Ransomware-aanvallen en gegevensherstel: Complete overzicht

Na een ransomware-aanvalhet gemiddelde losgeld in 2023 bedraagt $1.54 miljoen volgens Sophos. Helaas nemen de intensiteit van ransomware-aanvallen jaar op jaar toe. Iedereen loopt risico. Na installatie op een computer verwijdert of corrigeert ransomware gegevens met behulp van sterk versleutelingsalgoritmen.

De kwaaddoeners achter ransomware eisen doorgaans een bedrag (losgeld) om de gegevens vrij te geven en weer beschikbaar te maken. Maar, naast het aanmoedigen van criminelen, garanderen deze betalingen niet dat u toegang krijgt tot bruikbare gegevens. In dit blogbericht wordt uitgelegd hoe u efficiënt herstelt van een ransomware-aanval terwijl u transacties met aanvallers vermijdt.

Wat te doen na een ransomware-aanval

Ondanks de talrijke preventieve maatregelen is er nog steeds kans dat uw organisatie slachtoffer wordt van een ransomware-aanval. De volgende handelingen kunnen helpen de impact van een ransomware-aanval te minimaliseren wanneer en als deze zich voordoet. Als uw machines besmet raken met ransomware, volg dan deze aanbevelingen voordat u bestanden herstelt van ransomware.

• Koppel het geïnfecteerde apparaat los. Zodra je detecteert dat een machine is geïnfecteerd met malware, moet je het apparaat onmiddellijk loskoppelen van het netwerk en externe opslagapparaten. Op deze manier kun je ervoor zorgen dat andere machines en systemen in je infrastructuur niet ook geïnfecteerd raken. Deze stap stelt je in staat onaangetaste gegevens te behouden en de hoeveelheid werk die nodig is om bestanden te herstellen van ransomware te verminderen.

  Nadat dat is gebeurd, identificeer het aantal machines dat daadwerkelijk is getroffen door de ransomware-aanval en zoek naar verdachte activiteiten in je infrastructuur.

• Identificeer het type ransomware. Praat met de persoon die het probleem als eerste heeft opgemerkt. Vraag wat ze aan het doen waren voordat het incident plaatsvond, of ze e-mails met verdachte bijlagen hadden ontvangen, en welke bestanden ze recentelijk hadden gedownload. Het identificeren van het type ransomware levert waardevolle informatie op die kan worden gebruikt om kwetsbaarheden in uw gegevensbeschermingssysteem te identificeren en dienovereenkomstig aan te passen.

  Bovendien, als het je lukt om het type ransomware te bepalen, kun je precies weten hoe je bestanden worden beïnvloed (dat wil zeggen, of ze zijn versleuteld of vergrendeld). Dan begrijp je de mogelijke gevolgen van het niet betalen van het losgeld, en welke strategie moet worden gebruikt om succesvol te herstellen van de ransomware-aanval.

• Rapporteer het probleem. Bij het uitvoeren van werknemerstraining, leg aan uw personeel uit dat het belangrijk is om verdachte activiteiten op hun machines te melden aan het IT-ondersteuningsteam. Op deze manier kunnen IT-professionals reageren op de ransomware-aanval voordat er ernstige schade wordt aangericht. Meld vervolgens de ransomware-aanval aan de autoriteiten (bijvoorbeeld de FBI als u zich in de Verenigde Staten bevindt) en voorzie hen van alle noodzakelijke informatie over het incident. Het melden aan de autoriteiten kan helpen om toekomstige aanvallen door dezelfde ransomware-actoren te voorkomen.

• Betaal het losgeld niet. Wetshandhavingsfunctionarissen adviseren tegen het voldoen aan de eisen van de aanvallers omdat dit in de toekomst nog meer ransomware-aanvallen aanmoedigt. Hackers die snel geld willen verdienen, zullen u zien als een gemakkelijk doelwit voor hun toekomstige aanvallen. Bovendien garandeert het in de meeste gevallen betalen van het losgeld niet dat de aanvallers de gegevens ontgrendelen of decoderen zoals beloofd. Onthoud dat u te maken heeft met criminelen die alleen geïnteresseerd zijn in winst.

• Identificeer de impact van de ransomware-aanval. U moet vaststellen hoeveel gegevens zijn beschadigd, hoeveel machines zijn geïnfecteerd als gevolg van de aanval, en hoelang het zal duren om te herstellen van de aanval. Bovendien beoordeelt u de kritikaliteit van de gegevens die niet beschikbaar zijn gemaakt en bepaalt u of deze kunnen worden hersteld zonder het losgeld te betalen.

• Herstel uw systeem van ransomware. Nadat u ransomware van uw computers heeft verwijderd, kunt u beginnen met het herstellen van de ransomware-aanval.

Herstelopties voor ransomware-versleutelde bestanden

Er zijn meerdere methoden voor gegevensherstel na een ransomware-aanval. De effectiviteit van deze methoden varieert afhankelijk van de situatie.

Het gebruik van ingebouwde tools in uw besturingssysteem

Als u Windows 10 gebruikt, kunt u proberen een Windows Systeemherstelprogramma te gebruiken om systeeminstellingen en programmastanden te herstellen vanuit een herstelpunt dat automatisch is gemaakt. Niet alle gegevens kunnen worden hersteld met deze methode. Moderne ransomware kan Systeemherstel uitschakelen en Windows-herstelpunten verwijderen of beschadigen. In dit geval is deze methode ineffectief.

Gebruik het ransomware-decoderingshulpprogramma

Als u het type en de versie van de ransomware hebt gedetecteerd, probeer dan het decoderingshulpprogramma te vinden dat wordt aangeboden door beveiligingsonderzoekers. Decoderingshulpprogramma’s zijn niet beschikbaar voor elke versie van ransomware. Het is ook steeds zeldzamer om tegenwoordig een decoderingshulpprogramma te vinden.

Gebruik software voor het herstellen van verwijderde bestanden

Als ransomware bestanden op de schijf niet heeft overschreven en de schijfoppervlakte niet heeft gevuld met nullen of willekeurige gegevens, bestaat er een kans dat u enkele kritieke gegevens kunt herstellen. Het scannen van het schijfoppervlak vereist veel tijd. De bestandsnamen kunnen na het herstel verloren gaan en hun namen kunnen zijn zoals HERSTEL0001.JPG, HERSTEL0002.JPG, enz.

Herstel gegevens uit een back-up

Het belangrijkste punt van deze methode is dat je van tevoren moet voorbereiden en niet moet wachten tot ransomware je machines infecteert. Als je geen back-up hebt gemaakt voordat de ransomware-aanval plaatsvond, is deze methode niet van toepassing. Je moet van tevoren voorbereiden en regelmatig gegevens back-uppen. Back-up best practices raden aan om de 3-2-1 back-upregel te volgen en back-ups op te slaan op externe locaties en/of offline voor herstel na een ransomware-aanval. Je kunt hiervoor de cloud, tape en/of onveranderlijke back-upopslag gebruiken.

De beste manier om back-ups te maken is door gebruik te maken van speciale oplossingen voor gegevensbescherming die verschillende soorten workloads en infrastructuren ondersteunen en die je in staat stellen om de 3-2-1 back-upregel te implementeren.

Een dergelijke oplossing is NAKIVO Backup & Replication. De oplossing van NAKIVO stelt je in staat om de back-upprestaties te verbeteren, gegevensherstelbaarheid te garanderen en ransomware-herstel te verbeteren. De oplossing ondersteunt gegevensbescherming voor fysieke servers, virtuele machines (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), Amazon EC2-instanties en Microsoft 365. Met de oplossing kun je:

• Afbeeldingsgebaseerde, toepassingsbewuste, incrementele back-up en replicatie uitvoeren.

• Gemakkelijk back-upkopieën maken zonder de brongastheren of virtuele machines (VM’s) te betrekken.Back-ups opslaan op een externe locatie, een openbare cloud of tape.

• Sla back-ups op op een afzonderlijke locatie, in een publieke cloud of op tape.

• Schakel onveranderbaarheid in voor lokale Linux-gebaseerde repositories of in de Amazon S3-cloud.

• Kies uit een scala aan flexibele herstelopties, waaronder direct VM-starten, gedetailleerde herstel en P2V-herstel van fysieke machines als VMware vSphere-VM’s.

• Creëer herstelwerkstromen door verschillende acties en voorwaarden in een geautomatiseerde volgorde te plaatsen.

Hoe lang duurt het om te herstellen van ransomware?

De tijd die nodig is om te herstellen van een ransomware-aanval met versleutelde bestanden hangt af van de hoeveelheid geïnfecteerde gegevens op geïnfecteerde computers en de methode die wordt gebruikt voor ransomwareherstel. Bij het inschatten van de tijd die nodig is voor het herstellen van een ransomware-aanval, bedoelen we het herstellen van gegevens en het weer online brengen van alle systemen met herstelde workloads.

De tijd om gegevens te herstellen en workloads te herstellen kan variëren van dagen tot maanden. Laten we eens kijken naar de belangrijkste factoren die de hersteltijd beïnvloeden.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• Het herstellen met behulp van een ontcijferingshulpmiddel (als je er een vindt voor een specifieke versie van ransomware) kan veel tijd in beslag nemen. Als bestandsnamen ook zijn gewijzigd na de versleuteling (zoals sLc6-fAl26m.nSeB2 in plaats van image001.jpg), zou het nog meer tijd kosten om ze na het herstel in de juiste mappen te plaatsen. Je moet de juiste bestands- en directorystructuur respecteren, vooral als deze bestanden nodig zijn voor de werking van toepassingen.

• Het hebben van een gegevensback-up vermindert de tijd die nodig is voor het herstellen van bestanden en servers na ransomware. Het voordeel van het herstellen van bestanden vanuit een back-up na een ransomware-aanval is dat u gestructureerde gegevens herstelt, inclusief bestands- en mapnamen met hun juiste pad. U moet een back-up selecteren voor de juiste datum/tijd en de bestemmingslocatie selecteren waar u gegevens wilt herstellen. Wacht vervolgens gewoon totdat de gegevens zijn gekopieerd en hersteld.
  Bovendien vertrouwen back-upoplossingen zoals NAKIVO Backup & Replication op op image gebaseerde technologie om VM- en fysieke machineback-ups vast te leggen. Dit betekent dat de back-up het besturingssysteem en andere bestanden die met het OS zijn geassocieerd vastlegt, zoals applicatieconfiguratiebestanden en systeemstatus, waardoor u tijd bespaart bij het weer operationeel maken van systemen.

• Ondoorzichtig testen van een ransomware-herstelplan kan leiden tot langere hersteltijden van gegevens dan verwacht. Probeer om deze reden altijd uw herstelplan te testen om ervoor te zorgen dat u alles kunt herstellen wat u nodig heeft binnen de juiste tijdspanne.

Merk op dat bij het maken van een strategie voor rampenherstel die een plan voor ransomware-rampenherstel omvat, rekening moet worden gehouden met RTO- en RPO-metrieken.

Conclusie

Ransomware-herstel is een complex proces dat het herstellen van gegevens en het herstellen van werkbelastingen omvat. De kosten en tijd voor ransomware-herstel zijn afhankelijk van de hoeveelheid voorbereiding die wordt gestoken in de back-upstrategie en het herstel van ransomware-aanvallen.

De belangrijkste aanpak om problemen veroorzaakt door ransomware-aanvallen te verminderen, is het volgen van preventieve maatregelen en regelmatig back-ups maken van gegevens. Volg de 3-2-1-back-upregel en gebruik onveranderlijke back-upopslag en een betrouwbare gegevensbeschermingsoplossing die taken kan automatiseren.