Doorslaggevende factoren voor gegevensherstel van ransomware

Welke ransomware en wanneer?

• Welke ransomware is het? Het kennen van de verantwoordelijke ransomware of de gebruikte trojans is cruciaal om een ??voorlopige inschatting te kunnen maken van mogelijk dataherstel. Achter elke ransomware en elke aanval zitten verschillende daders die totaal anders handelen en netwerken aanvallen met verschillende combinaties van malware. Doordat wij hiervan vaak, door onze ervaring, op de hoogte zijn, kunnen wij snel conclusies trekken.
• Wanneer werd de ransomware-besmetting opgemerkt? Hoe eerder een cyberaanval wordt opgemerkt, hoe groter de kans op gegevensherstel. De ervaring leert ons dat daders de tijd nemen om bedrijfsnetwerken te doorzoeken. Daarbij analyseren ze uitgebreid welke servers, systemen en data potentiële doelwitten van aanvallen zijn en versleutelen ze deze. Als de afpersing melding verschijnt, dan mag ervan worden uitgegaan dat de daders al ruimschoots de tijd hebben gehad om veel belangrijke gegevens te versleutelen.

Belangrijk: als je een ransomware-aanval detecteert, schakel dan onmiddellijk alle apparaten uit en verbreek alle netwerkverbindingen (kabels loskoppelen) en toegang tot internet. Afsluiting van de geïnfecteerde computers en servers is van groot belang. Schadelijke programma’s kunnen dan niet meer communiceren met de servers van de daders.

Soorten gegevens en de deadline

• Wat voor soort gegevens zijn versleuteld en moeten worden gereconstrueerd? Zoals bij alle gegevensherstel, is het gegevens- of bestandstype een cruciale factor bij ransomware. Attingo Datarecovery heeft ontdekt dat bepaalde ransomware kleine bestandstypen versleutelt, en grote bestanden en onbekende bestandsindelingen verwijdert.
• Is er een deadline van de afpersers? Onze specialisten hebben de afgelopen jaren de plannen van sommige ransomware-afpersers gedwarsboomd door gegevens van slachtoffers te herstellen. De daders kennen de mogelijkheden van dataredders en proberen te voorkomen dat er een analyse en vervolgens dataherstel zal plaatsvinden. Onze ervaring heeft ons geleerd dat dit met een deadline gebeurt met drastische gevolgen. Als je niet binnen de deadline betaalt, dreigen de daders alle gegevens te vernietigen, of als de deadline verstrijkt, wordt het te betalen losgeld verhoogd.

Belangrijk: De uitgebreide analyse van getroffen servers, NAS en computers kan bij het herstellen van gegevens lang duren. De daders weten dit en proberen met gepaste druk de inschakeling van data recovery dienstverleners en het herstel van de data te voorkomen. Omdat een cyberaanval altijd diefstal van gegevens inhoudt, dreigen nu ook afpersers van Maze en Sodinobiki gevoelige bedrijfsgegevens openbaar te maken of aan de concurrentie te koop aan te bieden om zo de getroffenen verder onder druk te zetten.

Wat is er al gedaan en welke systemen zijn getroffen

• Wat is er al geprobeerd om data te redden? De ervaring leert dat er in paniek van alles wordt gedaan om de systemen en servers weer aan de praat te krijgen. Het probleem is dat juist dit de kansen op gegevensherstel aanzienlijk kan verminderen. In veel gevallen heeft de ransomware ook back-ups en back-ups geïnfecteerd, waardoor de gegevens en de snapshots zijn beschadigd.
• Welke systemen zijn getroffen? Centrale infrastructuren worden meestal eerst aangevallen om van daaruit bestaande back-ups onbruikbaar te maken. Vervolgens worden, afhankelijk van de bestaande topologie, verschillende acties ondernomen. Relevante factoren zijn onder andere; Welk serverbesturingssysteem gebruik je? Gebruik je virtualisatieoplossingen van VMware of Hyper-V, staan er Veeam- of Altaro-back-ups op een NAS? Zijn er oude back-up kopieën op media die nu defect zijn of misschien wel offline back-ups op tapedrives of tapes?