Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware
#1
Ransomware to ta kategoria szkodników, które od lat mają się dobrze a nawet okresowo mają spore tendencje wzrostowe pośród innych infekcji. Podobnie jest i teraz, kiedy znacznie wzrósł ruch w sieci w związku z pandemią i dzięki temu znacznie więcej potencjalnych celów pokazało się na horyzoncie.

Cytat:Ataki ransomware to aktualny numer 1 na liście zagrożeń, które wyrządzają najwięcej szkód finansowych i wizerunkowych. Firmy płacą coraz więcej grupom przestępczym przeprowadzającym ataki z udziałem ransomware. Z badań przeprowadzonych przez Coverware wynika, że w drugim kwartale bieżącego roku wartość średniego okupu

[Aby zobaczyć linki, zarejestruj się tutaj]

! Między innymi z tego powodu Ministerstwo Cyfryzacji chciało przypomnieć przedsiębiorcom jak należy zapobiegać i postępować po zainfekowaniu firmowych komputerów oprogramowaniem szantażującym. Środki zapobiegawcze zostały opisane w osobnym artykule, (

[Aby zobaczyć linki, zarejestruj się tutaj]

).
Źródło cytatu

[Aby zobaczyć linki, zarejestruj się tutaj]


Bezpośrednie linki do aktualnych poradników

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
PORADNIK – PRCyber-03
Cyberbezpieczeństwo – zapobieganie atakom typu ransomware

Strona 2 z 5

Departament Cyberbezpieczeństwa 
Ministerstwo Cyfryzacji

Nie ma sposobu, aby całkowicie zabezpieczyć swoją organizację przed infekcją szkodliwym 
oprogramowaniem. Z tego powodu należy zastosować podejście „wielowarstwowej
obrony”. Oznacza to stosowanie warstw obrony z kilkoma ograniczeniami na każdej
warstwie. Będzie wówczas więcej możliwości wykrycia szkodliwego oprogramowania
a następnie zatrzymania go, zanim wyrządzi prawdziwą szkodę Twojej organizacji. Należy
przyjąć, że niektóre rodzaje szkodliwego oprogramowania będą infiltrować organizację, więc
należy podjąć kroki w celu ograniczenia wpływu takiego działania i przyspieszenia reakcji
na zagrożenie. 
Poniżej znajdziesz 4 wskazówki, jak możesz zabezpieczać swoją organizację.
Wskazówka 1: rób regularne kopie zapasowe 
 Kluczowym działaniem jest zapewnienie aktualnych kopii zapasowych systemów oraz
ważnych plików - jeśli tak zrobisz, będziesz mógł odzyskać swoje dane bez
konieczności płacenia okupu. 
 Wykonuj regularne kopie zapasowe najważniejszych plików – sposoby mogą być rożne,
zależne od typów danych i organizacji - sprawdź, czy wiesz, jak przywrócić pliki z kopii
zapasowej. 
 Upewnij się, że kopia zapasowa jest przechowywana poza Twoją siecią („offline”),
w pamięci masowej nie podłączonej do Twojej sieci lub w dedykowanej do tego celu
usłudze chmurowej.   
 Usługi synchronizacji w chmurze (takie jak Dropbox – usługa przestrzeni dyskowej
świadczona przez  firmę Dropbox, OneDrive – wirtualny dysk oferowany przez
Microsoft, SharePoint – platformę aplikacji webowych firmy Microsoft lub Dysk Google
-  usługę do przechowywania i synchronizacji plików stworzona przez firmę Google)
nie powinny być używane jako jedyna kopia zapasowa. Wynika to z faktu, że mogą one
automatycznie zostać zsynchronizowane natychmiast po „zaatakowaniu plików”,
a wówczas utracisz również połączone kopie. 
 Upewnij się, że urządzenie zawierające kopię zapasową (takie jak zewnętrzny dysk
twardy lub pamięć USB) nie jest na stałe podłączone do sieci i najlepiej, aby kopii
zapasowych było kilka. Atakujący może zdecydować się na atak ransomware, gdy wie,
że nośnik danych zawierający kopie zapasowe jest podłączony do sieci. 
Wskazówka 2: Zapobiegaj przedostawaniu się szkodliwego
oprogramowania na urządzenia 
Możesz zredukować ryzyko przedostania się do sieci w Twojej organizacji szkodliwych
zawartości poprzez zastosowanie następujących działań: 
 filtrowanie plików, zezwolenie na odbieranie plików określonych typów;


PORADNIK – PRCyber-03
Cyberbezpieczeństwo – zapobieganie atakom typu ransomware

Strona 3 z 5



Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji


 blokowanie witryn, o których wiadomo, że są szkodliwe – możesz skorzystać z
informacji dostępnych na stronie 

[Aby zobaczyć linki, zarejestruj się tutaj]

 aktywne sprawdzanie zawartości stron internetowych, wiadomości e-mail itp.,
 korzystanie z programów antywirusowych, które potrafią blokować znane im szkodliwe
oprogramowanie na podstawie dostępnych sygnatur wirusów.
Zazwyczaj są one wykonywane przez usługi sieciowe, a nie urządzenia użytkowników,
przykładowo: 
 filtrowanie poczty (w połączeniu z filtrowaniem spamu), które może blokować
szkodliwe wiadomości e-mail i usuwać z nich wykonywalne załączniki; 
 filtrowanie z wykorzystaniem serwerów proxy, które blokują dostęp do znanych
szkodliwych stron internetowych; 
 bramy bezpieczeństwa internetowego, które mogą sprawdzać zawartość niektórych
protokołów pod kątem znanego szkodliwego oprogramowania; 
 bezpieczne listy przeglądania w przeglądarkach internetowych, które mogą
uniemożliwić dostęp do witryn znanych z dystrybucji szkodliwych zawartości. 
Niektóre ataki ransomware są przeprowadzane przez atakujących, którzy uzyskali dostęp do
sieci za pomocą protokołu zdalnego dostępu, takiego jak RDP (ang. Remote Desktop
Protocol). Powinieneś uniemożliwić dostęp do Twoich sieci przestępcom stosujących tzw. atak
typu „Brute-Force”, czyli opartego na metodzie prób i błędów. Możesz to zrobić wdrażając w
organizacji m.in. uwierzytelnianie wieloskładnikowe (MFA), czy stosując połączenia
wykorzystujące wirtualną sieć prywatną (VPN).
Wskazówka 3: Zapobiegaj uruchamianiu szkodliwego
oprogramowania na urządzeniach 
Podejście „wielowarstwowej ochrony” zakłada, że przestępca może znaleźć „lukę” w
zabezpieczeniach i szkodliwe oprogramowanie może dotrzeć do Twoich urządzeń. Dlatego
powinieneś podjąć kroki, aby zapobiec uruchomieniu szkodliwego oprogramowania w
sytuacji gdy, mimo wszystko, znajdzie się w Twojej organizacji. Wymagane kroki będą się
różnić dla każdego typu urządzenia i systemu operacyjnego, ogólnie jednak należy rozważyć
użycie zabezpieczeń na poziomie urządzenia, takich jak: 
1. Centralne zarządzanie urządzeniami korporacyjnymi w celu:
 zezwolenia tylko zaufanym aplikacjom na działanie na urządzeniach firmy
poprzez wykorzystanie dedykowanych rozwiązań, w tym funkcji AppLocker; 
 zezwolenia na uruchamianie aplikacji tylko z zaufanych sklepów z aplikacjami
(lub innych zaufanych lokalizacji).


PORADNIK – PRCyber-03
Cyberbezpieczeństwo – zapobieganie atakom typu ransomware

Strona 4 z 5

Departament Cyberbezpieczeństwa 
Ministerstwo Cyfryzacji


2. Korzystanie z wersji Enterprise oprogramowania antywirusowego. Aktualizuj na bieżąco 
oprogramowanie wraz z jego bazą wirusów. Zapewnij swoim pracownikom edukację
w zakresie bezpieczeństwa i szkolenia uświadamiające. 
3. Wyłącz lub ogranicz makra w pakietach biurowych, co oznacza:
 wyłączanie (lub ograniczanie) innych środowisk skryptowych (np. PowerShell);
 wyłączenie uruchamiania automatycznego dla podłączonych nośników (lub
uniemożliwienie korzystanie z nośników wymiennych, jeśli nie jest to
wymagane); 
 ochronę swoich systemów przed możliwymi szkodliwymi makrami w Microsoft
Office. 
Ponadto atakujący może wymusić wykonanie kodu, wykorzystując luki w zabezpieczeniach
urządzenia.  Zapobiegaj temu, utrzymując urządzenia poprawnie skonfigurowane i
posiadające najbardziej aktualne oprogramowanie: 
 instaluj aktualizacje bezpieczeństwa, natychmiast gdy tylko będą dostępne, aby w ten
sposób „załatać” błędy, które przestępcy mogą wykorzystać; 
 włącz automatyczne aktualizacje systemów operacyjnych, aplikacji i oprogramowania
sprzętowego (tzw. firmware), jeśli możesz; 
 zawsze korzystaj z najnowszych wersji systemów operacyjnych i aplikacji, aby korzystać
z najnowszych funkcji bezpieczeństwa; 
 konfiguruj zapory sieciowe, domyślnie blokując połączenia przychodzące.
Wskazówka 4: Ogranicz wpływ infekcji i umożliw szybką
reakcję 
Poniższe kroki zapewnią, że osoby reagujące na incydenty będą mogły pomóc Twojej
organizacji szybko dojść do normlanego funkcjonowania po ataku: 
 Pomóż zapobiegać w rozprzestrzenianiu się szkodliwego oprogramowania w całej
organizacji. Zapobiegnie to swobodnemu przemieszczaniu się atakujących po
urządzeniach w sieci w Twojej organizacji. Zapobiegnie to pozyskaniu poświadczeń
uwierzytelniania lub wykorzystania narzędzi wbudowanych. 
 Do uwierzytelniania użytkowników stosuj uwierzytelnianie wieloskładnikowe (MFA),
a w szczególności uwierzytelnianie dwuskładnikowe (2FA). Nawet jeśli szkodliwe
oprogramowanie wykradnie poświadczenia, nie można będzie ich ponownie użyć. 
 Upewnij się, że nieaktualizowane systemy operacyjne i aplikacje są odpowiednio
oddzielone od reszty sieci. 
 Regularnie sprawdzaj i usuwaj nieużywane już uprawnienia użytkownika, aby
ograniczyć możliwość rozprzestrzeniania się szkodliwego oprogramowania.  Szkodliwe
oprogramowanie może rozprzestrzeniać się tylko do miejsc w sieci, do których mają
dostęp konta zainfekowanych użytkowników.


PORADNIK – PRCyber-03
Cyberbezpieczeństwo – zapobieganie atakom typu ransomware

Strona 5 z 5



Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji



 Administratorzy systemu powinni unikać korzystania ze swoich kont administratora do
obsługi poczty e-mail i przeglądania stron internetowych, aby uniknąć uruchamiania
szkodliwego oprogramowania z wysokimi uprawnieniami systemowymi.
 Zaprojektuj swoją sieć tak, aby interfejsy zarządzania były jak najmniej narażone na
ataki. 
 W ramach dobrego zarządzania zasobami prowadź rejestr stosowanych wersji
oprogramowania zainstalowanych na urządzeniach, który będzie natychmiast dostępny
w przypadku potrzeby szybkiej aktualizacji ich zabezpieczeń.
 Aktualizuj nadzorowaną i zarządzaną infrastrukturę, tak, jak aktualizujesz swoje
urządzenia i nadaj priorytet urządzeniom, które wykonują funkcje związane z
bezpieczeństwem w sieci (takie jak firewalle) i inne urządzenia łączące  różne sieci. 
 Opracuj procedurę reagowania na incydenty, stosuj ją i aktualizuj z każdą zmianą
w organizacji.

PORADNIK – PRCyber-04
Cyberbezpieczeństwo – jak sobie radzić z ransomware

Strona 2 z 4



Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji





Ransomware to szkodliwy program, który szyfruje pliki na komputerach, blokując nam do
nich dostęp. Bardzo często jedyną osobą, która potrafi złamać szyfr, jest sam atakujący.

Rysunek 1 Zdjęcie informacyjne o infekcji ransomware.
Przede wszystkim, należy podejmować kroki zapobiegające infekcjom szkodliwym lub
szantażującym oprogramowaniem. Zostały one opisane przez nas w innym artykule. Jeżeli
jednak doszło do ataku, podejmij niezwłocznie opisane niżej kroki.

Jeśli Twoja organizacja została już zainfekowana szkodliwym lub szyfrującym
oprogramowaniem, te kroki mogą pomóc w ograniczeniu wpływu infekcji. 

Pamiętaj! Jeżeli nie masz fachowców na miejscu, warto wezwać specjalistów w zakresie
reagowania na incydenty lub informatyki śledczej. Pomogą oni poprawnie zabezpieczyć
zebrać materiał dowodowy.


PORADNIK – PRCyber-04
Cyberbezpieczeństwo – jak sobie radzić z ransomware

Strona 3 z 4



Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji



Komputery i inne urządzenia
1. Natychmiast odłącz zainfekowane komputery, laptopy lub tablety od wszystkich
połączeń sieciowych, zarówno przewodowych jak też bezprzewodowych.
2. W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera.
Hibernacja systemu to też dobra (i ekologiczna) opcja.Zastanów się, czy w bardzo
poważnym przypadku konieczne może być wyłączenie Wi-Fi i wyłączenie połączeń sieci
bazowej (w tym przełączników sieciowych).
3. Zresetuj poświadczenia, w tym hasła (szczególnie dla administratorów) - ale sprawdź,
czy nie blokujesz systemów niezbędnych do odzyskiwania danych.



Zgłoszenie incydentu
4. Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że
wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom
note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np.
pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj
też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware
bardzo często dopisuje się do autostartu).
5. Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić,
do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody
odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom
note albo zaszyfrowany plik.
6. Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla
danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który
dało się zdeszyfrować. Jeśli nie, czytaj dalej.
7. Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia.
W tym celu skorzystaj z

[Aby zobaczyć linki, zarejestruj się tutaj]

. W zgłoszeniu przekaż informacje o
podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w
formularzu, według najlepszej wiedzy na moment zgłoszenia.



Przywracanie danych z kopii zapasowej
8. Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa
i przywróć dane z backupu.
9. Przed przywróceniem danych z kopii zapasowej sprawdź, czy kopia jest wolna od
oprogramowania malware i ransomware. Dane należy przywrócić tylko z kopii
zapasowej, jeżeli jesteśmy pewni, że kopia zapasowa nie jest zainfekowana.
10. Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego
zespołu bezpieczeństwa, poczekaj na wynik analizy. Niestety, nie ma co robić sobie za
dużych nadziei, w >95% przypadków ofierze nie da się pomóc – może się udać tylko
jeśli przestępca popełnił błąd.


PORADNIK – PRCyber-04
Cyberbezpieczeństwo – jak sobie radzić z ransomware

Strona 4 z 4


Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji



Po odzyskaniu danych z kopii zapasowej



11. Podłącz urządzenia do niezainfekowanej sieci, aby pobrać, zainstalować i zaktualizować
system operacyjny i całe inne oprogramowanie.
12. Zainstaluj, zaktualizuj i uruchom oprogramowanie antywirusowe.
13. Połącz się ponownie z siecią.
14. Monitoruj ruch w sieci i uruchamiaj skanowanie antywirusowe, aby stwierdzić, czy nadal
występuje infekcja.
15. Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło
oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji
(edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).



O tym jak się zabezpieczyć przed atakiem ransomware, możesz przeczytać w naszym
innym artykule.



Uwaga! Pliki zaszyfrowane przez większość rodzajów ransomware nie mogą zostać
odszyfrowane przez nikogo innego niż atakującego. Nie trać czasu ani pieniędzy na usługi,
które rzekomo mogą to zrobić. W niektórych przypadkach specjaliści ds. bezpieczeństwa
stworzyli narzędzia, które mogą odszyfrować pliki z powodu słabości szkodliwego
oprogramowania (które mogą być w stanie odzyskać niektóre dane), ale należy zachować
ostrożność przed uruchomieniem nieznanych narzędzi na urządzeniach.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Dzięki @Quassar za wyciągnięcie z tekstów poradników bardzo istotnych informacji. Punkt ode mnie Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
W sumie te mini poradniki nie wprowadzają nic czego bym ludziom na codzień nie mówił.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#5
Dla Ciebie to nic, dla informatyka próbującego dotrzeć do głów zarządców majątku to może być ratunek od szaleństwa...
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#6
Też miałem taką osobę w wcześniejszej pracy co nie chciał zainwestować w NAS do kopi zapasowej i coś tam jeszcze...
to kazałem mu napisać oświadczenie na papierze czemu nie chce zainwestować w zabezpieczenia firmy.. bo ja potem nie chce dostawać kary finansowej kiedy będzie infekcja któta uszkodzi dane i sparaliżuje firmę lub wyciek danych..
I firma dostanie kary i tak dalej ze stopy państwa lub kiedy to firma będzie mnie obwinąć za nie moje błędy żebym miał podkładkę na swoją obronę.

Nagle nie było problemu z inwestycją w firmę i zabezpieczenia Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości