Hvordan kan vi hjelpe deg?

Ransomwareutviklere utvikler stadig nye måter å infisere systemer på. Noen ganger angripes bestemte systemer eller databaser, og ofte brukes stjålne administratorrettigheter for å deaktivere online sikkerhetskopieringer, spesielt på SANs. Deretter slettes NAS-systemer. Andre ganger klarer de å infiltrere og kryptere sikkerhetskopifiler også. Også virtuelle backup-applikasjoner som Veeam har blitt angrepet.

Backup med en rekke sikkerhetsnivåer, er ofte helt avgjørende for å gjenopprette data hvis du er rammet av ransomware. Backupen være gjennomtestestet for å bekrefte kvalitet og nøyaktighet. Den må i tillegg være enkel å gjenopprette.

Du skal aldri utelukke en gjenoppretting selv om backup mangler. Mulige løsninger er avhengig av type medier eller lagringssystem og type ransomware. Man kan også hente hjelp fra teknologien selv, som ved «copy-on-write systemer» som NetApp WAFL eller Oracle ZFS.

Dette er eksempler på systemer som tillater en recovery ingeniør å gå tilbake i tid på de forskjellig kopiene til de finner ukrypterte versjoner. Men her er tid fra angrep til eksperthjelp svært avgjørende.

Les mer om mulighetene i vårt white-paper - Ransomware Data Recovery for the Enterprise

Det finnes tilsvarende teknikker for å gjenopprette slettede, korrupte og reformaterte data fra hardidsker, SSD og eksterne medier.

Hva er ransomware?

Ransomware er en type malware som krypterer eller forhindrer brukere i å få tilgang til data.

Dette kjennetegnes ved at brukeren får en forespørsel om løsepenger når du prøver å få tilgang til data.

Det er tre hovedgrupper av Ransomware:

  • Scareware
    Den enkleste typen ransomware. Disse består av falske applikasjoner eller programmer som ser ut som antivirus- eller optimaliseringsprogramvare.
  • Lock-screen virus
    Et farligere ransomware. Når det sprer seg, blokkerer viruset brukerens datamaskin, viser en skjerm med en melding om at datamaskinen har blitt brukt til å begå en cyberkriminalitet, og følgelig vil brukeren måtte betale løsepenger for å låse opp datamaskinen.
  • CryptoLocker
    Den mest farlige og vanskeligste å eliminere. Etter å ha fått tilgang til offerets datamaskin, infiltrerer angriperen dataene og filstrukturen til datamaskinen for å kryptere alt innholdet. Selv ved disse anledninger krever hackerne betaling av løsepenger for å dekryptere filene.
Tidslinjen til ransomware
Hva du skal gjøre i tilfelle ransomware-angrep

Dette gjør du ved ransomware-angrep

De viktige steg-for-steg trinnene

  1. Du bør aldri betale for å få tilbake tilgangen til dine data. Du har ingen garantier at du får tilgang til alt.
  2. Slå av berørte systemer. Da forhindrer du ytterligere spredning.
  3. Sørg for å fjerne infiserte systemer fra nettet
  4. Finn frem seneste backup når systemet er friskmeldt. Da kan man raskt komme tilbake i drift.
  5. Hvis backup er en utfordring bær du kontakte data recovery eksperter for å vurdere andre muligheter.

Hva trenger du å vite om ransomware

  • 28% av verdens virksomheter ble i 2018 på en eller annen måte rammet av et ransomware-angrep.
  • Symantec sier at veksten er 12% per år.
  • I 2018 mottok FBI 1,493 anmeldelser der det samlede tapet utgjorde $3,621,857
  • Ransomware koster mer enn 750 milliarder hvert år (Source: Datto)
  • Angripes din virksomhet, kan det koste deg 1 million norske kroner
  • Ransomware har økt 97 % siste 2 år (Source: Phishme)

Case: NetApp teknologi ble vår beste hjelp

CryptoLocker krypterer brukerens filer på en bærbar pc som er koblet til bedriftsnettverket.  CFS-volumet er stilt inn med fildeling på en NetApp FAS. Den skadelige programvaren var i stand til å infiltrere fildelingen og kryptere majoriteten av filene. Når IT-teamet først ble varslet var også backupen overskrevet av krypterte data. Den totale effekten resulterte i utilgjengelige data på:

  • 46 disker
  • 1 «aggregate»
  • 1 angrepet RAID-DP volum

For å utføre gjenopprettingen måtte hele systemet tas offline, noe som påvirket 17 volum totalt. I tillegg ble oppgaven vanskeligere fordi det tok 2 uker fra angrepet skjedde til systemet ble tatt ned.

Løsningen:

  • Virtuell recovery av RAID-gruppene som var spredt over 10 diskhyller.
  • Virtuell recovery av NetApp «aggregate»
  • Virtuell recovery av det angrepne volume

Vi utnyttet NetApps proprietære OS (OnTap) og filsystem (WAFL). Ingeniørene brukte flere sjekkpunkter for å "gå tilbake" i tid for å finne og slå sammen ukrypterte kopier av kritiske data.

Slike løsninger er kun mulige for systemer som NetApps FAS på grunn av hvordan data er lagret på volumet. Men det er et godt eksempel på at data er mulig å gjenopprette selv når backup mangler.

LAST NED! Ransomware Data Recovery for the Enterprise