Backup en herstel plan om te beschermen tegen ransomware

Ransomware-aanvallen versleutelen of wissen gegevens en systemen opzettelijk om uw organisatie te dwingen geld te betalen aan aanvallers. Deze aanvallen richten zich op uw gegevens, uw back-ups en ook de belangrijkste documentatie die u nodig hebt om te herstellen zonder de aanvallers te betalen (als een middel om de kans te vergroten dat uw organisatie betaalt).

In dit artikel wordt beschreven wat u moet doen vóór een aanval om uw kritieke bedrijfssystemen en tijdens een aanval te beschermen om een snel herstel van bedrijfsactiviteiten te garanderen.

Notitie

Het voorbereiden van ransomware verbetert ook de tolerantie voor natuurrampen en snelle aanvallen zoals WannaCry&(Not)Petya.

Wat is ransomware?

Ransomware is een soort afpersingsaanval die bestanden en mappen versleutelt, waardoor toegang tot belangrijke gegevens en systemen wordt voorkomen. Aanvallers gebruiken ransomware om geld af tepersen van slachtoffers door geld te eisen, meestal in de vorm van cryptovaluta, in ruil voor een ontsleutelingssleutel of in ruil voor het niet vrijgeven van gevoelige gegevens op het donkere web of het openbare internet.

Hoewel vroege ransomware voornamelijk malware gebruikte die zich verspreidde met phishing of tussen apparaten, is er door mensen beheerde ransomware ontstaan waar een bende actieve aanvallers, gedreven door operators voor menselijke aanvallen, alle systemen in een organisatie targeten (in plaats van één apparaat of set apparaten). Een aanval kan:

  • Uw gegevens versleutelen
  • Uw gegevens exfiltreren
  • Uw back-ups beschadigen

De ransomware maakt gebruik van de kennis van de aanvallers van veelvoorkomende systeem- en beveiligingsfouten en beveiligingsproblemen om de organisatie te infiltreren, door het bedrijfsnetwerk te navigeren en zich aan te passen aan de omgeving en de zwakke punten terwijl ze gaan.

Ransomware kan worden gefaseerd om uw gegevens eerst, gedurende enkele weken of maanden, te exfiltreren voordat de ransomware daadwerkelijk wordt uitgevoerd op een specifieke datum.

Ransomware kan uw gegevens ook langzaam versleutelen terwijl u uw sleutel op het systeem bewaart. Met uw sleutel nog steeds beschikbaar, zijn uw gegevens bruikbaar voor u en de ransomware wordt onopgemerkt. Uw back-ups zijn echter van de versleutelde gegevens. Zodra al uw gegevens zijn versleuteld en recente back-ups ook versleutelde gegevens zijn, wordt uw sleutel verwijderd, zodat u uw gegevens niet meer kunt lezen.

De echte schade wordt vaak gedaan wanneer de aanval bestanden exfiltreert terwijl ze achterdeurtjes achterlaten in het netwerk voor toekomstige schadelijke activiteiten, en deze risico's blijven bestaan of het losgeld al dan niet wordt betaald. Deze aanvallen kunnen onherstelbaar zijn voor bedrijfsactiviteiten en moeilijk op te schonen, waardoor volledige verwijdering van aanvallers nodig is om te beschermen tegen toekomstige aanvallen. In tegenstelling tot vroege vormen van ransomware die alleen malwareherstel vereist, kan door mensen beheerde ransomware uw bedrijfsactiviteiten blijven bedreigen na de eerste ontmoeting.

Impact van een aanval

De impact van een ransomware-aanval op elke organisatie is moeilijk om nauwkeurig te kwantificeren. Afhankelijk van het bereik van de aanval kan de impact het volgende omvatten:

  • Verlies van gegevenstoegang
  • Onderbreking van bedrijfsactiviteiten
  • Financieel verlies
  • Diefstal van intellectueel eigendom
  • Gecompromitteerd klantvertrouwen of aangetaste reputatie
  • Juridische kosten

Hoe kun je jezelf beschermen?

De beste manier om te voorkomen dat het slachtoffer wordt van ransomware is het implementeren van preventieve maatregelen en het hebben van hulpprogramma's die uw organisatie beschermen tegen elke stap die aanvallers nemen om uw systemen te infiltreren.

U kunt uw on-premises blootstelling verminderen door uw organisatie te verplaatsen naar een cloudservice. Microsoft heeft geïnvesteerd in systeemeigen beveiligingsmogelijkheden die Microsoft Azure tolerant maken tegen ransomware-aanvallen en organisaties helpen ransomware-aanvalstechnieken te verslaan. Voor een uitgebreid overzicht van ransomware en afpersing en hoe u uw organisatie kunt beschermen, gebruikt u de informatie in de Human-Operated Ransomware Mitigation Project Plan PowerPoint presentatie.

U moet aannemen dat u op een bepaald moment het slachtoffer zult worden van een ransomware-aanval. Een van de belangrijkste stappen die u kunt ondernemen om uw gegevens te beschermen en geen losgeld te betalen, is door een betrouwbaar back-up- en herstelplan te hebben voor uw bedrijfskritieke informatie. Omdat ransomware-aanvallers sterk hebben geïnvesteerd in het neutraliseren van back-uptoepassingen en besturingssysteemfuncties zoals volumeschaduwkopie, is het essentieel om back-ups te hebben die niet toegankelijk zijn voor een kwaadwillende aanvaller.

Azure Backup

Azure Backup biedt beveiliging voor uw back-upomgeving, zowel wanneer uw gegevens in transit zijn als at-rest. Met Azure Backup kunt u een back-up maken van:

  • On-premises bestanden, mappen en systeemstatus
  • Volledige Windows/Linux-VM's
  • Azure Managed Disks
  • Azure-bestandsshares naar een opslagaccount
  • SQL Server databases die worden uitgevoerd op Virtuele Azure-machines

De back-upgegevens worden opgeslagen in Azure Storage en de gast of aanvaller heeft geen directe toegang tot back-upopslag of de inhoud ervan. Met back-up van virtuele machines wordt het maken en opslaan van back-ups uitgevoerd door Azure Fabric, waarbij de gast of aanvaller geen andere betrokkenheid heeft dan het stilleggen van de workload voor toepassingsconsistente back-ups. Met SQL en SAP HANA krijgt de back-upextensie tijdelijk toegang tot schrijfbewerkingen naar specifieke blobs. Op deze manier kunnen zelfs in een aangetaste omgeving bestaande back-ups niet worden gemanipuleerd of verwijderd door de aanvaller.

Azure Backup biedt ingebouwde bewakings- en waarschuwingsmogelijkheden om acties voor gebeurtenissen met betrekking tot Azure Backup weer te geven en te configureren. Backup Rapporten fungeren als een centraal doel voor het bijhouden van gebruik, het controleren van back-ups en herstelbewerkingen en het identificeren van belangrijke trends op verschillende granulariteitsniveaus. Het gebruik van de hulpprogramma's voor bewaking en rapportage van Azure Backup kan u waarschuwen voor onbevoegde, verdachte of schadelijke activiteiten zodra deze zich voordoen.

Er zijn controles toegevoegd om ervoor te zorgen dat alleen geldige gebruikers verschillende bewerkingen kunnen uitvoeren. Dit omvat het toevoegen van een extra verificatielaag. Als onderdeel van het toevoegen van een extra verificatielaag voor kritieke bewerkingen, wordt u gevraagd een beveiligingspincode in te voeren voordat u onlineback-ups wijzigt.

Meer informatie over de beveiligingsfuncties die zijn ingebouwd in Azure Backup.

Back-ups valideren

Controleer of uw back-up goed is terwijl uw back-up wordt gemaakt en voordat u deze herstelt. U wordt aangeraden een Recovery Services-kluis te gebruiken. Dit is een opslagentiteit in Azure die gegevens bevat. De gegevens zijn meestal kopieën van gegevens of configuratiegegevens voor virtuele machines (VM's), workloads, servers of werkstations. U kunt Recovery Services-kluizen gebruiken om back-upgegevens te bewaren voor verschillende Azure-services, zoals IaaS-VM's (Linux of Windows) en Azure SQL databases en on-premises assets. Met Recovery Services-kluizen kunt u uw back-upgegevens eenvoudig ordenen en functies bieden zoals:

  • Verbeterde mogelijkheden om ervoor te zorgen dat u uw back-ups kunt beveiligen en veilig gegevens kunt herstellen, zelfs als productie- en back-upservers worden aangetast. Meer informatie.
  • Bewaking voor uw hybride IT-omgeving (Azure IaaS-VM's en on-premises assets) vanuit een centrale portal. Meer informatie.
  • Compatibiliteit met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), waarmee back-up- en hersteltoegang wordt beperkt tot een gedefinieerde set gebruikersrollen. Azure RBAC biedt verschillende ingebouwde rollen en Azure Backup heeft drie ingebouwde rollen voor het beheren van herstelpunten. Meer informatie.
  • Beveiliging tegen voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of back-upgegevens per ongeluk worden verwijderd). Backup gegevens worden gedurende 14 extra dagen bewaard, waardoor een back-upitem zonder gegevensverlies kan worden hersteld. Meer informatie.
  • Herstel tussen regio's, waarmee u Virtuele Azure-machines in een secundaire regio kunt herstellen. Dit is een gekoppelde Azure-regio. U kunt de gerepliceerde gegevens op elk gewenst moment herstellen in de secundaire regio. Hierdoor kunt u de secundaire regiogegevens herstellen voor controlecompatibiliteit en tijdens storingsscenario's, zonder te wachten tot Azure een noodgeval heeft declareren (in tegenstelling tot de GRS-instellingen van de kluis). Meer informatie.

Notitie

Er zijn twee typen kluizen in Azure Backup. Naast de Recovery Services-kluizen zijn er ook Backup kluizen die gegevens bevatten voor nieuwere workloads die worden ondersteund door Azure Backup.

Wat u moet doen vóór een aanval

Zoals eerder vermeld, moet u ervan uitgaan dat u op een bepaald moment het slachtoffer zult worden van een ransomware-aanval. Door uw bedrijfskritieke systemen te identificeren en best practices toe te passen voordat een aanval zo snel mogelijk weer aan de slag gaat.

Bepalen wat voor u het belangrijkst is

Ransomware kan aanvallen terwijl u van plan bent om een aanval uit te voeren, dus uw eerste prioriteit moet zijn om de bedrijfskritieke systemen te identificeren die voor u het belangrijkst zijn en beginnen met het uitvoeren van regelmatige back-ups op deze systemen.

In onze ervaring vallen de vijf belangrijkste toepassingen voor klanten in de volgende categorieën in deze prioriteitsvolgorde:

  • Identiteitssystemen: vereist voor gebruikers om toegang te krijgen tot alle systemen (inclusief alle andere die hieronder worden beschreven), zoals Active Directory, Azure AD Verbinding maken, AD-domeincontrollers
  • Menselijk leven – elk systeem dat het menselijk leven ondersteunt of het in gevaar kan brengen, zoals medische of levensondersteuningssystemen, veiligheidssystemen (ambulance, verzendingssystemen, verkeerslichtcontrole), grote machines, chemische/biologische systemen, productie van voedsel of persoonlijke producten, en andere
  • Financiële systemen – systemen die monetaire transacties verwerken en het bedrijf operationeel houden, zoals betalingssystemen en gerelateerde databases, financieel systeem voor kwartaalrapportage
  • Product- of service-activering: systemen die nodig zijn om de bedrijfsservices te leveren of fysieke producten te produceren/leveren waarvoor uw klanten u betalen, fabriekscontrolesystemen, productleverings-/verzendsystemen en soortgelijke systemen
  • Beveiliging (minimum) – U moet ook prioriteit geven aan de beveiligingssystemen die nodig zijn om te controleren op aanvallen en minimale beveiligingsservices te bieden. Dit moet erop gericht zijn ervoor te zorgen dat de huidige aanvallen (of eenvoudige opportunistische aanvallen) niet onmiddellijk toegang kunnen krijgen (of weer kunnen krijgen) tot uw herstelde systemen

De back-uplijst met prioriteit wordt ook de lijst met prioriteit hersteld. Zodra u uw kritieke systemen hebt geïdentificeerd en regelmatig back-ups uitvoert, voert u stappen uit om uw blootstellingsniveau te verminderen.

Stappen die moeten worden uitgevoerd vóór een aanval

Pas deze aanbevolen procedures toe vóór een aanval.

Taak Detail
Identificeer de belangrijke systemen die u eerst online moet brengen (met behulp van de top vijf categorieën hierboven) en begin onmiddellijk met het uitvoeren van regelmatige back-ups van deze systemen. Om zo snel mogelijk weer aan de slag te gaan na een aanval, bepaalt u vandaag wat het belangrijkst voor u is.
Migreer uw organisatie naar de cloud.

Overweeg om een Microsoft Unified Support abonnement te kopen of samen te werken met een Microsoft-partner om u te helpen bij de overstap naar de cloud.
Verminder uw on-premises blootstelling door gegevens naar cloudservices te verplaatsen met automatische back-up en selfservice terugdraaien. Microsoft Azure beschikt over een robuuste set hulpprogramma's waarmee u een back-up kunt maken van uw bedrijfskritieke systemen en uw back-ups sneller kunt herstellen.

Microsoft Unified Support is een ondersteuningsmodel voor cloudservices dat u helpt wanneer u dit nodig hebt. Unified Support:

Biedt een aangewezen team dat 24x7 beschikbaar is met indien nodig probleemoplossing en kritieke incidentescalatie

Helpt u bij het bewaken van de status van uw IT-omgeving en werkt proactief om ervoor te zorgen dat problemen worden voorkomen voordat ze plaatsvinden
Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive en SharePoint om te profiteren van de mogelijkheden van versiebeheer en prullenbak.

Informeer gebruikers over hoe ze hun bestanden zelf kunnen herstellen om vertragingen en herstelkosten te verminderen. Als de OneDrive bestanden van een gebruiker bijvoorbeeld zijn geïnfecteerd door malware, kunnen ze hun hele OneDrive terugzetten naar een vorige keer.

Overweeg een verdedigingsstrategie, zoals Microsoft 365 Defender, voordat gebruikers hun eigen bestanden kunnen herstellen.
Gebruikersgegevens in de Microsoft-cloud kunnen worden beveiligd door ingebouwde beveiligings- en gegevensbeheerfuncties.

Het is goed om gebruikers te leren hoe ze hun eigen bestanden kunnen herstellen, maar u moet voorzichtig zijn dat uw gebruikers de malware die wordt gebruikt om de aanval uit te voeren, niet herstellen. U moet het volgende doen:

Zorg ervoor dat uw gebruikers hun bestanden pas herstellen als u zeker weet dat de aanvaller is verwijderd

Er is een beperking ingesteld voor het geval een gebruiker een deel van de malware herstelt

Microsoft 365 Defender maakt gebruik van automatische acties en playbooks op basis van AI om betrokken assets terug te herstellen naar een veilige status. Microsoft 365 Defender maakt gebruik van automatische herstelmogelijkheden van de suiteproducten om ervoor te zorgen dat alle betrokken assets met betrekking tot een incident waar mogelijk automatisch worden hersteld.
Azure Security Benchmark implementeren. Azure Security Benchmark is het eigen framework voor beveiligingscontrole van Azure op basis van frameworks voor beveiligingscontrole op basis van de branche, zoals NIST SP800-53, CIS Controls v7.1. Het biedt organisaties richtlijnen voor het configureren van Azure- en Azure-services en het implementeren van de beveiligingscontroles. Zie Backup en herstel.
Oefen regelmatig uw plan voor bedrijfscontinuïteit/herstel na noodgevallen (BC/DR).

Scenario's voor incidentrespons simuleren. Oefeningen die u uitvoert bij het voorbereiden van een aanval, moeten worden gepland en uitgevoerd rond uw lijsten met back-ups en herstel met prioriteit.

Test regelmatig het scenario 'Herstellen van nul' om ervoor te zorgen dat uw BC/DR snel kritieke bedrijfsactiviteiten online kan brengen vanaf nulfunctionaliteit (alle systemen zijn offline).
Zorgt voor snel herstel van bedrijfsactiviteiten door een ransomware- of afpersingsaanval te behandelen met hetzelfde belang als een natuurramp.

Oefenoefeningen uitvoeren om processen en technische procedures voor meerdere teams te valideren, inclusief out-of-band werknemers- en klantcommunicatie (stel dat alle e-mail en chat uitvalt).
Overweeg om een risicoregister te maken om potentiële risico's te identificeren en om te bepalen hoe u bemiddelt via preventieve controles en acties. Voeg ransomware toe om te registreren als hoge waarschijnlijkheid en scenario met hoge impact. Een risicoregister kan u helpen bij het prioriteren van risico's op basis van de waarschijnlijkheid van dat risico en de ernst van uw bedrijf als dat risico zich voordoet.

Volg de risicobeperkingsstatus via de EVALUATIEcyclus van Enterprise Risk Management (ERM ).
Backup alle kritieke bedrijfssystemen automatisch volgens een regelmatig schema (inclusief back-up van kritieke afhankelijkheden zoals Active Directory).

Controleer of uw back-up goed is terwijl uw back-up wordt gemaakt.
Hiermee kunt u gegevens herstellen tot de laatste back-up.
Beveilig ondersteunende documenten en systemen die nodig zijn voor herstel, zoals herstelproceduredocumenten, CMDB, netwerkdiagrammen en SolarWinds-exemplaren. Aanvallers richten zich bewust op deze resources, omdat dit van invloed is op uw mogelijkheid om te herstellen.
Zorg ervoor dat u goed gedocumenteerde procedures hebt om ondersteuning van derden in te schakelen, met name ondersteuning van providers van bedreigingsinformatie, antimalwareoplossingsproviders en van de provider van malwareanalyse. Beveilig (of druk) deze procedures af. Contactpersonen van derden kunnen nuttig zijn als de gegeven ransomware variant bekende zwakke punten of ontsleuteling tools beschikbaar zijn.
Zorg ervoor dat back-up- en herstelstrategie het volgende omvat:

Mogelijkheid om een back-up te maken van gegevens naar een bepaald tijdstip.

Meerdere kopieën van back-ups worden opgeslagen op geïsoleerde, offlinelocaties (air-gapped).

Beoogde hersteltijd die bepalen hoe snel back-ups van informatie kunnen worden opgehaald en in de productieomgeving kunnen worden geplaatst.

Snel herstellen van back-ups naar een productieomgeving/sandbox.
Back-ups zijn essentieel voor tolerantie nadat een organisatie is geschonden. Pas de regel 3-2-1 toe voor maximale beveiliging en beschikbaarheid: 3 exemplaren (oorspronkelijke + 2 back-ups), 2 opslagtypen en 1 offsite of koude kopie.
Back-ups beschermen tegen opzettelijk verwijderen en versleutelen:

Sla back-ups op in offline- of off-siteopslag en/of onveranderbare opslag.

Buiten-bandstappen vereisen (zoals MFA of een beveiligingspincode) voordat u toestaat dat een onlineback-up kan worden gewijzigd of gewist.

Maak privé-eindpunten in uw Azure-Virtual Network om veilig een back-up te maken en gegevens te herstellen vanuit uw Recovery Services-kluis.
Back-ups die toegankelijk zijn voor aanvallers, kunnen onbruikbaar worden gemaakt voor bedrijfsherstel.

Offlineopslag zorgt voor een robuuste overdracht van back-upgegevens zonder gebruik te maken van netwerkbandbreedte. Azure Backup biedt ondersteuning voor offlineback-up, die de eerste back-upgegevens offline overdraagt, zonder gebruik te maken van netwerkbandbreedte. Het biedt een mechanisme voor het kopiëren van back-upgegevens naar fysieke opslagapparaten. De apparaten worden vervolgens verzonden naar een nabijgelegen Azure-datacenter en geüpload naar een Recovery Services-kluis.

Met online onveranderbare opslag (zoals Azure Blob) kunt u bedrijfskritieke gegevensobjecten opslaan in een WORM-status (Write Once, Read Many). Met deze status kunnen de gegevens niet worden verwijderd en kunnen ze niet worden gewijzigd voor een door de gebruiker opgegeven interval.

Meervoudige verificatie (MFA) moet verplicht zijn voor alle beheerdersaccounts en wordt sterk aanbevolen voor alle gebruikers. De voorkeursmethode is om waar mogelijk een authenticator-app te gebruiken in plaats van Sms of spraak. Wanneer u Azure Backup instelt, kunt u uw Recovery Services configureren om MFA in te schakelen met behulp van een beveiligingspincode die is gegenereerd in de Azure Portal. Dit zorgt ervoor dat er een beveiligingspincode wordt gegenereerd om kritieke bewerkingen uit te voeren, zoals het bijwerken of verwijderen van een herstelpunt.
Beveiligde mappen aanwijzen. Maakt het moeilijker voor onbevoegde toepassingen om de gegevens in deze mappen te wijzigen.
Controleer uw machtigingen:

Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsshares, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritieke gegevens.

Verminder brede machtigingen terwijl u voldoet aan de vereisten voor zakelijke samenwerking.

Controleren en controleren om ervoor te zorgen dat brede machtigingen niet opnieuw worden weergegeven.
Vermindert het risico van brede toegangs-inschakelen ransomware activiteiten.
Bescherming tegen een phishingpoging:

Voer regelmatig training voor beveiligingsbewustzijn uit om gebruikers te helpen een phishingpoging te identificeren en te voorkomen dat ze op iets klikken dat een eerste toegangspunt voor een inbreuk kan maken.

Pas besturingselementen voor beveiligingsfilters toe op e-mail om de kans op een geslaagde phishingpoging te detecteren en te minimaliseren.
De meest voorkomende methode die aanvallers gebruiken om een organisatie te infiltreren, zijn phishingpogingen via e-mail. Exchange Online Protection (EOP) is de cloudfilterservice die uw organisatie beschermt tegen spam, malware en andere e-mailbedreigingen. EOP is opgenomen in alle Microsoft 365 organisaties met Exchange Online postvakken.

Een voorbeeld van een besturingselement voor beveiligingsfilters voor e-mail is Safe Koppelingen. Safe Koppelingen is een functie in Defender voor Office 365 waarmee URL's worden gescand en herschreven van binnenkomende e-mailberichten in de e-mailstroom, en verificatie van URL's en koppelingen in e-mailberichten en andere locaties. Safe Koppelingen scannen vindt plaats naast de reguliere antispam- en antimalwarebeveiliging in binnenkomende e-mailberichten in EOP. Safe Koppelingen scannen kan uw organisatie helpen beschermen tegen schadelijke koppelingen die worden gebruikt bij phishing en andere aanvallen.

Meer informatie over bescherming tegen phishing.

Wat u moet doen tijdens een aanval

Als u wordt aangevallen, wordt de back-uplijst met prioriteit uw lijst met prioriteit hersteld. Controleer voordat u de back-up herstelt opnieuw of uw back-up goed is. Mogelijk kunt u zoeken naar malware in de back-up.

Stappen die u moet uitvoeren tijdens een aanval

Pas deze aanbevolen procedures toe tijdens een aanval.

Taak Detail
Neem vroeg in de aanval contact op met ondersteuning van derden, met name ondersteuning van bedreigingsinformatieproviders, antimalwareoplossingsproviders en van de provider van malwareanalyse. Deze contacten kunnen nuttig zijn als de gegeven ransomware variant een bekende zwakte of ontsleuteling tools beschikbaar zijn.

Microsoft Detection and Response Team (DART) neemt wereldwijd contact op met klanten om risico's te identificeren en reactieve incidentrespons en proactieve beveiligingsonderzoeksservices te bieden. De DART helpt onze klanten hun cyberrisico te beheren, vooral in de dynamische bedreigingsomgeving van vandaag.

Microsoft biedt ook Rapid Ransomware Recovery-services. Services worden uitsluitend geleverd door de Microsoft Global Compromise Recovery Security Practice (CRSP). De focus van dit team tijdens een ransomware-aanval is om de verificatieservice te herstellen en de impact van ransomware te beperken.

DART en CRSP maken deel uit van de beveiligingsservicelijn Voor de levering van brancheoplossingen van Microsoft.
Neem contact op met uw lokale of federale wetshandhavingsinstanties. Als u zich in de Verenigde Staten bevindt, neemt u contact op met de FBI om een ransomware-schending te melden via het IC3-verwijzingsformulier voor klachten.
Voer stappen uit om malware of ransomware payload uit uw omgeving te verwijderen en de verspreiding te stoppen.

Voer een volledige, huidige antivirusscan uit op alle verdachte computers en apparaten om de nettolading te detecteren en te verwijderen die is gekoppeld aan de ransomware.

Scan apparaten die gegevens synchroniseren of de doelen van toegewezen netwerkstations.
U kunt Windows Defender of (voor oudere clients) Microsoft Security Essentials.

Een alternatief dat u ook helpt bij het verwijderen van ransomware of malware is het hulpprogramma voor het verwijderen van schadelijke software (MSRT).
Herstel eerst bedrijfskritieke systemen. Vergeet niet om opnieuw te valideren dat uw back-up goed is voordat u deze herstelt. Op dit moment hoeft u niet alles te herstellen. Richt u op de vijf belangrijkste bedrijfskritieke systemen uit uw herstellijst.
Als u offline back-ups hebt, kunt u de versleutelde gegevens waarschijnlijk herstellen nadat u de nettolading ransomware (malware) uit uw omgeving hebt verwijderd. Om toekomstige aanvallen te voorkomen, moet u ervoor zorgen dat ransomware of malware niet op uw offline back-up staat voordat u herstelt.
Identificeer een veilige back-upafbeelding van een bepaald tijdstip dat bekend is dat deze niet is geïnfecteerd.

Als u Recovery Services-kluis gebruikt, controleert u de tijdlijn van het incident zorgvuldig om inzicht te hebben in het juiste tijdstip om een back-up te herstellen.
Als u toekomstige aanvallen wilt voorkomen, scant u back-up op ransomware of malware voordat u herstelt.
Gebruik een veiligheidsscanner en andere hulpprogramma's voor volledig herstellen van besturingssystemen en scenario's voor het herstellen van gegevens. Microsoft-beveiligingsscanner is een scanprogramma dat is ontworpen om malware te vinden en te verwijderen van Windows computers. Download het gewoon en voer een scan uit om malware te vinden en probeer wijzigingen om te draaien die zijn aangebracht door geïdentificeerde bedreigingen.
Zorg ervoor dat uw antivirus- of eindpuntdetectie en -respons -oplossing (EDR) up-to-date is. U moet ook bijgewerkte patches hebben. Een EDR oplossing, zoals Microsoft Defender voor Eindpunt, heeft de voorkeur.
Nadat bedrijfskritieke systemen actief zijn, herstelt u andere systemen.

Wanneer systemen worden hersteld, begint u met het verzamelen van telemetriegegevens, zodat u indelingsbeslissingen kunt nemen over wat u herstelt.
Met telemetriegegevens kunt u vaststellen of malware zich nog steeds op uw systemen bevindt.

Na aanval of simulatie

Na een ransomware-aanval of een simulatie van reacties op incidenten voert u de volgende stappen uit om uw back-up- en herstelplannen en uw beveiligingspostuur te verbeteren:

  1. Lessen identificeren die zijn geleerd waar het proces niet goed werkte (en mogelijkheden om het proces te vereenvoudigen, te versnellen of anderszins te verbeteren)
  2. Hoofdoorzaakanalyse uitvoeren op de grootste uitdagingen (met voldoende details om ervoor te zorgen dat oplossingen het juiste probleem aanpakken, rekening houdend met mensen, processen en technologie)
  3. Onderzoek en herstel de oorspronkelijke inbreuk (neem contact op met het Microsoft Detection and Response Team (DART) om u te helpen)
  4. Werk uw strategie voor back-up en herstel bij op basis van geleerde lessen en kansen, waarbij prioriteit wordt gegeven op basis van de hoogste impact en de snelste implementatiestappen eerst

Volgende stappen

In dit artikel hebt u geleerd hoe u uw back-up- en herstelplan kunt verbeteren om bescherming te bieden tegen ransomware. Zie Snel beschermen tegen ransomware en afpersing voor best practices voor het implementeren van ransomwarebeveiliging.

Belangrijke informatie over de branche:

Microsoft Azure:

Microsoft 365:

Microsoft 365 Defender:

Blogberichten van het Microsoft Security-team: