Ransomware Bl@ckLocker โจมตีทั้งไฟล์เซิร์ฟเวอร์และการสำรองข้อมูล: เราบันทึกข้อมูลได้อย่างไร

บริการถอดรหัส ransomware Bl@ckLocker

เมื่อพนักงานมาถึงเช้าวันจันทร์ ตอนแรกเครือข่ายดูเหมือนจะปกติดี ผู้ใช้สามารถเข้าสู่ระบบได้ อีเมลใช้งานได้ และแอปพลิเคชันสำหรับธุรกิจต่างๆ ยังคงเปิดอยู่ ความตกใจที่แท้จริงเกิดขึ้นเมื่อพวกเขาพยายามเข้าถึงโฟลเดอร์ที่แชร์ ไฟล์โครงการเปิดไม่ได้ สเปรดชีตทางการเงินเสียหาย และโฟลเดอร์เก็บถาวรแสดงนามสกุลไฟล์ใหม่แปลกๆ เช่น .blacklocker ในเกือบทุกไฟล์ บันทึกเรียกค่าไถ่ยืนยันเรื่องนี้แล้ว: Ransomware Bl@ckLocker ได้เข้ารหัสทั้งเซิร์ฟเวอร์ไฟล์หลักและเซิร์ฟเวอร์สำรองข้อมูล

นี่เป็นสถานการณ์ที่เลวร้ายสำหรับหลายบริษัท แต่ในกรณีนี้ ทีมยังสามารถกู้คืนข้อมูลสำคัญได้โดยไม่ต้องจ่ายเงินให้กับผู้โจมตี นี่คือวิธีที่พวกเขาทำ

เมื่อ ที่ ransomware ยึดครองเซิร์ฟเวอร์ไฟล์และการสำรองข้อมูล

การค้นพบครั้งแรกนั้นโหดร้ายมาก ไม่เพียงแต่เซิร์ฟเวอร์ไฟล์จะถูกเข้ารหัสเท่านั้น แต่เซิร์ฟเวอร์สำรองข้อมูลที่ซิงค์ทุกคืนก็ถูกล็อกด้วยเช่นกัน เนื่องจาก ที่ ransomware สามารถเข้าถึงเครือข่ายเดียวกันได้ จึงเข้ารหัสข้อมูลสำรองล่าสุดทันทีหลังจากเสร็จสิ้นการสำรองข้อมูลแบบสด

อย่างไรก็ตาม ทีมงานพยายามต้านทานแรงกระตุ้นที่จะรีบูตทุกอย่างหรือติดตั้งเซิร์ฟเวอร์ใหม่ แทนที่จะทำเช่นนั้น พวกเขาจึง:

  • ออฟไลน์เซิร์ฟเวอร์ไฟล์และเซิร์ฟเวอร์สำรองข้อมูล
  • บล็อกการเข้าถึงระยะไกล VPN และบัญชีผู้ดูแลระบบที่น่าสงสัย
  • หยุดผู้ใช้จากการคัดลอกไฟล์เข้ารหัสไปยังแล็ปท็อปหรือที่เก็บข้อมูลบนคลาวด์

ด้วยการดำเนินการอย่างรวดเร็ว พวกเขาจึงสามารถหยุดเหตุการณ์ไว้ได้ ไม่มีไฟล์ใดถูกแตะต้องอีกต่อไป และสภาพแวดล้อมก็มีเสถียรภาพเพียงพอสำหรับการวิเคราะห์อย่างเหมาะสม

การอธิบายสถานการณ์ให้ฝ่ายบริหารทราบ

ฝ่ายบริหารจำเป็นต้องเข้าใจความเสียหายอย่างเข้าใจง่าย หัวหน้าฝ่ายไอทีได้สรุปสั้นๆ ไว้ดังนี้:

  • สิ่งที่ถูกโจมตี: เซิร์ฟเวอร์ไฟล์หลักและเซิร์ฟเวอร์สำรองข้อมูลหลัก
  • สิ่งที่ยังใช้งานได้: อีเมล, ERP และบริการคลาวด์ต่างๆ
  • ความเสี่ยงหลัก: การสำรองข้อมูลล่าสุดได้รับการเข้ารหัส สำเนาออฟไลน์เก่าอาจยังคงมีอยู่

ด้วยสถานะที่ชัดเจนนี้ ผู้นำจึงสามารถจัดลำดับความสำคัญได้ พวกเขาเห็นพ้องกันว่าการกู้คืนโฟลเดอร์ทางการเงิน กฎหมาย และการดำเนินงานที่ใช้งานอยู่นั้นสำคัญกว่าการกู้คืนไฟล์เก่าทั้งหมด การตัดสินใจครั้งนี้ได้กำหนดแผนการกู้คืนส่วนที่เหลือ

การประเมินทางเทคนิคของเหตุการณ์ Ransomware Bl@ckLocker

จากนั้น ทีมงานได้เริ่มดำเนินการตรวจสอบทางเทคนิคอย่างมีโครงสร้างแทนการลองผิดลองถูกแบบสุ่ม

เอกสารเหล่านี้ได้บันทึกไว้ดังนี้:

  • บทบาทของเซิร์ฟเวอร์ รูปแบบการจัดเก็บ และตารางการสำรองข้อมูล
  • แชร์ใดบ้างที่ถูกเข้ารหัส และแชร์ใดบ้างที่ไม่ถูกแตะต้อง
  • ช่วงเวลาที่ ที่ ransomware น่าจะทำงาน

จากนั้นพวกเขาจึงเก็บตัวอย่างไฟล์ที่เข้ารหัสและบันทึกต่างๆ ณ จุดนี้ พวกเขาได้ติดต่อผู้เชี่ยวชาญผ่าน FixRansomware.com และส่งตัวอย่างผ่าน app.FixRansomware.com. เป้าหมายคือการยืนยันสายพันธุ์ ทำความเข้าใจพฤติกรรมทั่วไปของ ที่ ransomware และหลีกเลี่ยงการแก้ไขแบบ “DIY” ที่สร้างความเสียหาย

สำหรับคำแนะนำเพิ่มเติม พวกเขายังได้ดูคู่มือ CISA Ransomware Guide, อย่างเป็นทางการ ซึ่งแนะนำอย่างยิ่งให้แยกระบบ เก็บรักษาหลักฐาน และวางแผนการกู้คืนก่อนที่จะสัมผัสข้อมูลการผลิต

การสร้างแผนการกู้คืนโดยไม่ต้องมีการสำรองข้อมูลใหม่

เนื่องจากข้อมูลสำรองล่าสุดได้รับการเข้ารหัส ทีมงานจึงจำเป็นต้องใช้กลยุทธ์แบบผสมผสาน:

  1. โคลนก่อน กู้คืนทีหลัง
    พื้นที่เก็บข้อมูลจากทั้งไฟล์เซิร์ฟเวอร์และเซิร์ฟเวอร์สำรองข้อมูลถูกโคลน การทดสอบทั้งหมดดำเนินการกับไฟล์โคลน ด้วยวิธีนี้ หากเครื่องมือทำให้ข้อมูลเสียหาย หลักฐานดั้งเดิมยังคงอยู่
  2. ค้นหาข้อมูลสำรองออฟไลน์ที่เก่ากว่า
    โชคดีที่บริษัทเก็บสำเนาออฟไลน์รายเดือนไว้ในสื่อบันทึกข้อมูลแบบถอดได้ที่จัดเก็บไว้นอกสถานที่ ข้อมูลสำรองเหล่านี้เก่ากว่าแต่ปลอดภัย พวกมันกลายเป็นแกนหลักในการกู้คืนโครงสร้างโฟลเดอร์หลัก
  3. ผสานข้อมูลที่กู้คืนแล้วด้วยการถอดรหัสแบบเจาะจง
    ข้อมูลที่เก่ากว่าปลอดภัยถูกกู้คืนจากข้อมูลสำรองออฟไลน์ สำหรับเอกสารที่ใหม่กว่าซึ่งมีเฉพาะในรูปแบบเข้ารหัส ผู้เชี่ยวชาญได้พยายามถอดรหัสแบบเจาะจงโดยอาศัยพฤติกรรมของ ที่ ransomware วิธีการแบบผสมผสานนี้ช่วยให้บริษัทสามารถสร้างมุมมองไฟล์ที่เกือบจะเป็นปัจจุบันขึ้นใหม่ได้
  4. ให้ความสำคัญกับโฟลเดอร์ที่สำคัญต่อธุรกิจ
    การเงิน สัญญา และไดเรกทอรีโครงการที่ใช้งานอยู่มาก่อน คลังข้อมูลที่ไม่สำคัญมากนักจะรอจนกว่าทีมที่สำคัญที่สุดจะกลับมาทำงานได้อีกครั้ง

ตลอดกระบวนการนี้ ทุกขั้นตอนสำคัญจะถูกบันทึกไว้ ไม่ว่าจะเป็นสิ่งที่ทดสอบ สถานที่ทดสอบ และผลลัพธ์ที่เก็บไว้ บันทึกดังกล่าวช่วยในการตรวจสอบภายในและลดข้อโต้แย้งเกี่ยวกับไฟล์ที่ “หายไป” ในภายหลัง

บทเรียนที่ได้รับและการเสริมสร้างความแข็งแกร่งหลังจากการโจมตีของ Ransomware Bl@ckLocker

หลังจากวิกฤตผ่านพ้นไปและผู้ใช้กลับมาทำงานได้อีกครั้ง บริษัทได้ถือว่าเหตุการณ์นี้เป็นเพียงการตรวจสอบโดยบังคับ ไม่ใช่เป็นหายนะเพียงครั้งเดียว

พวกเขา:

  • ลดระยะเวลาการสำรองข้อมูลและเพิ่มระดับการสำรองข้อมูลแบบคงที่หรือแบบออฟไลน์อย่างน้อยหนึ่งระดับ
  • เข้มงวดสิทธิ์ผู้ดูแลระบบและบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย
  • ลดบริการที่เปิดเผยและตรวจสอบนโยบายการเข้าถึงระยะไกล
  • สร้างคู่มือการรับมือกับเหตุการณ์อย่างง่าย เพื่อให้ทุกคนรู้ว่าควรทำอย่างไรในครั้งต่อไป

ที่ ransomware โจมตีทั้งไฟล์เซิร์ฟเวอร์และระบบสำรองข้อมูล แต่ธุรกิจไม่ได้จบลงง่ายๆ ด้วยวิธีการแบบแผน คือ ควบคุม ประเมิน และกู้คืน พวกเขาจึงหลีกเลี่ยงการจ่ายค่าไถ่ และเปลี่ยนสถานการณ์ที่เลวร้ายที่สุดให้กลายเป็นบทเรียนอันเจ็บปวดแต่มีค่า

    Popular Post

    Decrypt 100% Dengan
    Decryptor Ransomware Kami!

    Konsultasi Sekarang