ໂດເມນເຂົ້າສູ່ລະບົບລົງຫຼັງຈາກ KREMLIN Ransomware: ສິ່ງທີ່ມັນຕ້ອງແກ້ໄຂກ່ອນ

ອາການທໍາອິດຂອງບັນຫາແມ່ນງ່າຍດາຍ: ຜູ້ໃຊ້ໃນຫ້ອງການບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້. ຂໍ້ມູນປະຈໍາຕົວຂອງໂດເມນຍັງຄົງລົ້ມເຫລວ, ໄດແຜນທີ່ຫາຍໄປ, ແລະແມ້ກະທັ້ງຜູ້ເບິ່ງແຍງລະບົບກໍ່ພະຍາຍາມເປີດການຄຸ້ມຄອງນະໂຍບາຍຂອງກຸ່ມ. ໃນຕົວຄວບຄຸມໂດເມນຕົ້ນຕໍ, ໄຟລ໌ທີ່ສໍາຄັນມີສ່ວນຂະຫຍາຍໃຫມ່ເຊັ່ນ: .kremlin, ແລະບັນທຶກຄ່າໄຖ່ຢູ່ໃນຮາກຂອງລະບົບ. ໄວຫຼາຍ, ທີມງານຮູ້ວ່າພວກເຂົາກໍາລັງຈັດການກັບ KREMLIN Ransomware ໃນຕົວຄວບຄຸມໂດເມນ.

ໃນສະຖານະການນີ້, panic ແລະ rebooting random ພຽງແຕ່ເຮັດໃຫ້ສິ່ງທີ່ຮ້າຍແຮງກວ່າເກົ່າ. ທ່ານຕ້ອງການຄໍາສັ່ງທີ່ຊັດເຈນຂອງການດໍາເນີນງານ: ສະຖຽນລະພາບຕົວຕົນ, ປົກປ້ອງສິ່ງທີ່ເຫຼືອ, ແລະສ້າງໃຫມ່ການບໍລິການໂດເມນໃນວິທີການຄວບຄຸມ.

ບັນຈຸ ໄດ້ ransomware ຜົນກະທົບຕໍ່ໂດເມນ

ຫນ້າທໍາອິດ, ສຸມໃສ່ການບັນຈຸ, ບໍ່ແມ່ນການຟື້ນຕົວທັນທີ.

• ຕັດການເຊື່ອມຕໍ່ຕົວຄວບຄຸມໂດເມນທີ່ຕິດເຊື້ອຈາກເຄືອຂ່າຍ.
• ປິດການນຳໃຊ້ບັນຊີຜູ້ເບິ່ງແຍງລະບົບທີ່ໜ້າສົງໄສ ແລະຣີເຊັດລະຫັດຜ່ານທີ່ອາດຈະຖືກເປີດເຜີຍ.
• ຢຸດຜູ້ໃຊ້ພະຍາຍາມ “ແກ້ໄຂດ່ວນ” ໃນເຄື່ອງຈັກຂອງຕົນເອງ.
• ເກັບຮັກສາບັນທຶກຄ່າໄຖ່, ບັນທຶກ, ແລະບາງຕົວຢ່າງທີ່ຖືກເຂົ້າລະຫັດໄວ້ສໍາລັບການວິເຄາະ.

ການໂດດດ່ຽວນີ້ປ້ອງກັນບໍ່ໃຫ້ ໄດ້ ransomware ເຂົ້າເຖິງຕົວຄວບຄຸມໂດເມນອື່ນ, ເຊີບເວີໄຟລ໌ ແລະໂຄງສ້າງພື້ນຖານສຳຮອງ. ມັນຍັງຮັກສາຫຼັກຖານໄວ້ຢ່າງບໍ່ຢຸດຢັ້ງ, ເຊິ່ງເປັນສິ່ງສໍາຄັນສໍາລັບຄວາມພະຍາຍາມຟື້ນຟູທີ່ຮ້າຍແຮງ.

KREMLIN Ransomware ສະຫຼຸບສະຖານະການສໍາລັບການຄຸ້ມຄອງ

ເມື່ອຕົວຄວບຄຸມໂດເມນຖືກໂດດດ່ຽວ, ການຈັດການຕ້ອງການສະຖານະສັ້ນ, ຊື່ສັດ. ຫຼີກເວັ້ນການ jargon ດ້ານວິຊາການແລະສຸມໃສ່ຜົນກະທົບ.

ຕອບສາມຄໍາຖາມພື້ນຖານ:

• ແມ່ນຫຍັງແຕກໃນປັດຈຸບັນ? (ເຂົ້າ​ສູ່​ລະ​ບົບ​, ການ​ແບ່ງ​ປັນ​ໄຟລ​໌​, ກິດ​ພາຍ​ໃນ​)
• ສິ່ງທີ່ຍັງເຮັດວຽກ? (ອີເມລ໌ຄລາວ, VPN, ການບໍລິການພາຍນອກທີ່ສໍາຄັນ)
• ແມ່ນຫຍັງບໍ່ຮູ້? (ສຸຂະພາບຂອງການສໍາຮອງ, ຈໍານວນຂອງລະບົບສໍາຜັດ)

ການສະຫຼຸບໂດຍຫຍໍ້ນີ້ເຮັດໃຫ້ຜູ້ນໍາສາມາດຕັດສິນໃຈວ່າຈະຈັດລໍາດັບຄວາມສໍາຄັນຫຍັງ. ຕົວຢ່າງ, ພວກເຂົາອາດຈະຍອມຮັບການເຂົ້າສູ່ລະບົບຊົ່ວຄາວໃນທ້ອງຖິ່ນໃນບາງເຄື່ອງແມ່ຂ່າຍໃນຂະນະທີ່ IT ສຸມໃສ່ການຟື້ນຟູການເຂົ້າສູ່ລະບົບໂດເມນສໍາລັບທີມງານທາງດ້ານການເງິນແລະການດໍາເນີນງານກ່ອນ.

ການປະເມີນຄວາມເສຍຫາຍຕໍ່ Active Directory

ຕໍ່ໄປ, ທ່ານຕ້ອງການການປະເມີນດ້ານວິຊາການທີ່ມີໂຄງສ້າງຂອງ Active Directory ແລະການບໍລິການທີ່ກ່ຽວຂ້ອງ.

ກວດສອບ:

• ບໍ່ວ່າຕົວຄວບຄຸມໂດເມນອື່ນໆມີສຸຂະພາບດີຫຼືສະແດງອາການເບື້ອງຕົ້ນຂອງ ໄດ້ ransomware.
• ສະຖານະຂອງ SYSVOL, ເຂດ DNS, ແລະບົດບາດ AD ທີ່ສໍາຄັນ (FSMO).
• ອາຍຸແລະສະຖານທີ່ຂອງການສໍາຮອງຂໍ້ມູນທີ່ຮູ້ຈັກສຸດທ້າຍຂອງຕົວຄວບຄຸມໂດເມນ.

ໃນຈຸດນີ້, ຫຼາຍໆທີມຕິດຕໍ່ຜູ້ຊ່ຽວຊານດ້ານການຟື້ນຟູທີ່ອຸທິດຕົນໂດຍຜ່ານ FixRansomware.com ແລະສົ່ງຕົວຢ່າງຢ່າງປອດໄພຜ່ານ app.FixRansomware.com. ເປົ້າຫມາຍແມ່ນເພື່ອຢືນຢັນຄວາມເມື່ອຍລ້າ, ຄາດຄະເນທາງເລືອກໃນການຟື້ນຕົວ, ແລະຫຼີກເວັ້ນການທໍາລາຍສິ່ງທີ່ຍັງສາມາດຟື້ນຕົວໄດ້. ສໍາລັບການປະຕິບັດທີ່ດີທີ່ສຸດໂດຍທົ່ວໄປ, ມັນຍັງຊ່ວຍທົບທວນຄູ່ມື CISA Ransomware Guide ຢ່າງເປັນທາງການ, ເຊິ່ງເສີມສ້າງຮູບແບບ “isolate-assess-recover”.

ສະຖຽນລະພາບ AD ຫຼັງຈາກ KREMLIN Ransomware

ໃນປັດຈຸບັນຈຸດສຸມປ່ຽນຈາກການວິນິດໄສໄປສູ່ຄວາມຫມັ້ນຄົງ.

ທໍາອິດ, ຕັດສິນໃຈວ່າຕົວຄວບຄຸມໂດເມນທີ່ສະອາດຍັງຢູ່. ຖ້າມີ DC ທີ່ມີສຸຂະພາບດີ, ພິຈາລະນາຍຶດເອົາບົດບາດຂອງ FSMO ຢູ່ທີ່ນັ້ນແລະຢືນຢັນວ່າການຈໍາລອງແມ່ນປອດໄພ. ຖ້າທຸກຕົວຄວບຄຸມໂດເມນສະແດງອາການຂອງ ໄດ້ ransomware, ທ່ານອາດຈະຕ້ອງວາງແຜນການຟື້ນຟູຈາກການສໍາຮອງໂລຫະເປົ່າຫຼືແມ້ກະທັ້ງການສ້າງໂດເມນຄືນໃຫມ່.

ຫຼັງຈາກນັ້ນ, ເຮັດວຽກຈາກສໍາເນົາແທນທີ່ຈະຈາກແຜ່ນລະບົບທີ່ຍັງເຫຼືອພຽງແຕ່. Clone ຜົນກະທົບຂອງປະລິມານການຄວບຄຸມໂດເມນແລະປະຕິບັດການທົດສອບທັງຫມົດກ່ຽວກັບ clones ເຫຼົ່ານັ້ນ. ວິທີການນີ້ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ການທໍາລາຍຫຼັກຖານແລະໃຫ້ທ່ານມີຫ້ອງທົດລອງກັບເສັ້ນທາງການຟື້ນຕົວທີ່ແຕກຕ່າງກັນ.

ການຟື້ນຟູການເຂົ້າສູ່ລະບົບໂດເມນດ້ວຍວິທີຄວບຄຸມ

ຫຼັງ​ຈາກ​ທີ່​ທ່ານ​ສະ​ຖຽນ​ລະ​ພາບ​ສະ​ພາບ​ແວດ​ລ້ອມ​, ທ່ານ​ສາ​ມາດ​ເລີ່ມ​ຕົ້ນ​ການ​ນໍາ​ເຂົ້າ​ສູ່​ລະ​ບົບ​ກັບ​ຄືນ​ໄປ​ບ່ອນ​.

ຄໍາສັ່ງການປະຕິບັດການປະຕິບັດແມ່ນ:

1. ຟື້ນຟູຢ່າງນ້ອຍຫນຶ່ງຕົວຄວບຄຸມໂດເມນທີ່ສະອາດຈາກການສໍາຮອງຂໍ້ມູນທີ່ເຊື່ອຖືໄດ້.
2. ກວດສອບສຸຂະພາບຂອງ AD: ການແກ້ໄຂ DNS, ການຈໍາລອງ, ແລະ SYSVOL ແລະການເຂົ້າເຖິງນະໂຍບາຍ.
3. ເອົາເຄື່ອງແມ່ຂ່າຍທີ່ສໍາຄັນແລະກຸ່ມຜູ້ໃຊ້ກັບຄືນສູ່ການພິສູດຢືນຢັນໂດເມນເທື່ອລະກ້າວ.

ໃນລະຫວ່າງຂະບວນການນີ້, ຮັກສາການຄວບຄຸມທີ່ເຄັ່ງຄັດກ່ຽວກັບເຄື່ອງຈັກທີ່ rejoin ກັບໂດເມນ. ຈຸດສິ້ນສຸດທີ່ຕິດເຊື້ອສາມາດນໍາມາໃຊ້ ໄດ້ ransomware ຫຼື malware ອື່ນໆໄດ້ຢ່າງງ່າຍດາຍຖ້າພວກມັນເຊື່ອມຕໍ່ຄືນໃໝ່ໂດຍບໍ່ມີການທໍາຄວາມສະອາດຢ່າງຖືກຕ້ອງ.

ການສື່ສານກັບຜູ້ໃຊ້ໃນລະຫວ່າງການກູ້ຄືນໂດເມນ

ໃນຂະນະດຽວກັນ, ທ່ານຕ້ອງຈັດການຄວາມຄາດຫວັງຂອງຜູ້ໃຊ້.

ອະທິບາຍວ່າ:

• ການເຂົ້າສູ່ລະບົບອາດຈະຊ້າ ຫຼືຖືກຈຳກັດຊົ່ວຄາວ.
• ບາງໄດຣຟ໌ ແລະແອັບຯຈະກັບຄືນມາໃນຂັ້ນຕອນ, ບໍ່ແມ່ນທັງຫມົດໃນເວລາດຽວກັນ.
• ຣີເຊັດລະຫັດຜ່ານ ແລະການກວດສອບ MFA ອາດຈະຕ້ອງການເລື້ອຍໆ.

ການສື່ສານທີ່ຊັດເຈນຊ່ວຍຫຼຸດຜ່ອນຄວາມອຸກອັ່ງ ແລະຢຸດຄົນຈາກຄວາມພະຍາຍາມແກ້ໄຂບັນຫາທີ່ບໍ່ປອດໄພ ເຊັ່ນ: ການສຳເນົາຂໍ້ມູນໃສ່ບັນຊີຄລາວສ່ວນຕົວ ຫຼື ການແບ່ງປັນລະຫັດຜ່ານແບບບໍ່ເປັນທາງການ.

Hardening ສະພາບແວດລ້ອມຫຼັງຈາກ KREMLIN Ransomware

ເມື່ອການເຂົ້າສູ່ລະບົບໂດເມນມີຄວາມຫມັ້ນຄົງອີກເທື່ອຫນຶ່ງ, ທ່ານຈໍາເປັນຕ້ອງປິດປະຕູທີ່ ໄດ້ ransomware ໃຊ້ໃນຄັ້ງທໍາອິດ.

ຂັ້ນຕອນການຕິດຕາມປົກກະຕິປະກອບມີ:

• ການບັງຄັບໃຊ້ການພິສູດຢືນຢັນຫຼາຍປັດໃຈສໍາລັບບັນຊີຜູ້ເບິ່ງແຍງ.
• ການຮັດແໜ້ນ RDP ແລະ VPN exposure, ໂດຍສະເພາະແມ່ນຢູ່ເບື້ອງຫຼັງນະໂຍບາຍການເຂົ້າເຖິງທີ່ເຂັ້ມແຂງ.
• ການທົບທວນຄືນແລະການຫຼຸດຜ່ອນຈໍານວນຂອງໂດເມນ admins ແລະກຸ່ມສິດທິພິເສດ.
• ການປັບປຸງຍຸດທະສາດການສໍາຮອງຂໍ້ມູນທີ່ມີຢ່າງຫນ້ອຍຫນຶ່ງຊັ້ນອອຟໄລຫຼື immutable ສໍາລັບຕົວຄວບຄຸມໂດເມນ.

ຖ້າທ່ານປະຕິບັດຕໍ່ເຫດການດັ່ງກ່າວເປັນການກວດສອບຄວາມປອດໄພທີ່ຖືກບັງຄັບ, ທ່ານຈະອອກມາດ້ວຍ Active Directory ທີ່ແຂງແຮງກວ່າ, ນະໂຍບາຍການເຂົ້າເຖິງທີ່ສະອາດ, ແລະປື້ມບັນທຶກການຟື້ນຕົວທີ່ຖືກທົດສອບສໍາລັບການໂຈມຕີຕໍ່ໄປ.