Odzyskiwanie po ataku ransomware w Microsoft 365

Dotyczy

• Exchange Online Protection
• Usługi Microsoft Defender dla usługi Office 365 (plan 1 i plan 2)
• Microsoft 365 Defender

Nawet jeśli podejmiesz wszelkie środki ostrożności, aby chronić swoją organizację, nadal możesz paść ofiarą ataku ransomware . Ransomware to wielki biznes, a w dzisiejszym krajobrazie zagrożeń Microsoft 365 jest coraz większym celem wyrafinowanych ataków.

Kroki opisane w tym artykule dają największą szansę na odzyskanie danych i zatrzymanie wewnętrznego rozprzestrzeniania się infekcji. Przed rozpoczęciem należy wziąć pod uwagę następujące elementy:

• Nie ma gwarancji, że zapłacenie okupu zwróci dostęp do plików. W rzeczywistości płacenie okupu może sprawić, że będziesz celem dla większej liczby ransomware.

  Jeśli już zapłacono, ale odzyskano je bez korzystania z rozwiązania osoby atakującej, skontaktuj się z bankiem, aby sprawdzić, czy może zablokować transakcję.

  Zalecamy również zgłoszenie ataku wymuszającego okup do organów ścigania, witryn internetowych raportowania oszustw i firmy Microsoft zgodnie z opisem w dalszej części tego artykułu.

• Ważne jest, aby szybko reagować na atak i jego konsekwencje. Tym dłużej czekasz, tym mniejsze jest prawdopodobieństwo odzyskania danych, których dotyczy problem.

Krok 1. Weryfikowanie kopii zapasowych

Jeśli masz kopie zapasowe w trybie offline, prawdopodobnie możesz przywrócić zaszyfrowane dane po usunięciu ładunku wymuszającego okup (złośliwe oprogramowanie) ze środowiska i po sprawdzeniu, czy nie ma nieautoryzowanego dostępu w środowiskach Microsoft 365.

Jeśli nie masz kopii zapasowych lub jeśli oprogramowanie wymuszające okup również miało wpływ na kopie zapasowe, możesz pominąć ten krok.

Krok 2. Wyłączanie Exchange ActiveSync i synchronizacja usługi OneDrive

Kluczowym punktem jest zatrzymanie rozprzestrzeniania się szyfrowania danych przez oprogramowanie wymuszające okup.

Jeśli podejrzewasz, że wiadomość e-mail jest celem szyfrowania oprogramowania wymuszającego okup, tymczasowo wyłącz dostęp użytkowników do skrzynek pocztowych. Exchange ActiveSync synchronizuje dane między urządzeniami i skrzynkami pocztowymi Exchange Online.

Aby wyłączyć Exchange ActiveSync dla skrzynki pocztowej, zobacz Jak wyłączyć Exchange ActiveSync dla użytkowników w Exchange Online.

Aby wyłączyć inne typy dostępu do skrzynki pocztowej, zobacz:

• Włącz lub wyłącz mapę MAPI dla skrzynki pocztowej.

• Włączanie lub wyłączanie dostępu POP3 lub IMAP4 dla użytkownika

Wstrzymanie synchronizacja usługi OneDrive pomoże chronić dane w chmurze przed aktualizacją przez potencjalnie zainfekowane urządzenia. Aby uzyskać więcej informacji, zobacz Jak wstrzymywać i wznawiać synchronizację w OneDrive.

Krok 3. Usuwanie złośliwego oprogramowania z urządzeń, których dotyczy problem

Uruchom pełne, bieżące skanowanie antywirusowe na wszystkich podejrzanych komputerach i urządzeniach, aby wykryć i usunąć ładunek skojarzony z oprogramowaniem wymuszającym okup.

Nie zapomnij przeskanować urządzeń synchronizujących dane lub obiektów docelowych zamapowanych dysków sieciowych.

Można użyć Windows Defender lub (dla starszych klientów) Microsoft Security Essentials.

Alternatywą, która pomoże Ci również usunąć oprogramowanie wymuszające okup lub złośliwe oprogramowanie, jest narzędzie do usuwania złośliwego oprogramowania (MSRT).

Jeśli te opcje nie działają, możesz spróbować Windows Defender w trybie offline lub rozwiązać problemy z wykrywaniem i usuwaniem złośliwego oprogramowania.

Krok 4. Odzyskiwanie plików na oczyszczonym komputerze lub urządzeniu

Po wykonaniu poprzedniego kroku w celu usunięcia ładunku oprogramowania wymuszającego okup ze środowiska (co uniemożliwi oprogramowanie wymuszające okup szyfrowanie lub usunięcie plików), możesz użyć historii plików w Windows 11, Windows 10, Windows 8.1 i za pomocą ochrony systemu w Windows 7, aby spróbować odzyskać lokalne pliki i foldery.

Uwagi:

• Niektóre programy wymuszające okup będą również szyfrować lub usuwać wersje kopii zapasowych, więc nie można przywrócić plików za pomocą historii plików ani ochrony systemu. W takim przypadku należy użyć kopii zapasowych na dyskach zewnętrznych lub urządzeniach, na które oprogramowanie wymuszające okup lub OneDrive nie miało wpływu, zgodnie z opisem w następnej sekcji.

• Jeśli folder jest synchronizowany z OneDrive i nie używasz najnowszej wersji Windows, mogą istnieć pewne ograniczenia dotyczące historii plików.

Krok 5. Odzyskiwanie plików w OneDrive dla Firm

Przywracanie plików w OneDrive dla Firm umożliwia przywrócenie całego OneDrive do poprzedniego punktu w czasie w ciągu ostatnich 30 dni. Aby uzyskać więcej informacji, zobacz artykuł Przywracanie w usłudze OneDrive.

Krok 6. Odzyskiwanie usuniętej wiadomości e-mail

W rzadkich przypadkach, gdy oprogramowanie wymuszające okup usunęło całą wiadomość e-mail, prawdopodobnie można odzyskać usunięte elementy. Więcej informacji można znaleźć w następujących artykułach:

• Odzyskiwanie usuniętych wiadomości w skrzynce pocztowej użytkownika

• Odzyskiwanie usuniętych elementów w Outlook dla Windows

Krok 7. Ponowne włączanie Exchange ActiveSync i synchronizacja usługi OneDrive

Po oczyszczeniu komputerów i urządzeń oraz odzyskaniu danych można ponownie włączyć Exchange ActiveSync i synchronizacja usługi OneDrive, które zostały wcześniej wyłączone w kroku 2.

Krok 8 (opcjonalnie): blokuj synchronizacja usługi OneDrive dla określonych rozszerzeń plików

Po odzyskaniu danych można uniemożliwić OneDrive dla Firm klientom synchronizowanie typów plików, których dotyczy ten oprogramowanie wymuszające okup. Aby uzyskać więcej informacji, zobacz Set-SPOTenantSyncClientRestriction

Zgłoś atak

Skontaktuj się z organami ścigania

Należy skontaktować się z lokalnymi lub federalnymi organami ścigania. Jeśli na przykład jesteś w Stany Zjednoczone możesz skontaktować się z lokalnym biurem terenowym FBI, IC3 lub Secret Service.

Przesyłanie raportu do witryny internetowej zgłaszania oszustw w twoim kraju

Witryny z raportami o oszustwach zawierają informacje o tym, jak zapobiegać oszustwom i unikać ich. Zapewniają one również mechanizmy zgłaszania, jeśli padłeś ofiarą oszustwa.

• Australia: SCAMwatch

• Kanada: Kanadyjskie Centrum Zwalczania Nadużyć Finansowych

• Francja: Agence nationale de la sécurité des systèmes d'information

• Niemcy: Bundesamt für Sicherheit in der Informationstechnik

• Irlandia: Garda Síochána

• Nowa Zelandia: Oszustwa w sprawach konsumenckich

• Szwajcaria Nationales Zentrum für Cybersicherheit NCSC

• Wielka Brytania: Action Fraud

• Stany Zjednoczone: On Guard Online

Jeśli Twojego kraju nie ma na liście, zapytaj lokalne lub federalne organy ścigania.

Przesyłanie wiadomości e-mail do firmy Microsoft

Komunikaty wyłudzania informacji zawierające oprogramowanie wymuszające okup można zgłaszać przy użyciu jednej z kilku metod. Aby uzyskać więcej informacji, zobacz Zgłaszanie komunikatów i plików do firmy Microsoft.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

• Rosnące zagrożenie oprogramowaniem wymuszającym okup, wpis w blogu Microsoft On the Issues 20 lipca 2021 r.
• Oprogramowanie wymuszające okup obsługiwane przez człowieka
• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniami
• 2021 Microsoft Digital Defense Report (zobacz strony 10–19)
• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń w portalu Microsoft 365 Defender

Microsoft 365:

• Wdrażanie ochrony przed oprogramowaniem wymuszającym okup dla dzierżawy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i Microsoft 365
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera Windows przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu Microsoft 365 Defender

Microsoft 365 Defender:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Ochrona przed oprogramowaniem wymuszającym okup za pomocą usługi Microsoft Azure Backup (26-minutowe wideo)
• Odzyskiwanie po systemowym naruszeniach tożsamości
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie fuzji dla oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Tworzenie zasad wykrywania anomalii w usłudze Defender dla Chmury Apps

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• 3 kroki zapobiegania i odzyskiwania po oprogramowaniu wymuszającym okup (wrzesień 2021 r.)

• Przewodnik po zwalczaniu oprogramowania wymuszającego okup obsługiwane przez człowieka: część 1 (wrzesień 2021 r.)

  Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) prowadzi badania zdarzeń wymuszania okupu.

• Przewodnik po zwalczaniu oprogramowania wymuszającego okup przez człowieka: część 2 (wrzesień 2021 r.)

  Rekomendacje i najlepsze rozwiązania.

• Odporność dzięki zrozumieniu zagrożeń związanych z cyberbezpieczeństwem: część 4 — poruszanie się po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Oprogramowanie wymuszające okup .

• Ataki ransomware obsługiwane przez człowieka: możliwe do uniknięcia katastrofy (marzec 2020 r.)

  Obejmuje analizy łańcucha ataków dotyczące rzeczywistych ataków.

• Odpowiedź wymuszania okupu — aby zapłacić, czy nie płacić? (grudzień 2019 r.)

• Norsk Hydro reaguje na atak ransomware z przejrzystością (grudzień 2019)