Återställning efter 'Ransomware'

Översikt

Denna genomgång har för avsikt att ge en 'best practices' för en Code42-användare att följa för att att återställa sin enhet efter en skadeprogramsattack. Ransomware är en form av skadeprogram som krypterar filer på din dator och kräver en lösensumma för att dekryptera filerna igen. Istället för att betala de som ligger bakom attacken så ska vi gå igenom hur vi återställer med med Code42-applikationen från ett datum och klockslag innan infektionen.

Genomgången är en självbetjäningsinstruktion som kan följas vid återställning av en enskild enhet som använder Code42 som backuptjänst. 

Att ta i beaktande

  • Denna instruktion är skriven för version 5.x och 6.x av Code42-applikationen.
  • GDPR - rapportering av intrång måste rapporteras om det finns fara för individer.
  • Frekvens och versionsinställningar möjliggör att återställa filer från en tidpunkt innan skadeprogrammet attackerade, det är dock viktigt att ordentligt förbereda för en skadeprogramsattack  (tillse och kontrollera dagligen att alla enheter backas upp, att backupfrekvensen och versionsinställningar överensstämmer med er policy).

Rekommenderad återställningsprocess

Följande beskriver den rekommenderade processen vid användande av Code42-applikationen enbart; till detta går det att använda andra säkerhets- och undersökningsverktyg för att ytterligare utöka hjälpen vid återställning.

Steg 1: Fastställ datum och tidpunkt för infektionen 

För att återställa från skadeprogram så måste filer från en tidpunkt innan infektionen återlösas, om ni har en säkerhetsgrupp så arbeta med dem för att fastställa tidpunkten annars måste ni fastställa tidpunkten genom att försöka vad som har hänt tillsammans med den drabbade användaren;  Dokumentera det inträffade och tillse att skadeprogrammet inte drabbar flera personer. Fastställ tidpunkt för påbörjande av återlämning för att tillse att senast möjliga filer kan återläsas.

Steg 2: Exkludera kända skadeprogramsfiltyper (vid behov)

Som en försiktighetsåtgärd innan återställning av filers kan man rensa existerande backuparkiv från den fil som är den identifierade källan till infektionen likväl filer med kända skadeprogramsidentifierare såsom filnamn etc, genom att att ta bort dessa filer minskas risken för att återintroducera infekterade filer vid återställning.

  1. Lägg till filexkluderingen för den fil som orsakade originalinfektionen likväl för filer som är av  känd skadeprogramsfiltyp.
  2. Applicera inställningen med Lås.
    Att Låsa är det enda sättet att få exkluderingsinställningen att radera filer från existerande backuparkiv.

Steg 3: Förbered en ny enhet

En ny enhet bör tas fram efter er organisations säkerhetsprocess och noggrannhet bör följas för att inte drabbas av samma skadeprogram vid installation.

Code42 rekommenderar att separera den infekterade enheten snarare än försöka ta bort infektionen, därefter ska en ny enhet förberedas för att ersätta den tidigare enheten.
Allteftersom skapare av skadeprogram blir mer professionella vid utveckling så blir det än mer viktigt att tillse att den nya enheten är infektionsfri vid återställning.

Användande av Windows USMT

Om ni återställer en Windows-enhetoch ni använder Microsoft's User State Migration Tool (USMT) för att spara Windows-inställningar från den gamla enheten så säkerställer ni att alla inställningar flyttas över till den nya enheten.

Steg 4: Återställa filer från en tidpunkt innan infektionen

Have more questions? Submit a request

0 Comments

Please sign in to leave a comment.
Powered by Zendesk