Useiden tutkimusten mukaan jopa 28 % maailman yrityksistä kärsi jollain tavalla ransomware-hyökkäyksistä viime vuoden aikana.

Symantecin mukaan kiristysohjelmien määrä kasvoi 12 % vuodessa. Seuraamukset voivat olla vakavia: yrityksen tiedot voivat olla lukittuina viikkojen ajan, kokonaisia tietokantoja voi hävitä ja näiden seurauksena menetetään asiakkaiden luottamus.

Mikä on Ransomware?

Ransomware, kiristysohjelma, on haittaohjelma, joka salaa käyttäjän tietoja tai estää käyttäjää pääsemästä tietoihin käsiksi.

Kun Ransomware on tarttunut tietokoneeseen, hyvin usein se pyytää lunnaita tai maksua salasanasta, jolla salaus voidaan purkaa ja tiedostot saadaan takaisin käyttöön.

Ransomware-haittaohjelmat jaetaan kolmeen pääryhmään:

Scareware

Ransomware-ohjelmien yksinkertaisin muoto. Nämä ovat sovelluksia tai ohjelmia, jotka monesti näyttävät virustorjunta- tai puhdistusohjelmilta. Ohjelma väittää löytäneensä laitteesta vaarallisia viruksia, joiden poistamisesta käyttäjän tulee maksaa korvaus.

icon

Lock-screen virus

Näytönlukitusvirukset ovat toiseksi vaarallisin ransomware-tyyppi. Ne lukitsevat käyttäjän tietokoneen ja näytölle ilmestyy viesti, jossa lukee, että tietokonetta on käytetty tietoverkkorikollisuuden tekemiseen ja sen takia käyttäjän on maksettava lunnaita tietokoneen lukituksen avaamiseksi.

Vaikka laitteeseen tallennetut tiedostot näyttävät hävinneen, on erittäin todennäköistä, että tiedonpalautusasiantuntijat voivat vielä pelastaa tiedostot.

icon

CryptoLocker

Vaarallisin ransomware-ryhmä, joka on kaikista haastavinta poistaa. Kiristysohjelma tunkeutuu tietokoneen tiedostoihin ja tiedostorakenteeseen tavoitteenaan salata kaikki koneella olevat tiedot. Myös näissä tapauksissa hakkerit vaativat lunnaita tiedostojen salauksen purkamiseksi.


Miten me voimme auttaa sinua?

Kiristysohjelmien koodaajat kehittävät jatkuvasti uusia tapoja päästä käsiksi erilaisiin järjestelmiin. Joskus hyökkäyksen kohteena ovat tietyt järjestelmät tai tietokannat. Varastettuja järjestelmävalvojan käyttöoikeuksia käytetään usein online-varmuuskopioinnin sammuttamiseen, varsinkin SAN-ympäristöissä. Sen jälkeen tyhjennetään NAS-järjestelmät. Toisinaan päästään soluttautumaan varmuuskopioihin, jotka salataan. Lisäksi on nähty kohdistettuja hyökkäyksiä virtuaaliympäristöjen varmistussovelluksiin, kuten Veeam.

Tietojen palautuksen kannalta on elintärkeää, että käytössä on monitasoinen varmistusratkaisu. Varmuuskopiot tulisi testata säännöllisesti, että voidaan olla varmoja niiden toimivuudesta. Lisäksi varmuuskopioiden palauttamisen pitäisi olla helppoa.

Siitäkin huolimatta, että varmuuskopiot eivät ole kunnossa, tietojen palautus voi olla mahdollista. Käytettävissä olevat ratkaisumahdollisuudet riippuvat tallennusvälineestä tai -järjestelmästä ja ransomwaren tyypistä. Apua voi saada vaikkapa teknologiasta itsestään, kuten «copy-on-write järjestelmät», joita ovat esim. NetApp WAFL tai Oracle ZFS.

Nämä ovat esimerkkejä järjestelmistä, joissa asiantuntijamme voivat palata varmuuskopioiden historiassa taaksepäin, kunnes löytävät salaamattomat versiot. Näissä tapauksissa on erittäin tärkeää saada asiantuntijan apua nopeasti hyökkäyksen tapahduttua.

Vastaavanlaisia tekniikoita on olemassa poistettujen, korruptoituneiden ja alustettujen tietojen palauttamiseksi kiintolevyistä, SSD-levyistä ja ulkoisista tallennusvälineistä.

Kun huomaat joutuneesi ransomware-hyökkäyksen uhriksi

Noudata seuraavia vinkkejä

1.

Sammuta hyökkäyksen kohteeksi joutunut laite. Näin estät haittaohjelman leviämisen edelleen. Poista tartunnan saaneet laitteet verkosta.

2.

Emme suosittele maksamaan pyydettyä summaa. Vaikka maksaisit lunnaat, ei ole takuita siitä, että saat tiedostot takaisin käyttöösi.

3.

Etsi viimeisin varmuuskopio, jonka teit ennen tartuntaa. Siitä saat ainakin osan tiedostoistasi käyttöön.

4.

Jos haittaohjelma on saastuttanut myös varmuuskopiot, ota yhteyttä tietojen palauttamisen asiantuntijoihin saatavilla olevien vaihtoehtojen selvittämiseksi.

NetAppin ja Ontrackin uusi webinaari

Verkkoseminaarissa näet ja kuulet, mitä toimenpiteitä yritykset voivat tehdä varmistaakseen parhaan mahdollisen suojan ransomwarea vastaan ja miten pitää toimia kun hyökkäys on jo läpäissyt suojauksesi.


icon

Esimerkkitapaus: NetApp teknologiasta tuli paras apumme

CryptoLocker salaa käyttäjän tiedostot kannettavassa tietokoneessa, joka on kytketty yrityksen verkkoon. Kiristysohjelma salaa suurimman osan tiedostoista CIFS-osiossa, joka on konfiguroitu tiedostonjakoon NetApp FAS -järjestelmässä.

Koska IT-osasto ei saanut tietoa ennen tiedostokopioiden säilytysajan päättymistä, kaikki varmuuskopiot olivat jo vaurioituneet. Tartunnan seurauksena kaikki tiedostot olivat käyttökelvottomia:

  • 1 fyysinen levyjärjestelmä (aggregate)
  • 46 levyasemaa
  • 1 saastunut RAID-DP -osio

Tiedostojen pelastamista varten asiantuntijamme joutuivat asettamaan koko järjestelmän offline-tilaan, mikä vaikutti yhteensä 17 osioon. Asiakasta pyydettiin toimittamaan kaikki 46 levyasemaa laboratoriollemme. Työtä vaikeutti se, että saastumisesta oli kulunut jo kaksi viikkoa ennen kuin järjestelmä ajettiin alas. Sen takia osa tiedoista oli ylikirjoittunut.

Ratkaisu

Asiantuntijamme:

  • Rakensivat uudelleen fyysisen NetApp levyjärjestelmän
  • Rakensivat uudelleen RAID-ryhmät, jotka sijaitsivat 10:ssä levyhyllyssä.
  • Rakensivat uudelleen kriittisen osion

NetAppin omaa käyttöjärjestelmää (OnTap) ja tiedostojärjestelmää (WAFL) hyödyntäen asiantuntijamme palasivat ajassa taaksepäin useisiin eri tarkistuspisteisiin löytääkseen ja yhdistääkseen kriittisten tiedostojen salaamattomia osia ja kopioita.

NetApp FAS:in kaltaisten järjestelmien tapa käsitellä ja tallentaa tiedostoja tekee tällaiset ratkaisut mahdollisiksi. Esimerkki kuvaa hyvin, että tietojen palautus on mahdollista silloinkin kun varmuuskopiot eivät toimi.


icon

Aloita tietojen palauttaminen!

Ota yhteyttä asiantuntijoihimme. Ibasilla on ratkaisuja, jotka auttavat kaikkia - viranomaisista ja suuryrityksistä yksityishenkilöihin jotka ovat menettäneet valokuvia, ja kaikki siltä väliltä.

09 424 509 03 Ottakaa yhteyttä!