Mengatasi dilema pencadangan untuk pemulihan ransomware

Prediksi khusus Pengeluaran SGP 2020 – 2021. Hadiah menarik yang lain-lain ada diamati secara berkala melewati pengumuman yang kita letakkan di situs itu, lalu juga bisa ditanyakan terhadap petugas LiveChat pendukung kami yang stanby 24 jam On-line untuk mengservis semua kepentingan antara pengunjung. Lanjut buruan join, & kenakan cashback Lotto & Live Casino On the internet terhebat yang hadir di laman kita.

Serangan Ransomware mulai menghadirkan lingkungan TI dengan dua opsi yang sangat tidak menarik: melakukan satu pemulihan penuh yang benar-benar kehilangan banyak data, atau melakukan ratusan hingga ribuan pemulihan individu untuk mengembalikan lingkungan Anda ke sesuatu yang menyerupai keadaan normal. Alasan untuk dua pilihan yang tidak menguntungkan ini adalah bahwa ransomware sekarang mengubah perilakunya setelah menginfeksi lingkungan Anda. Ini menghadirkan tantangan khusus ketika mencoba memulihkan data Anda.

Serangan ransomware tipikal terdiri dari empat fase: infeksi, ekspansi, enkripsi, dan deteksi. Fase infeksi cukup mudah dipahami; ini adalah saat komputer pertama di lingkungan Anda terinfeksi ransomware. Ini biasanya terjadi karena seseorang mengklik email yang seharusnya tidak mereka buka atau mengunjungi situs web yang seharusnya tidak mereka gunakan. Bagian awal dari malware dikerahkan di komputer yang bersangkutan dan menjangkau server command-and-control (C&C/C2) untuk diberi tahu apa yang harus dilakukan.

Secara historis, server ini akan mengarahkan malware untuk segera memulai fase enkripsi. Malware akan mulai mengenkripsi file sebanyak mungkin, terutama file yang baru saja dimodifikasi dan file sistem penting. Tujuannya adalah untuk merusak sistem secepat mungkin dan kemudian mengirimkan pesan tebusan sementara malware terus mengenkripsi data lain.

Namun, banyak varian ransomware modern telah beralih taktik untuk memprioritaskan ekspansi atas enkripsi. Setelah satu komputer di lingkungan Anda terinfeksi, kemungkinan besar akan diberitahu untuk memprioritaskan menginfeksi sistem lain sebelum mengenkripsi file yang akan menyebabkan malware ditemukan. Ini akan menggunakan berbagai teknik untuk mencoba menginfeksi sistem lain, seperti menggunakan alat umum seperti Remote Desktop Protocol (RDP), sistem file jaringan (NFS) atau blok pesan server (SMB). Bahkan mungkin mulai menargetkan sistem tertentu, seperti server cadangan. Jika dapat menginfeksi server cadangan dan melumpuhkannya, kemungkinan membayar uang tebusan meningkat secara eksponensial.

Sementara ransomware terus mencoba menginfeksi pusat data lainnya, ia mungkin juga mulai mengenkripsi file yang tidak akan diketahui oleh siapa pun. Mungkin mengenkripsi file lama, karena kemungkinan seseorang mengaksesnya relatif rendah. Sama seperti fase ekspansi, fase enkripsi sekarang ingin memprioritaskan enkripsi file sebanyak mungkin sebelum ada yang menyadari bahwa mereka telah terinfeksi.

Yang penting untuk dipahami tentang bagaimana ransomware berperilaku adalah bahwa dua fase ekspansi dan enkripsi terjadi secara bersamaan dan dapat memakan waktu beberapa minggu untuk terjadi. Jika ransomware tidak terdeteksi, itu bisa melakukan aktivitas ini selama berbulan-bulan. Sebuah studi baru-baru ini dari FireEye Mandiant menunjukkan bahwa rata-rata waktu tunggu dari serangan ransomware tipikal sekarang adalah 24 hari. Selama waktu itu, jenis malware dapat mengenkripsi file di banyak komputer selama berhari-hari.

Satu perilaku umum di hampir semua produk pencadangan dan pemulihan adalah bahwa pemulihan dilakukan dari satu titik waktu. Jika Anda hanya dapat memulihkan direktori ke satu titik waktu, bagaimana Anda memulihkan ratusan file yang telah dimodifikasi di banyak direktori selama berminggu-minggu? Selain itu, ingatlah bahwa Anda perlu memulihkan server ke titik waktu tertentu sebelum itu terinfeksi untuk mengucapkan selamat tinggal pada ransomware.

Setelah memastikan Anda membersihkan komputer dari malware itu sendiri, pemulihan khas dari serangan ransomware akan melibatkan penghapusan semua file terenkripsi – berpotensi semua file dalam direktori atau sistem file tertentu. Kemudian Anda mengembalikan semuanya kembali ke sebelum serangan. Anda tidak ingin memulihkan file terenkripsi (atau malware), jadi Anda perlu memulihkan direktori atau sistem file ke titik tepat sebelum serangan ransomware dimulai.

Di sinilah Anda dihadapkan dengan dilema. Apakah Anda meninggalkan direktori yang bersangkutan dengan tampilan seperti sebelum infeksi (membuang pekerjaan apa pun sejak saat itu), atau apakah Anda mencoba mengidentifikasi semua file yang dienkripsi setelah infeksi, dan mengembalikan masing-masing ke titik di waktu sebelum mereka dienkripsi? Pikirkan betapa sulitnya melakukan itu di ratusan direktori dan subdirektori dan waktu berhari-hari atau berminggu-minggu.

Ini akan menjadi momen perhitungan bagi banyak produk perlindungan data saat mereka mencari cara untuk mengatasi tantangan ini. Meminta pelanggan untuk melakukan ratusan pemulihan agar direktori mereka kembali normal hanya akan meningkatkan insentif mereka untuk membayar uang tebusan. Semua orang setuju bahwa membayar uang tebusan hanya memvalidasi aktivitas kriminal dan memberi makan siklus yang berkelanjutan, jadi masalah ini harus ditangani.

Selama Bulan Kesadaran Keamanan Siber, tidak ada waktu yang lebih baik untuk menghubungi pemasok produk cadangan favorit Anda dan menanyakan bagaimana mereka akan mengatasi masalah ini. Bahkan jika jawaban mereka adalah, “kami tidak tahu”, lebih baik tahu sekarang lalu temukan masalah ini di tengah serangan.

W Curtis Preston adalah kepala penginjil teknis di Druva