Miten me voimme auttaa sinua?

Kiristysohjelmien koodaajat kehittävät jatkuvasti uusia tapoja päästä käsiksi erilaisiin järjestelmiin. Joskus hyökkäyksen kohteena ovat tietyt järjestelmät tai tietokannat. Varastettuja järjestelmävalvojan käyttöoikeuksia käytetään usein online-varmuuskopioinnin sammuttamiseen, varsinkin SAN-ympäristöissä. Sen jälkeen tyhjennetään NAS-järjestelmät. Toisinaan päästään soluttautumaan varmuuskopioihin, jotka salataan. Lisäksi on nähty kohdistettuja hyökkäyksiä virtuaaliympäristöjen varmistussovelluksiin, kuten Veeam.

Tietojen palautuksen kannalta on elintärkeää, että käytössä on monitasoinen varmistusratkaisu. Varmuuskopiot tulisi testata säännöllisesti, että voidaan olla varmoja niiden toimivuudesta. Lisäksi varmuuskopioiden palauttamisen pitäisi olla helppoa.

Siitäkin huolimatta, että varmuuskopiot eivät ole kunnossa, tietojen palautus voi olla mahdollista. Käytettävissä olevat ratkaisumahdollisuudet riippuvat tallennusvälineestä tai -järjestelmästä ja ransomwaren tyypistä. Apua voi saada vaikkapa teknologiasta itsestään, kuten «copy-on-write järjestelmät», joita ovat esim. NetApp WAFL tai Oracle ZFS.

Nämä ovat esimerkkejä järjestelmistä, joissa asiantuntijamme voivat palata varmuuskopioiden historiassa taaksepäin, kunnes löytävät salaamattomat versiot. Näissä tapauksissa on erittäin tärkeää saada asiantuntijan apua nopeasti hyökkäyksen tapahduttua.

Vastaavanlaisia tekniikoita on olemassa poistettujen, korruptoituneiden ja alustettujen tietojen palauttamiseksi kiintolevyistä, SSD-levyistä ja ulkoisista tallennusvälineistä.

Lisätietoa kiristysohjelmista – Definitive guide to Ransomware

Katso NetAppin kanssa tekemämme webinaari - Prevention and Recovery from Ransomware.

Mikä on Ransomware?

Ransomware, kiristysohjelma, on haittaohjelma, joka salaa käyttäjän tietoja tai estää käyttäjää pääsemästä tietoihin käsiksi.

Kun Ransomware on tarttunut tietokoneeseen, hyvin usein se pyytää lunnaita tai maksua salasanasta, jolla salaus voidaan purkaa ja tiedostot saadaan takaisin käyttöön.

Ransomware-haittaohjelmat jaetaan kolmeen pääryhmään:

  • Scareware
    Ransomware-ohjelmien yksinkertaisin muoto. Nämä ovat sovelluksia tai ohjelmia, jotka monesti näyttävät virustorjunta- tai puhdistusohjelmilta. Ohjelma väittää löytäneensä laitteesta vaarallisia viruksia, joiden poistamisesta käyttäjän tulee maksaa korvaus.
  • Lock-screen virus
    Näytönlukitusvirukset ovat toiseksi vaarallisin ransomware-tyyppi. Ne lukitsevat käyttäjän tietokoneen ja näytölle ilmestyy viesti, jossa lukee, että tietokonetta on käytetty tietoverkkorikollisuuden tekemiseen ja sen takia käyttäjän on maksettava lunnaita tietokoneen lukituksen avaamiseksi.

    Vaikka laitteeseen tallennetut tiedostot näyttävät hävinneen, on erittäin todennäköistä, että tiedonpalautusasiantuntijat voivat vielä pelastaa tiedostot.
  • CryptoLocker
    Vaarallisin ransomware-ryhmä, joka on kaikista haastavinta poistaa. Kiristysohjelma tunkeutuu tietokoneen tiedostoihin ja tiedostorakenteeseen tavoitteenaan salata kaikki koneella olevat tiedot. Myös näissä tapauksissa hakkerit vaativat lunnaita tiedostojen salauksen purkamiseksi.

Useat tämän ryhmän haittaohjelmat pystyvät saastuttamaan myös muut verkkoon kytketyt tietokoneet ja palvelimet. Tämä on yrityksille vaarallisin hyökkäystapa, koska yksi työntekijä, jolla on avoin Internet-yhteys tai vaarallinen sähköpostin liite, voi saastuttaa koko yrityksen ja saattaa yrityksen kokonaan pysähtymään.

Lataa – Definite Guide to Ransomware
Definitive guide to Ransomware

Kun huomaat joutuneesi ransomware-hyökkäyksen uhriksi

Noudata seuraavia vinkkejä

  1. Emme suosittele maksamaan pyydettyä summaa. Vaikka maksaisit lunnaat, ei ole takuita siitä, että saat tiedostot takaisin käyttöösi.
  2. Sammuta hyökkäyksen kohteeksi joutunut laite. Näin estät haittaohjelman leviämisen edelleen.
  3. Poista tartunnan saaneet laitteet verkosta.
  4. Etsi viimeisin varmuuskopio, jonka teit ennen tartuntaa. Siitä saat ainakin osan tiedostoistasi käyttöön.
  5. Jos haittaohjelma on saastuttanut myös varmuuskopiot, ota yhteyttä tietojen palauttamisen asiantuntijoihin saatavilla olevien vaihtoehtojen selvittämiseksi.

Lataa - Top Ransomware prevention tips

NetAppin ja Ontrackin uusi webinaari

Katso NetAppin asiantuntijoiden neuvot - Prevention and Recovery from Ransomware.

Verkkoseminaarissa näet ja kuulet, mitä toimenpiteitä yritykset voivat tehdä varmistaakseen parhaan mahdollisen suojan ransomwarea vastaan ja miten pitää toimia kun hyökkäys on jo läpäissyt suojauksesi.

Rekisteröidy nyt!
Ransomware

Esimerkkitapaus: NetApp teknologiasta tuli paras apumme

CryptoLocker salaa käyttäjän tiedostot kannettavassa tietokoneessa, joka on kytketty yrityksen verkkoon. Kiristysohjelma salaa suurimman osan tiedostoista CIFS-osiossa, joka on konfiguroitu tiedostonjakoon NetApp FAS -järjestelmässä. Koska IT-osasto ei saanut tietoa ennen tiedostokopioiden säilytysajan päättymistä, kaikki varmuuskopiot olivat jo vaurioituneet. Tartunnan seurauksena kaikki tiedostot olivat käyttökelvottomia:

  • 1 fyysinen levyjärjestelmä (aggregate)
  • 46 levyasemaa
  • 1 saastunut RAID-DP -osio

Tiedostojen pelastamista varten asiantuntijamme joutuivat asettamaan koko järjestelmän offline-tilaan, mikä vaikutti yhteensä 17 osioon. Asiakasta pyydettiin toimittamaan kaikki 46 levyasemaa laboratoriollemme. Työtä vaikeutti se, että saastumisesta oli kulunut jo kaksi viikkoa ennen kuin järjestelmä ajettiin alas. Sen takia osa tiedoista oli ylikirjoittunut.

Ratkaisu

Asiantuntijamme:

  • Rakensivat uudelleen fyysisen NetApp levyjärjestelmän
  • Rakensivat uudelleen RAID-ryhmät, jotka sijaitsivat 10:ssä levyhyllyssä.
  • Rakensivat uudelleen kriittisen osion

NetAppin omaa käyttöjärjestelmää (OnTap) ja tiedostojärjestelmää (WAFL) hyödyntäen asiantuntijamme palasivat ajassa taaksepäin useisiin eri tarkistuspisteisiin löytääkseen ja yhdistääkseen kriittisten tiedostojen salaamattomia osia ja kopioita.

NetApp FAS:in kaltaisten järjestelmien tapa käsitellä ja tallentaa tiedostoja tekee tällaiset ratkaisut mahdollisiksi. Esimerkki kuvaa hyvin, että tietojen palautus on mahdollista silloinkin kun varmuuskopiot eivät toimi.