כיצד לטפל ברשת שנפגעה מתוכנת כופר?

יש לעבוד על פי סדר הפעולות ולא לדלג על סעיפים!

1. לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים.

• יש לאתר את קובץ ה – TXT או HTML המכיל את ההנחיות לתשלום "How to decrypt" בתיקיות המשותפות / כוננים שהוצפנו.
• יש ללחוץ לחיצה ימנית על הקובץ > Properties > לשונית Details ולאתר בשדה Owner את המשתמש שממנו בוצעה ההצפנה.
• במידה וה – Owner הוא Administrators, זה לרוב יצביע על פריצה דרך RDP או Privilege Escalation.

2. לנתק את המחשב של המשתמש מסעיף 1 מהרשת - פיזית.

3. יש לוודא שה - RDP סגור בכל הרשת, במידה ויש צורך בגישה מרחוק יש להשתמש ב – VPN.
   סגירת ה – RDP ברשת תנתק חיבור פעיל של תוקף במידה ועדיין מחובר.

4. במידה ועדיין לא הוצפנו, מומלץ לבודד שרתים קריטיים מהרשת הנגועה.

• לדוגמא שרתי קבצים, SQL, דואר, IIS וכו'.
• חשוב לשים דגש מיוחד על שרתי גיבוי, גיבויים שרצים לענן, או NAS הקיימים ברשת, ולנתקם, או לבטל את הגיבוי האוטומטי כדי שלא יסונכרנו קבצים מוצפנים.

5. לוודא התקנה בגרסה עדכנית של תוכנת אבטחה בכל התחנות ברשת.

• גם אם התחנה הבעייתית נותקה מהרשת, עדיין ייתכן מצב בו הנוזקה הדביקה תחנות אחרות. לכן יש לוודא שמותקנת גרסה עדכנית ומעודכנת של תוכנת האבטחה בכל התחנות.
  בממשק הניהול של ESET ניתן להיעזר ברכיב ה - Rogue Detection Sensor, שמטרתו לאתר תחנות לא מנוהלות על ידי ממשק הניהול.
• במידה וקיימת גרסת עדכנית של תוכנת אבטחה במערכת אותה ניתקתם, יש לבצע סריקה מלאה כדי לוודא שלא שאין שאריות מהנוזקה שעלולים לגרום להדבקה נוספת.
• במידה ואין גרסה עדכנית או אין חתימות עדכניות, מומלץ לבצע סריקה עם כלי ניקוי משלימים (לדוגמא סריקת אבטחה במצב בטוח או סריקה מתוך התקן USB Bootable עליו שמים סורק כלשהו).
  ניתן להשתמש ב - ESET Sysrescue כדי לבצע סריקה זו.
• יש לשלוח סריקות מלאות לכל התחנות והשרתים ברשת דרך ממשק הניהול.

6. לשחזר את הקבצים מגיבוי.
   רק לאחר השלמת סעיפים 1-5, שמטרתם לוודא שלא קיימת נוזקה פעילה במחשב או ברשת, ניתן לשחזר את הקבצים מגיבוי.

7. אם לא היה גיבוי מסודר, או שהגיבוי הוצפן, ניתן לנסות לשחזר את הקבצים מתוך Shadow Copy.
   ניתן להיעזר במדריך של Bleeping Computer, זאת בתנאי שתוכנת הכופר לא הצליחה למחוק את ה – Shadow Copy.

8. בזמן עבודה לפי התהליכים המתוארים למעלה, מומלץ להקפיד לפעול לפי קווי המנחה הכלליים:

• ברגע שהמתקפה אומתה, יש ליידע את הגורמים הרלוונטיים (מנהל הרשת, CISO, צוות Incident Response).
• אתרו ונתחו את המחשבים הנגועים.
• התריעו למחלקה המשפטית בנושא המתקפה.
• צרו קשר עם ספקים שיכולים לסייע בתהליך (חברת הגיבוי, תוכנת ההגנה ברשת, פיירוול וכו').
• יש להזכיר לעובדים שלא לפרסם ולהדליף פרטים על המתקפה לרשתות חברתיות או לתקשורת.
• צרו קשר עם מערך הסייבר הלאומי.
• בדקו האם הקבצים שהוצפנו זמינים לשחזור מגיבוי.
• במידת הצורך יש להפעיל את תוכניות ההמשכיות העסקית.

9. בסיום האירוע יש לתחקר את הגורמים והפרצות שהובילו למתקפה, להסיק את המסקנות הנדרשות וליישם נהלים, אמצעים והגנות שהיו חסרים לפני כן.