CHECK-LIST KHI GẶP SỰ CỐ VỚI RANSOMEWARE
Khi gặp sự cố về RANSOMWARE – còn gọi là virus tống tiền – các công việc cần thiết cho người làm IT (Security, Infrastructure, System, Network …) đó là:
- Nhanh chóng xác định phạm vi bị nhiễm RANSOMWARE, các đối tượng liên quan – thông thường là File Server, các thư mục dùng chung, phòng ban bị nhiễm, khu vực hoạt động …
- Thông báo cho toàn thể công ty về tình hình sơ lược của RANSOMWARE và dấu hiện nhận dạng sơ lược của RANSOMWARE từ máy bị nhiễm. Các bước và biện pháp phòng tránh nhiễm, lây nhiễm cơ bản. Các bước thực hiện nếu phát hiện lây nhiễm. Kênh hỗ trợ khẩn cấp.
- Thực hiện các công việc song song giữa các bộ phận IT và phối hợp với bộ phận bị nhiễm RANSOMWARE:
- Cách ly hoạt động của phòng ban, đối tượng bị nhiễm – đại loại như tắt chia sẻ file trên máy chủ (Stop Sharing), cách ly máy chủ, phòng ban bị nhiễm mã độc (Cách ly vật lý hoàn toàn máy tính bị nhiễm )…
- Xem lại các file backup dữ liệu trước đó và xác định lượng dữ liệu có thể phục hồi, dữ liệu bị mất cho phòng ban liên quan để chuẩn bị cho công tác khôi phục lại dữ liệu.
- Lấy mẫu và gửi mẫu phân tích lên cho hãng cung cấp dịch vụ Antivirus/Endpoint của doanh nghiệp. Nếu là mẫu cũ (hiếm khi xảy ra) thì kiểm tra có các công cụ giải mã có sẵn. Tham khảo trang https://www.nomoreransom.org/ cho cả 2 bước trên. Khuyến nghị nên gửi mẫu phân tích cho hãng Antivirus/Endpoint đang sử dụng hoặc có thể up lên trang https://www.virustotal.com
- Xác định nguyên nhân lây nhiễm. (Do tải, cài đặt phần mềm, do email phishing có mã độc, do truy cập trang web, do USB…) để có thông tin bổ sung thông báo người dùng cách phòng tránh. Tăng cường chính sách ngăn chặn hạn chế các trường hợp xảy ra sau.
- Giữ lại Ổ cứng (Chứa dữ liệu) của máy tính lấy nhiễm để kiểm tra khả năng phục hồi dữ liệu (nếu có thể).
- Tiến hành các phương pháp ngăn chặn dấu hiệu cơ bản theo dấu hiệu của RANSOMWARE
- Chặn trên các hash MD5, tên file, đường dẫn à sử dụng Endpoint để chặn các dạng file này.
- Kiểm tra dấu hiệu nghi ngờ trên các email gửi vào hệ thống (nếu có) à dấu hiệu chung, cập nhật tạm thời cho Mail Gateway (nếu có) hoặc trên Mail Server để cách ly.
- Rà soát lại log của Web Gateway, Proxy trong thời điểm bị mã hóa và ngăn chặn kết nối đến C&C bên ngoài
- Kiểm tra lại khu vực bị nhiễm RANSOMWARE, đảm bảo khu vực cách ly là an toàn và phù hợp.
- Tạo policy “protect” các thư mục, file hệ thống, file chứa dữ liệu trên endpoint (sử dụng phần mềm AV Kaspersky, Mcafee, Symantec, Trend…).
- Bật GTI Mcaffee hoặc KSN của Kaspersky để tăng khả năng nhận dạng mã độc được cập nhật từ Cloud global.
- Tổng hợp kết quả, gửi lại toàn bộ người dùng cảnh báo, dấu hiệu nhận biết, biện pháp phòng tránh, biện pháp thực hiện khi phát hiện.
- Thông báo về tình trạng dữ liệu có thể khôi phục lại (backup hoặc tool giải mã), thời gian dự kiến cho việc thực hiện này
- Email cho người đứng đầu của bộ phận (Data Owner) để xác nhận cho việc thực hiện công tác phục hồi được thực hiện
- Thực hiện công tác rà soát lần cuối cùng khả năng RANSOMWARE còn tồn tại trên Server sau đó thực hiện phục hồi
- Thông báo việc phục hồi hoàn tất và để người đứng đầu bộ phận xác nhận lại tình trạng của dữ liệu
- Thông báo cho bộ phận về việc dữ liệu được khôi phục lại và có thể làm việc (vẫn truy cập trong tình trạng cách ly cho đến khi hệ thống an toàn)
- Sử dụng bản cập nhật tạm thời (đa phần được gọi là Extra Dat) của hãng, thực hiện cập nhật nhanh cho các máy trên hệ thống và tiến hành quét lại.
- Gửi thông báo cho việc thực hiện cập nhật (Extra Dat), thời điểm quét trên máy Clients (lịch quét tự động)
- Nhận lại kết quả của việc quét trên hệ thống à số lượng máy còn nhiễm, chưa quét, số lượng máy đã ổn à quét lại lần nữa hoặc nhờ hỗ trợ thêm từ phía bộ phận hỗ trơ (support).
- Chuẩn bị cho việc mở truy cập lại bình thường cho các bộ phận, phòng ban bị nhiễm khi xác định máy tính là sạch.
- Cập nhật definition của Antivirus mới nhất – có confirm của hãng là đã cập nhật RANSOMWARE đó – cho tất cả các máy tính, đồng thời rà soát lại các thiết lập trên hệ thống liên quan khi đối phó với tình huống RANSOMWARE
- Các thiết lập nào cần giữ lại, thiết lập nào có thể bổ sung vào các Rule có sẵn
- Các thiết lập khuyến nghị cần thiết để hạn chế tình huống tương tự xảy ra
- Cập nhật trong chương trình đào tạo nhận thức (Security Awareness) phần Case-study.
- Thông báo cho doanh nghiệp về việc hệ thống đã trở lại bình thường.
- Việc cập nhật dữ liệu cho tới thời điểm bị sự cố của phòng ban sẽ do phòng ban thực hiện.
- Theo dõi trong một khoảng thời gian để đảm bảo an toàn (hỗ trợ thiết lập backup định kỳ sớm hơn để hạn chế mất dữ liệu nếu có sự cố).
- Hoàn chỉnh lại việc thiết lập cho phòng ban (chú ý các phân quyền trên các thư mục chia sẻ dùng chung).
Ghi chú: nếu doanh nghiệp có đội forensic hoặc đội reverse có thể sử dụng các mẫu để phân tích các dấu hiệu nhận diện C&C tốt hơn. Nếu không có thể nhờ bên ngoài (nếu được). Trong tài liệu này không đề cập đến việc bảo quản dữ liệu cho phần Forensic của bên ngoài.
Xem thêm: Cảnh báo mã độc tống tiền
Theo cá nhân mình, việc này
…Cách ly hoạt động của phòng ban, đối tượng bị nhiễm – đại loại như tắt chia sẻ file trên máy chủ (Stop Sharing), cách ly máy chủ, phòng ban bị nhiễm mã độc (Cách ly vật lý hoàn toàn máy tính bị nhiễm )…
Nên là công việc đầu tiên khi phát hiện sự cố.