Какво трябва да направите при атака, завършила с криптиране на данни

Owned by Vasilena Minkova (Unlicensed)
Last updated: Jun 20, 2023 by Николай Цветанов
2 min read


Винаги е неприятно, когато става дума за атака, завършила с криптиране на данни.
Съвременните атаки използват доста сложни и многопластови техники и често са трудно проследими.

За да получите съдействие от нашият технически екип за разследване на случая е необходимо да ни изпратите запитване за съдействие, като попълните формата тук, съберете и ни прикачите следната информация, от атакувания компютър:

1. Логове, направени с ESET Log Collector, които включват деня на атаката - Как да използвам ESET Log Collector? и ръководството на английски език: How do I use ESET Log Collector?

Трябва да сте имали инсталиран ESET продукт преди инцидента, за да може да бъде събрана полезна информация с тези тулове!

2. Логове събрани с ESET System Vulnerability Checker: ftp://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

Отворете този линк в Windows Explorer или в ftp client и го стартирайте as Administrator

3. Няколко криптирани файла, например 10 MS Office документи (.doc, .xls, .ppt) и по възможност техните оригинални копия.

4. Съобщението, с което ви искат откуп (ransom note). То може да е във формат .html, .txt или под формата на картинка.

5. Ако мислите, че атаката е стартирала от заразен имейл, моля изпратете ни този имейл, запазен в .eml или .msg формат.

Архивирайте цялата събрана информация в .rar , .zip или .7z формат, като задължително защитете архива с парола - "infected" (без кавичките) и ни я изпратете.

В тикета отбележете колко са криптираните машини (компютри, сървъри и т.н) и ни дайте максимално детайлна допълнителна информация за това как смятате, че се е случила заразата.

На база на тази информация, ще опитаме да разберем, защо се е стигнало до инцидента, какъв е типа Ransomware и дали има намерен начин за декриптиране на файловете ви.

За да намалите вероятността от подобни инциденти, екипът на CENTIO #Cybersecurity силно препоръчва:

  • Винаги правете регулярни резервни копия (backup) на данните си.

  • Използвайте VPN или модерно ZeroTrust решение за достъп от външни мрежи към Вашата инфраструктура и ограничете този достъп само до необходимите услуги в мрежата.

  • Защитете акаунтите особено тези с административни права, с многофакторна автентикация и с по-сложни и уникални пароли.

  • Защитете настройките на антивирусната си програма с допълнителна парола.

  • Винаги използвайте актуални версии на приложенията и операционните системи.

 

Свързани материали