mogą pomóc w analizie i odzyskiwaniu danych.
Można również sprawdzić narzędzia do odszyfrowania. W niektórych przypadkach istnieją darmowe dekryptory dostępne w Internecie.
Stan na dzień: 21 stycznia 2025 roku
Zdjęcie: freepik.com
Cyberlaw by Judyta 