jekob heidelberg bloghoved

Ransomware: ufrivillig kryptering med mulige økonomiske konsekvenser. Beskyt dig selv, dine brugere og dit netværk.

Jeg får en del spørgsmål relateret til ransomware disse dage; fra virksomheder, venner, familie og (kon)kollegaer. I dag var det et par kommuner, i morgen er det måske dig selv eller dit netværk.

Hvad gør man når man er blevet ramt af ransomware? Hvad kan man gøre for at forhindre katastrofale konsekvenser? Ligger nøglen stadig under måtten?

Nedenfor har jeg lavet en checkliste, som muligvis ikke er komplet (endnu), men som forhåbentlig kan hjælpe brugere og netværksadministratorer rundt omkring.

1. Forbered dig på ankomsten af ransomware

  • Lad være med at bilde dig selv ind, at du (eller dine brugere) aldrig vil blive ramt - og én gang skal jo være den første (selverkendelse)
  • Få ledelsesopbakning til at gøre en indsats for datasikkerhed før skaden er sket (executive level buy-in)
  • Sørg for at tage sikkerhedskopi af dine (brugeres) filer med jævne mellemrum (backup strategi)
  • Sørg for at teste gendannelse af dine (brugeres) sikkerhedskopier med jævnlige mellemrum (restore strategi)
  • Undersøg om dine (brugeres) filer er placeret et sted på disken, hvor tidligere versioner af dokumenter/billeder m.v. caches automatisk, hvor stor en mængde der maksimalt caches, samt hvilke filtyper det drejer sig om (shadow copy/file history)
  • Undersøg om eventuelt anvendte online filtjenester har mulighed for at gendanne tidligere filversioner (Onedrive, Dropbox, iCloud m.v.)
  • Undervis dine brugere i hvor deres filer bør placeres, hav kontrol over hvilke filtjenester der anvendes og identificer kronjuvelerne (dataklassificering)
  • Undervis dine brugere i fornuftig adfærd via jævnlige awareness programmer (brugeradfærd)
  • Hvilke specialister ville du kontakte hvis ulykken var ude? Lav en nødplan (CERT)
  • Træn situationen i organisationen og simuler et ransomware angreb på forskellige brugere/systemer (wargames)

2. Begræns på forhånd ransomwarens mulige skade

  • Hold brugeren i almindelig bruger-kontekst; således kan cachede fil-versioner eksempelvis ikke slettes (kræver admin kontekst på Windows) og andre brugere på maskinen berøres ikke (rettigheder)
  • Sørg for at brugeren kun har adgang til så lidt som muligt på systemet og tilsluttede netværksdrev (least privilege & need to know)
  • Domain Admins (og lignende brugere) bør aldrig være logget på arbejdsstationer eller servere med uhindret adgang til Internet eller e-mail (sikker administrativ praksis)
  • Flyt eller slet gamle dokumenter/filer jævnligt. Hold evt. i offline arkiv (data rentention)

3. Indfør mekanismer til at forhindre modtagelse af ransomware (og anden malware)

  • Begrænsning af hvilke filtyper brugerne kan modtage (SMTP gateway, mail-klient m.v.)
  • Anti-malware/virus scanning på mail gateway som er opdateret, selvom dette ikke hjælper for nye varianter. Arkiv filtyper bør også scannes, i flere lag (server side)
  • Dynamisk web-filtrering som forhindrer tilgang til kendte malware sider (web filter/filewall/IPS)
  • Statisk web-filtrering som forhindrer nedhentning af skadelige filtyper (web filter/firewall/IPS)
  • Grundet uheldig brugeradfærd bør arkiv-filtyper som ZIP betragtes som potentielt skadelige (brugeradfærd)

4. Indfør mekanismer til at forhindre eksekvering af ransomware (og anden malware)

  • Anti-malware/virus program som er opdateret, selvom dette ikke hjælper for nye varianter (klient)
  • Whitelisting af hvilke programmer der kan eksekveres i brugerens session (f.eks. AppLocker)
  • Se på exploit prevention alla EMET løsninger
  • Stram regler for eksekvering af Office makroer
  • Stram regler for eksekvering af scripts (VBE/VBS/PS1/HTA/WSH... m.v.)
  • Sørg for at der ikke kan eksekveres scripts eller filer embedded i dokumenter, f.eks. PDF og Office filer

5. Når ulykken er sket

  • Isoler maskinen, dvs. deaktiver adgang til netværksdrev, online filtjenester og lignende. Fysisk switch er at foretrække (isolation).
  • Hav specielt VPN-forbindelser og DirectAccess teknologier i tankerne (fjernadgang til netværksdrev)
  • Find ud af hvordan brugeren blev inficeret ved at spørge brugeren og advar evt. andre brugere hvis relevant (begræns skadens omfang)
  • Giv brugeren en ny PC og gendan sikkerhedskopi af data til denne (business continuity)
  • Betragt PCen som potentiel inficeret med alverdens anden malware, herunder Remote Administration Toolkits der evt. tager billeder med webcam, keyloggere m.v. (stol ikke på PCen)
  • Betal aldrig de kriminelle bagmænd, det er jo pengene der motiverer dem og de er selvsagt ikke til at stole på. Nogen får aldrig nøglen, andre bliver bedt om flere penge osv. (motiv og karakter)
  • Tag billeder af eventuelle beskeder på skærmen til senere dokumentation og bestemmelse af malware variant (efterforskning)
  • Vær opmærksom på, at visse ransomware varianter efterlader (spor af) de originale filer, som muligvis kan gendannes (disk restore)
  • Dokumenter hændelsesforløbet undervejs (hvem gjorde hvad og hvornår)
  • Vær klar med beredskab der kender til malware (forensics, Incident Responce, CERT eller andre nørder)
  • Dan overblik over skaden (bestem og undersøg formodet ransomware variant og se evt. log-fil om hvilke filer der er blevet ufrivilligt krypteret)
  • Beslut dig for om malwaren skal "fjernes" eller deaktiveres (indtil maskinen reinstalleres), f.eks. såfremt du vil prøve at gendanne fra fil-cache (gendannelse af volume shadow copy m.v.)

6. Når du har sundet dig lidt (men vent ikke for længe)

  • Betragt alle informationer/data der var på maskinen som værende potentielt kompromitterede
  • Skift alle adgangskoder til diverse onlinetjenester som måtte være gemt i browsere og lignende - og brug dem aldrig igen (credential theft & re-use)
  • Reinstaller maskinen (better to be safe than sorry)
  • Anmeld episoden til anti-malware/virus leverandør (klient, server m.v. - forbedring af service og hjælp til andre))
  • Anmeld episoden til leverandør af firewall filtrering (forbedring af service og hjælp til andre)
  • Anmeld episoden til Rigspolitiets Nationale Cyber Crime Center (NC3) (efterforskning, jura, forsikring, statistik m.v.)
  • Lær af hændelsesforløbet på en workshop og optimer procedurer (post-mortem evaluering)

Et par kommentarer til ovenstående

  • Ovenstående er primært skrevet med Windows platformen for øje, men burde overordnet set gælde for andre platforme også
  • Under hvert trin har jeg ikke nærmere prioriteret opgaverne på nuværende tidspunkt
  • Jeg går med vilje ikke i detaljer ovenfor omkring sikring af malware filer (spor), image af disk og memory, filgendannelsesværktøjer, netværksanalyse, forskel på SSD og klassiske diske, RAID osv. Hvorvidt den slags er relevant afhænger af den enkelte sag
  • Visse af ovennævnte præventive mekanismer er (typisk) kun tilgængelige når maskinen er bag virksomhedens firewall/web-filtre
  • Nyeste ransomware varianter har fundet ud af at cleare fil cache, slettede filer og den anvendte krypteringsnøgle - så det er desværre sjældent man bare kan finde nøglen under måtten disse dage

I håbet om en fremtid, hvor ens data kun krypteres efter eget ønske.

Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize