פרוצות רנסום ושחזור נתונים: מבט כולל

מדריכים

עקב אובדן הנתונים והפסקת השירות שהם גורמים, התקפות רנסום הן איום מסוכן עבור עסקים בכל תעשייה. כפי שדיווחה Sophos, הפוגע הממוצע בשנת 2023 הגיע ל־1.54 מיליון דולר. לצערנו, עוצמתן של התקפות רנסום מתרססת משנה לשנה. כולם נמצאים בסיכון. לאחר התקנתה על מחשב, הרנסום מוחק או משחית נתונים באמצעות אלגוריתמי הצפנה חזקים.

הפושעים הרשעים שעומדים מאחורי הרנסום בדרך כלל דורשים סכום כסף (כסף כופר) כדי לשחרר את הנתונים ולהחזירם לזמינות. אך, בנוסף להמראה של פושעים, התשלומים הללו אינם מבטיחים קבלת גישה מלאה לנתונים שניתן להשתמש בהם. פוסט הבלוג הזה מסביר כיצד לשחזר מהתקפת רנסום בצורה אפקטיבית מבלי לעשות עסקאות עם התוקפים.

מה לעשות לאחר התקפת רנסום

למרות הצעדים המניעים הרבים שזמינים, קיימת עדיין אפשרות שארגונך ייפול קורבן להתקפת רנסום. הפרקטיקות הבאות יכולות לעזור לך לקטן את ההשפעה של התקפת רנסום כאשר זו קורת עליה. אם מחשביך נגועים ברנסום, עקוב אחרי ההמלצות הללו לפני שתחזיר קבצים מרנסום.

  • התנתק מהמכשיר המודד. מיד לאחר שאתה זוהה כי מכשיר נדבק בתוכנת זדון, עליך להתנתק מיד מהרשת ומהתקני אחסון חיצוניים. בכך, תוכל לוודא שמכונות ומערכות אחרות בתשתית שלך לא יידבקו גם. השלב הזה מאפשר לך לשמור על נתונים שלא נפגעו ולהפחית את הכמות של העבודה הנדרשת לשחזור קבצים מתוך רנסום.

    אחרי זאת, זהה את מספר המכונות שנפגעו באופן באמת מהתקפת הרנסום וחפש פעילות חשודה בתשתית שלך.

  • זהה את סוג הפושע הסבבה. דבר עם האדם שזיהה את הבעיה בתחילה. שאל מה הם עשו לפני האירוע, האם קיבלו דואר אלקטרוני עם קבצים מסוכנים, ואילו קבצים הם הורידו לאחרונה. לזהות את סוג הפושע הסבבה סופקת מידע יקר שניתן להשתמש בו כדי לזהות חולשות במערכת ההגנה על הנתונים שלך ולשנות אותה להתאם.

    בנוסף, אם תצליח לקבוע את סוג הפושע הסבבה, תוכל לדעת בדיוק איך הקבצים שלך מושפעים (כלומר, האם הם מוצפנים או נעולים). אז תוכל להבין את ההשלכות הפוטנציאליות של אי תשלום הכופר, ואיזה אסטרטגיה צריך להשתמש בה כדי לשחזר בהצלחה מהתקפת הפושע הסבבה.

  • לדווח על התקלה. בעת הכשרת העובדים, הסבר לצוות שלך כי חשוב להודיע לצוות תמיכה בטכנולוגיות המידע על כל פעילות חשודה במחשביהם. בכך, מקצוענים בטכנולוגיות המידע יכולים להגיב לתקיפת פשע המחשב בזמן לפני שנגרם נזק רציני. לאחר מכן, דווח על תקיפת הפשע המחשבי לרשויות (לדוגמה, ל-FBI אם אתה בארצות הברית) וספק להם את כל המידע הנדרש על האירוע. הדיווח לרשויות עשוי לעזור למנוע התקפות עתידיות על ידי הפעל(ים) אותו פשע המחשב.
  • אל תשלם את הכופר. גורמי חוק ממליצים כי לא להסכים לדרישות התוקפים משום שזה מעודד עוד התקפות פשע המחשב בעתיד. האקרים שמחפשים להרוויח מהיר יראו בך כמטרה קלה להתקפות המחשב שלהם. בנוסף, ברוב המקרים, שלם את הכופר אינו מבטיח שהתוקפים יפתחו או יפעילו מחדש מידע כפי שהובטח. זכור כי אתה עוסק עם פושעים שרק מעוניינים ברווח.
  • זהה את השפעת התקפת פשע המחשב. עליך לקבוע כמה נתונים נפגעו, כמה מחשבים נדבקו כתוצאה מהתקפה וכמה זמן ייקח לשוחזר מהתקפה. בנוסף, ערך את החשיבות של הנתונים הלא זמינים וקבע האם ניתן לשחזר אותם בלי לשלם את הכופר.
  • שחזר את המערכת שלך מפשע המחשב. לאחר הסרת פשע המחשב מהמחשבים שלך, תוכל להתחיל בשחזור התקפת פשע המחשב.

אפשרויות שחזור לקבצים מוצפנים על ידי פשע המחשב

ישנם שיטות מרובות לשחזור נתונים לאחר התקפת רנסום. יעילותן של השיטות אלו משתנה בהתאם למצב.

שימוש בכלים מובנים במערכת ההפעלה שלך

אם אתה משתמש ב- Windows 10, תוכל לנסות להשתמש בכלי שחזור מערכת Windows כדי לשחזר הגדרות מערכת והגדרות תוכניות מנקודת שחזור שנוצרה אוטומטית. לא ניתן לשחזר את כל הנתונים באמצעות השיטה הזו. רנסום מודרני יכול לנטרל את שחזור המערכת ולמחוק או לפגום בנקודות שחזור של Windows. במקרה כזה, השיטה הזו אינה יעילה.

שימוש בכלי פיצוח רנסום

אם זיהית את הסוג והגרסה של הרנסום, תנסה למצוא את כלי הפיצוח המסופק על ידי חוקרי אבטחה. כלי הפיצוח אינם זמינים לכל גרסת רנסום. גם נדיר יותר למצוא כלי פיצוח בימינו.

שימוש בתוכנה לשחזור קבצים שנמחקו

אם הרנסום לא דרס על קבצים בכונן ומילא את פני הכונן באפסים או נתונים אקראיים, יש סיכוי שתוכל לשחזר חלק מהנתונים החיוניים. סריקת פני הכונן דורשת זמן רב. שמות הקבצים לאחר השחזור עשויים להיאבד, ושמותיהם עשויים להיות כמו RECOVER0001.JPG, RECOVER0002.JPG, וכו'

שחזור נתונים מגיבוי

הנקודה העיקרית של שיטה זו היא שעליך להתכונן מראש ולא לחכות עד שגידול פשע דיגיטלי ידבק במכשיריך. אם לא יצרת גיבוי לפני התקפת גידול פשע דיגיטלי, שיטה זו לא תחול. עליך להתכונן מראש ולעשות גיבוי לנתונים בקצבים קבועים. המומחים בגיבוי ממליצים לעקוב אחר כללי ה-גיבוי 3-2-1 ולאחסן את הגיבויים במקום חיצוני ו/או לא מקוון לצורך שחזור מתקפת גידול פשע דיגיטלי. ניתן להשתמש בענן, סרט ו/או אחסון גיבוי לא ניתן לשנות לצורך זה.

הדרך הטובה ביותר ליצירת גיבויים היא להשתמש בפתרונות הגנת נתונים מיוחדים שתומכים בסוגים שונים של עומסי עבודה ואינם מאפשרים לך ליישם את כלל הגיבוי 3-2-1.

פתרון כזה הוא NAKIVO Backup & Replication. הפתרון של NAKIVO מאפשר לך לשפר את ביצועי הגיבוי, להבטיח את אפשרות שחזור הנתונים ולשפר את שחזור מתקפת גידול פשע דיגיטלי. הפתרון תומך בהגנת נתונים עבור שרתים פיזיים, מכונות וירטואליות (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), מופעי Amazon EC2 ו-Microsoft 365. עם הפתרון, ניתן לך:

  • ביצוע גיבוי תמונה מבוסס יישום, גיבוי רגיל, ושימור.
  • יצירת עותקי גיבוי בקלות מבלי להשתמש במארחי המקור או במכונות וירטואליות (VMs).אחסון גיבויים באתר רחוק, בענן ציבורי או בסרט.
  • שמור גיבויים באתר מרוחק, בענן ציבורי או בסליל.
  • הפעל אי-ניתוח עבור מאגרים מקומיים מבוססי Linux או בענן Amazon S3.
  • בחר בין מספר שיטות התאוששות גמישות, כולל התחלת VM מיידית, שחזור גרנולרי ושיחזור P2V של מכונות פיזיות כ-VMware vSphere VMs.
  • יצור זימונים להתאוששות מהפגמים על ידי שיערוך פעולות ותנאים שונים לרצף אוטומטי.

כמה זמן לוקח להתאוששות מרנסוםר?

הזמן הנדרש להתאוששות מהפלטפורמה הממוקמת ברנסום תוקף תלוי בכמות הנתונים המוחלשים במחשבים הנגועים ובשיטה המשמשת להתאוששות מהרנסום. כשאנו מעריכים את הזמן הדרוש להתאוששות מהתקפת רנסום, אנו מתכוונים לשחזור הנתונים ולקבלת כל המערכות ברשת עם משאבים שהוחזרו.

הזמן לשחזור נתונים ולהשבת משאבים יכול להשתנות מימים לחודשים. בואו נבחן את הגורמים העיקריים המשפיעים על זמן ההתאוששות.

  • A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.
  • שימוש בכלי עיבוד (אם תמצא אחד עבור גרסת רנסום מסוימת) עשוי לארוך זמן רב. אם שמות הקבצים שונו גם כן לאחר ההצפנה (כמו sLc6-fAl26m.nSeB2 במקום image001.jpg), זה ייקח עוד יותר זמן לשים אותם במדרכים הנכונות לאחר השחזור. יש לכבד את המבנה הנכון של הקבצים והמדרגות, במיוחד אם הקבצים אלה נדרשים לעבודת היישומים.
  • יש לך גיבוי נתונים יורד את הזמן שנדרש לשחזור קבצים ושרתים מפני רנסומוור. היתרון של החזרת קבצים מגיבוי לאחר התקפת רנסומוור הוא שאתה משיג נתונים מובנים, כולל שמות קבצים ותיקיות עם הנתיב הנכון שלהם. עליך לבחור גיבוי לתאריך/שעה המתאימים ולבחור את המיקום היעד שבו תרצה לשחזר נתונים. אז פשוט תמתין עד שהנתונים יועתקו וישוחזרו.
  • בנוסף, פתרונות גיבוי כמו NAKIVO Backup & Replication מתבססים על טכנולוגיית תמונה לפי תמונה כדי ללכוד גיבויים של מכונות VM ופיזיות. זה אומר שהגיבוי מכולל את מערכת ההפעלה וקבצים אחרים הקשורים למערכת ההפעלה, כגון קבצי הגדרות יישום ומצב המערכת, וזה עוזר לך לחסוך זמן בהפעלת המערכות מחדש.
    בדיקה לא מספיקה של תוכנית שחזור מפני רנסומוור יכולה להוביל לזמני שחזור נתונים ארוכים מאשר הצפוי. לכן, תמיד נסה לבדוק את תוכנית השחזור שלך כדי לוודא שניתן לשחזר את כל מה שצריך בזמן המתאים.

שים לב שכאשר אתה יוצר אסטרטגיית שחזור במקרי אסון שכוללת תוכנית שחזור מפני רנסומוור, עליך לקחת בחשבון את המדדים של זמן השחזור (RTO) ונקודת השחזור (RPO).

תסריט שחזור מפני רנסומוור הוא תהליך מורכב הכולל שחזור של נתונים ושחזור של מעמד עבודה. עלויות וזמן השחזור מפני רנסומוור תלויים בכמות ההכנה שנכנסת לאסטרטגיה של הגיבוי והשחזור מתקפות רנסומוור.

הדרך העיקרית להפחתת בעיות שנגרמות על ידי תקיפות רנסום היא לעקוב אחרי צעדים מניעים ולגבות נתונים באופן קבוע. יש לעקוב אחרי כלל 3-2-1 לגבי גיבויים, ולהשתמש באחסון גיבויים לא משתנה ובפתרון אמין להגנת נתונים שיכול לאוטומט פעולות.

Source:
https://www.nakivo.com/blog/best-ways-recover-ransomware/