NAKIVO > Blog

Attacchi ransomware e ripristino dei dati: panoramica completa

Pubblicato: Febbraio 27, 2019

Written by: NAKIVO Team

Considerando la perdita di dati e i tempi di inattività che causano, gli attacchi ransomware rappresentano una minaccia pericolosa per le aziende di qualsiasi settore. Secondo Sophos, il riscatto medio nel 2023 ha raggiunto 1,54 milioni di dollari . Purtroppo, l’intensità degli attacchi ransomware aumenta di anno in anno. Tutti sono a rischio. Una volta installato su un computer, il ransomware cancella o danneggia i dati utilizzando potenti algoritmi di crittografia.

Gli autori degli attacchi ransomware solitamente chiedono una somma di denaro (un riscatto) per sbloccare i dati e renderli nuovamente disponibili. Tuttavia, oltre a incentivare i criminali, questi pagamenti non garantiscono il pieno accesso ai dati utilizzabili. Questo post del blog spiega come ripristinare efficacemente da un attacco ransomware evitando transazioni con gli aggressori.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Cosa fare dopo un attacco ransomware

Nonostante le numerose misure preventive disponibili, esiste ancora la possibilità che la vostra organizzazione possa cadere vittima di un attacco ransomware. Le seguenti pratiche possono aiutarvi a ridurre al minimo l’impatto di un attacco ransomware, se e quando si verifica. Se i vostri computer vengono infettati da ransomware, seguite queste raccomandazioni prima di ripristinare i file dal ransomware.

  • Scollegate il dispositivo infetto. Non appena rilevate che un computer è stato infettato da malware, dovete scollegare immediatamente il dispositivo dalla rete e dai dispositivi di storage esterni. In questo modo, è possibile garantire che anche altri computer e sistemi dell’infrastruttura non vengano infettati. Questo passaggio consente di salvare i dati non interessati e ridurre la quantità di lavoro necessario per ripristinare i file dal ransomware.

    Successivamente, identificare il numero di computer effettivamente colpiti dall’attacco ransomware e cercare attività sospette nell’infrastruttura.

  • Identificate il tipo di ransomware. Parlate con la persona che ha rilevato per prima il problema. Chiedete cosa stava facendo prima dell’incidente, se aveva ricevuto e-mail con allegati sospetti e quali file aveva scaricato di recente. Identificare il tipo di ransomware fornisce informazioni preziose che possono essere utilizzate per individuare le vulnerabilità nel sistema di protezione dei dati e modificarlo di conseguenza.

    Inoltre, se si riesce a determinare il tipo di ransomware, è possibile sapere esattamente in che modo i file sono stati colpiti (ovvero se sono stati crittografati o bloccati). In questo modo potrete comprendere le potenziali ripercussioni del mancato pagamento del riscatto e quale strategia adottare per ripristinare con successo i dati dopo l’attacco ransomware.

  • Segnalate il problema. Durante la formazione dei dipendenti, spiega al tuo personale che è importante segnalare al team di supporto IT qualsiasi attività sospetta sui propri computer. In questo modo, i professionisti IT possono rispondere all’attacco ransomware in tempo, prima che si verifichino danni gravi. Successivamente, segnala l’attacco ransomware alle autorità (ad esempio, l’FBI se ti trovi negli Stati Uniti) e fornisci loro tutte le informazioni necessarie sull’incidente. La segnalazione alle autorità può aiutare a prevenire futuri attacchi da parte degli stessi autori del ransomware.
  • Non pagare il riscatto. Le forze dell’ordine sconsigliano di soddisfare le richieste degli aggressori perché ciò incoraggia ulteriori attacchi ransomware in futuro. Gli hacker che cercano di guadagnare rapidamente vedranno in voi una destinazione facile per i loro attacchi futuri. Inoltre, nella maggior parte dei casi, il pagamento del riscatto non garantisce che gli aggressori sbloccheranno o effettueranno la decrittografia dei dati come promesso. Ricorda che hai a che fare con criminali interessati solo al profitto.
  • Identifica l’impatto dell’attacco ransomware. È necessario determinare la quantità di dati danneggiati, il numero di macchine infettate a seguito dell’attacco e il tempo necessario per ripristinare il sistema. Inoltre, valutare la criticità dei dati resi indisponibili e determinare se è possibile ripristinarli senza pagare il riscatto.
  • Ripristina il sistema dal ransomware. Dopo aver rimosso il ransomware dai tuoi computer, puoi avviare il ripristino dall’attacco ransomware.

Opzioni di ripristino per i file crittografati dal ransomware

Esistono diversi metodi per il ripristino dei dati dopo un attacco ransomware. L’efficacia di questi metodi varia a seconda della situazione.

Utilizzo degli strumenti integrati nel sistema operativo

Se utilizzi Windows 10, puoi provare a utilizzare l’utilità Ripristino configurazione di sistema di Windows per recuperare le impostazioni di sistema e di programma da un punto di ripristino creato automaticamente. Non tutti i dati possono essere ripristinati con questo metodo. I ransomware moderni possono disabilitare il ripristino del sistema e eliminare o danneggiare i punti di ripristino di Windows. In questo caso, questo metodo è inefficace.

Utilizza lo strumento di decrittografia del ransomware

Se hai rilevato il tipo e la versione del ransomware, prova a trovare lo strumento di decrittografia fornito dai ricercatori di sicurezza. Gli strumenti di decrittografia non sono disponibili per tutte le versioni di ransomware. Inoltre, al giorno d’oggi è sempre più raro trovare uno strumento di decrittografia.

Utilizza un software per il ripristino dei file cancellati

Se il ransomware non ha sovrascritto i file sul disco e riempito la superficie del disco con zeri o dati casuali, c’è la possibilità di recuperare alcuni dati critici. La scansione della superficie del disco richiede molto tempo. I nomi dei file dopo il ripristino potrebbero andare persi e potrebbero assumere nomi come RECOVER0001.JPG, RECOVER0002.JPG, ecc.

Ripristina i dati da un backup

Il punto fondamentale di questo metodo è che è necessario prepararsi in anticipo e non aspettare che il ransomware infetti i computer. Se non è stato creato un backup prima dell’attacco ransomware, questo metodo non è applicabile. È necessario prepararsi in anticipo ed eseguire il backup dei dati a intervalli regolari. Le procedure consigliate per il backup raccomandano di seguire la regola di backup 3-2-1 e di archiviare i backup offsite e/o offline per il ripristino da un attacco ransomware. A tal fine è possibile utilizzare il cloud, nastro e/o backup immutabile storage.

Il modo migliore per creare backup è utilizzare soluzioni dedicate alla protezione dei dati che supportano diversi tipi di carichi di lavoro e infrastrutture e consentono di implementare la regola di backup 3-2-1.

Una di queste soluzioni è NAKIVO Backup & Replication. La soluzione di NAKIVO consente di aumentare le prestazioni di backup, garantire la recuperabilità dei dati e migliorare il ripristino da ransomware. La soluzione supporta la protezione dei dati per server fisici, macchine virtuali (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), istanze di Amazon EC2 e Microsoft 365. Con questa soluzione è possibile:

  • Eseguire backup e repliche incrementali basati su immagini e coerenti con le applicazioni.
  • Creare facilmente copie di backup senza coinvolgere gli host di origine o le VM.
  • Archivia i backup in un sito remoto, in un cloud pubblico o su nastro.
  • Abilita l’immutabilità per i repository locali basati su Linux o nel cloud Amazon S3.
  • Scegli tra una varietà di opzioni di ripristino flessibili, tra cui avvio istantaneo della VM, ripristino granulare e ripristino P2V di macchine fisiche come VM VMware vSphere.
  • Creare flussi di lavoro di ripristino di emergenza organizzando varie azioni e condizioni in una sequenza automatizzata.

Quanto tempo occorre per ripristinare da un attacco ransomware?

Il tempo necessario per ripristinare i file crittografati da un attacco ransomware dipende dalla quantità di dati danneggiati sui computer infetti e dal metodo utilizzato per il ripristino. Quando si stima il tempo necessario per il ripristino dopo un attacco ransomware, si intende il ripristino dei dati e il ripristino di tutti i sistemi con i carichi di lavoro ripristinati.

Il tempo necessario per recuperare i dati e ripristinare i carichi di lavoro può variare da giorni a mesi. Esaminiamo i principali fattori che influenzano il tempo di ripristino.

  • L’esperienza di un amministratore di sistema. Gli amministratori di sistema esperti di solito dispongono di più piani di ripristino di emergenza per diversi scenari e sanno cosa fare in ogni situazione. È necessario disporre di un piano di ripristino da ransomware per essere preparati agli attacchi ransomware.
  • Il ripristino tramite uno strumento di decrittografia (se ne trovate uno per una versione specifica di ransomware) potrebbe richiedere molto tempo. Se dopo la crittografia sono stati modificati anche i nomi dei file (ad esempio sLc6-fAl26m.nSeB2 anziché image001.jpg), occorrerà ancora più tempo per inserirli nelle directory corrette dopo il ripristino. È necessario rispettare la struttura corretta dei file e delle directory, soprattutto se questi file sono obbligatori per il funzionamento delle applicazioni.
  • Il backup dei dati riduce il tempo necessario per il ripristino dei file e dei server colpiti dal ransomware. Il vantaggio di recuperare i file da un backup dopo un attacco ransomware è che si recuperano dati strutturati, inclusi i nomi dei file e delle cartelle con il loro percorso corretto. È necessario selezionare un backup per la data/ora appropriata e selezionare la posizione di destinazione in cui recuperare i dati. Quindi basta attendere che i dati vengano copiati e recuperati.
    Inoltre, soluzioni di backup come NAKIVO Backup & Replication si basano su una tecnologia basata su immagini per acquisire backup di macchine virtuali e fisiche. Ciò significa che il backup acquisisce il sistema operativo e altri file associati al sistema operativo, come i file di configurazione delle applicazioni e lo stato del sistema, consentendo di risparmiare tempo nel ripristino e nella rimessa in funzione dei sistemi.
  • Un test inadeguato di un piano di ripristino da ransomware può comportare tempi di ripristino dei dati più lunghi del previsto. Per questo motivo, cercate sempre di testare il vostro piano di ripristino per assicurarvi di poter ripristinare tutto ciò di cui avete bisogno nei tempi previsti.

Si noti che quando si crea una strategia di ripristino di emergenza che include un piano di ripristino da ransomware, è necessario tenere conto delle metriche RTO e RPO .

Conclusione

Il ripristino dopo un attacco ransomware è un processo complesso che include il recupero dei dati e il ripristino dei carichi di lavoro. Il costo e il tempo necessari per il ripristino dopo un attacco ransomware dipendono dalla quantità di preparazione necessaria per la strategia di backup e il ripristino dopo gli attacchi ransomware.

L’approccio principale per mitigare i problemi causati dagli attacchi ransomware consiste nell’adottare misure preventive ed eseguire regolarmente il backup dei dati. Seguite la regola di backup 3-2-1 e utilizzate un storage di backup immutabile e una soluzione di protezione dei dati affidabile in grado di automatizzare le attività.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Come aggiungere vCenter a un dominio Active Directory
Picture
Che cos’è il backup completo sintetico: fatti che ogni amministratore di sistema dovrebbe conoscere
Picture
Sviluppo di un criterio di ripristino di emergenza: una guida passo passo