الاستجابة لطلب الفدية : ماذا تفعل بعد الهجوم؟

في 12 مايو 2017 ، استيقظ مئات الآلاف من مستخدمي الكمبيوتر والمؤسسات في أكثر من 100 دولة على الأزمة. كان هناك شكل متطور وفيروسي من البرامج الضارة قام بتشفير أجهزة الكمبيوتر والأنظمة الخاصة بهم وبالتالي منعهم من الوصول إلى المعلومات الشخصية والتجارية القيمة.

لا يمكن استعادة الوصول إلا إذا تم دفع فدية عبر بيتكوين. الدفع عبر عملة مشفرة مثل البيتكوين سيجعل من الصعب للغاية تتبع المستلم. البرامج الضارة ، التي كانت تعرف باسم Wannacry ، كانت شكلاً من أشكال الفدية. كانت الغالبية العظمى من سكان العالم تسمع مصطلح رانسومواري (واستجابة رانسومواري) لأول مرة. في الواقع ، رغم ذلك ، كانت الفدية موجودة منذ أواخر الثمانينات. ومع ذلك ، تطورت برامج الفدية بشكل كبير منذ ذلك الحين بفضل التقدم الكبير في التشفير على مدار الثلاثين عامًا الماضية.

Table of Contents

ما هو طلب الفدية؟

في أبسط صورها ، تلتقط برامج الفدية وتشفّر وتمنع الوصول إلى البيانات حتى يتم دفع طلب الفدية. غالبًا ما يتم تسليم Ransomware عبر البريد الإلكتروني أو الويب.

هناك فئتان رئيسيتان من Ransomware – الخزانة والتشفير. تقوم Crypto ransomware بتشفير جميع الملفات الموجودة على الجهاز المتأثر وإعادة تشغيلها فقط بمجرد دفع الفدية. Locker ransomware هو أبسط وأقفال المستخدمين فقط من الجهاز بدلا من فدية.

عناصر استجابة الفدية

كما هو الحال مع أي شكل آخر من أشكال البرمجيات الخبيثة ، فإن الوقاية هي دائمًا أفضل استراتيجية. ومع ذلك ، على الرغم من بذل قصارى جهدك في مجال الوقاية والنظر إلى المكانة البارزة للمنظمات التي وقعت فريسة للفدية ، يمكنك تجاوز للهجوم بنجاح. إن ما تفعله عندما يحدث ذلك أمر حيوي لضمان قيام مؤسستك باستئناف العمليات بسرعة ودون خسارة تذكر أو قيمة لمعظم بياناتك القيمة. فيما يلي بعض إجراءات الاستجابة الأكثر أهمية التي يجب عليك اتخاذها.

1. قم بتأمين البيانات قبل اتخاذ أي إجراء استجابة للفدية

التقط نسخة للقراءة فقط للكمبيوتر المصاب أو الجهاز الظاهري أو جهاز التخزين. يتيح لك القيام بذلك حماية أي جزء من بياناتك لم يتم اختراقه أو إتلافه أو قفله بواسطة الفدية. كما يضمن أنه بينما تعمل على عكس الضرر وحماية معلوماتك ، يكون لديك دائمًا نسخة متوفرة من شأنها أن تشكل الأساس لبدء أعمال الإصلاح إذا لزم الأمر.

2. تتبع الهجوم

لقد ذكرنا قبل ذلك أن برامج الفدية سوف تتسلل عادة إلى شبكتك عبر موقع إلكتروني أو بريد إلكتروني. إذا كنت تعرف مكان الذي نشأ فيه الهجوم ، فيمكنك تتبع انتشاره بشكل أفضل أو إيقافه في مساراته قبل أن ينتشر أكثر. على سبيل المثال ، إذا قمت بتحديد موقع بعض الملفات المشفرة بواسطة Ransomware ، فاحرص على حساب المستخدم الذي تم آخر تعديل له.

يمكنك العثور على هذه المعلومات في سجلات التدقيق. يمكنك متابعة هذه المعرفة والعمل إلى الخلف حتى تهبط على الجهاز أو المستخدم حيث بدأ كل شيء. أثناء التحقيق ، لا تنس أن تغطي أي عمال عن بعد قد تكون لديكم. كلما تمكنت من عزل الأجهزة المتأثرة وفصلها عن شبكتك ، قل خطر إصابة الأجهزة الجديدة بالعدوى.

3. تقييم التأثير

في مواجهة رانسومواري ، غريزة الأولى هي الشروع في اتخاذ إجراءات علاجية على الفور. ومع ذلك ، يمكن أن يكون هذا مضيعة للوقت الثمين والجهد. إذا كانت الفدية تنتشر ، فإن كل دقيقة تضيع تعني أن كمبيوترًا آخر يذعن للهجوم. لذا ، قبل أن تبدأ الإجراءات الدفاعية والتصحيحية ، التراجع عن الفوضى وإجراء تقييم شامل للضرر. حدد ماذا ، من ، متى ، وأين وقع الحادث. يجب أن يكون هذا التقييم هو أساس مسار عملك اللاحق.

4. إخطار رجال القانون

هجوم الفدية هو حادث إجرامي. إخطار وكالات إنفاذ القانون ذات الصلة، شيء يجب عليك فعله. في العديد من الولايات القضائية ، هذا مطلوب بموجب القانون (على سبيل المثال ، الناتج المحلي الإجمالي للمنظمات التي تتعامل مع بيانات مواطني الاتحاد الأوروبي). ابدأ بالشرطة المحلية ولكن تواصل أيضًا مع أي وكالة وطنية للأمن السيبراني.

قد لا يعني عدم الإبلاغ فقط أنك قد تنتهك لوائح الأمن السيبراني ولكن أيضًا يسلبك من الموارد الضخمة التي يمتلكها قانون إنفاذ القانون لحل المسألة بشكل قاطع ودون أي تكلفة عليك. لاحظ ، مع ذلك ، أن تطبيق القانون قد يشهد زيادة في الفدية المطلوبة وفي بعض الحالات قد يؤدي إلى عدم استعادة البيانات مطلقًا.

5. إخطار العملاء المتضررين

لا توجد شركة حريصة على الإعلان لعملائها عن تعرضها لهجوم فدية. إنه أمر محرج ويتسبب حتماً في التشكيك في قدرة الشركة على حماية بيانات العملاء الحساسة.

هناك خطر أن يختار العديد من العملاء المغادرة إلى الأبد. ومع ذلك ، فإن العواقب المحتملة لعدم إخطار العملاء المتأثرين أكبر بكثير من أي إزعاج فوري وخسارة في الأعمال التجارية قد تنتج عن عدم الإفصاح. والأكثر من ذلك ، أن قوانين الخصوصية وأمن البيانات قد تتطلب من الشركة إخطار العملاء.

في أي حال ، فإن الشفافية شيء يراه معظم العملاء بطريقة إيجابية. إذا أثبتت أنه لا يوجد لديك ما تخفيه ، فسيكون من الأسهل على أصحاب المصلحة الثقة بأنك ستحل المشكلة في النهاية بما يرضي جميع الأطراف. الإخطار لا يتعلق بعمل نشرة صحفية واحدة وتسمية القيام به. توفير تحديثات منتظمة للتقدم. أعلن عن الموارد التي وفرتها والتي ستقلل من تهديد البيانات والخصوصية.

6. تنظيف النظام الخاصة بك

تختار بعض المؤسسات سداد الفدية كوسيلة لاستعادة أنظمتها في أقصر وقت ممكن. قد يبدو هذا بمثابة حل سريع ، ولكن الواقع هو أن أي شخص يرغب في الوصول إلى أبعد الحدود لتشفير أنظمتك لمنعك من الوصول ليس شخصًا يمكنك نقل كلمته إلى البنك.

لذلك بغض النظر عما إذا كنت تختار دفع الفدية أم لا ، يجب عليك تقييم النظام الخاص بك في أعقاب تنظيف أي من بقايا الفدية ، واستعادة البيانات الخاصة بك إلى حالة ما قبل الهجوم ، ووضع تدابير تجعل الأمر أكثر صعوبة على هجوم مماثل لتكرار.

7. تحديث النظام الخاصة بك

يقوم مطورو نظام التشغيل باستمرار بإنشاء تصحيحات تسعى إلى سد الثغرات التي تم استغلالها من قبل رانسومواري في الماضي. في الواقع ، يمكن لأنظمة المؤسسات التي تعمل على ترقيع وتحديث بانتظام حظر جميع برامج الفدية باستثناء أحدثها. ولكن حتى بعد الهجوم الناجح ، قم بتشغيل تصحيحات لجميع أنظمتك لتقليل خطر وقوع حادث مماثل في المستقبل.

استجابة Ransomware ليست سوى بداية الانتفاضة

على الرغم من أن النصائح التي تناولناها هنا مفيدة وعملية ، فليس هناك رصاصة فضية للاستجابة واسترداد برامج الفدية. هذا جزء من السبب وراء تزايد انتشار برامج الفدية بسرعة كبيرة بين المهاجمين الإلكترونيين. ومع ذلك ، فإن عدم القيام بأي شيء ليس خيارًا. دع هذه النصائح تشكل أساس خطة استجابة رانسومواري الخاصة بك. سيكون لديك فرصة أكبر لاستعادة أنظمتك في قطعة واحدة.