Intézkedési javaslat Cryptolocker fertőzés esetére

A Cryptolocker káros szoftver valamelyik variánsának fertőzése esetén a Kormányzati Eseménykezelő Központ és a Nemzeti Biztonsági Felügyelet szakértői az alábbi lépések megtételét javasolják:

1.    Tájékoztatás kérése

2.    A külső és belső hálózati forgalom teljes tiltása

3.    A fertőzött számítógép beazonosítása

4.    A fertőzött számítógép hálózati adatainak kinyerése (local IP(k), MAC címek, Internetes határvédelmi eszközök, dns)

5.    A fertőzött kliens aktív felhasználójának adatai, hozzáférési lehetőségei hálózati szolgáltatásokhoz

6.    Lehetséges veszélyeztetett hálózati szolgáltatások elszigetelés, ha a hálózati tiltás nem oldotta volna meg

7.    Fertőzött számítógép leállítása és a teljes merevlemezéről bitszintű másolat készítése

8.    Sérült hálózati kiszolgáló logjainak kinyerése, mentése (hash, időbélyeg ha van)

9.    Sérült hálózati kiszolgálón sérült elemek lementése, az eredeti tartalomra visszaállás backupból

10.    Internetes határvédelmi eszközök logállományainak kinyerése és mentése (hash, időbélyeg ha van)

11.    Minden klienst és szerver malware ellenőrzésnek alávetni

12.    Minden klienst frissíteni, friss antivírus szoftverrel ellátni

13.    További sérült elemek hason módszerekkel való vizsgálata, mentése

14.    Helyreállított rendszerekről biztonsági mentés készítése, a meglevő régebbi megtartása mellett

15.    Internetes határvédelmi eszközök informatikai védelmének megerősítése

16.    Rendszer szolgáltatások normál üzembe kapcsolása

Részletesebb információkért kérjük vegye fel a Központunkkal a kapcsolatot.

Hivatkozások:

http://www.cert-hungary.hu/node/225

http://tech.cert-hungary.hu/tech-blog/140124/a-cryptolocker-eltavolitasa