Rencana pencadangan dan pemulihan untuk melindungi terhadap ransomware

  • Artikel

Serangan ransomware sengaja mengenkripsi atau menghapus data dan sistem untuk memaksa organisasi Anda membayar uang kepada penyerang. Serangan ini menargetkan data Anda, cadangan Anda, dan dokumentasi kunci yang Anda perlukan untuk memulihkan tanpa membayar penyerang (sebagai sarana untuk meningkatkan kemungkinan organisasi Anda untuk membayar).

Artikel ini membahas apa yang harus dilakukan sebelum serangan untuk melindungi sistem yang penting bagi bisnis Anda dan selama serangan untuk memastikan pemulihan operasi bisnis yang cepat.

Catatan

Mempersiapkan ransomware juga meningkatkan ketahanan terhadap bencana alam dan serangan cepat seperti WannaCry & (Tidak)Petya.

Apa itu ransomware?

Ransomware adalah jenis serangan pemerasan yang mengenkripsi file dan folder, mencegah akses ke sistem dan file penting. Penyerang menggunakan ransomware untuk memeras uang dari korban dengan menuntut uang, biasanya dalam bentuk cryptocurrency, dengan imbalan kunci dekripsi atau dengan ganti tidak merilis data sensitif ke dark web atau internet publik.

Awal-awal kemunculan ransomware, sebagian besar malware menyebar dengan phishing atau antar perangkat, ransomware yang dioperasikan manusia kini telah muncul di mana sekelompok penyerang aktif, didorong oleh operator serangan manusia, menargetkan semua sistem dalam suatu organisasi (bukan satu perangkat atau serangkaian perangkat). Serangan dapat:

  • Mengenkripsi data Anda
  • Menarik data Anda
  • Merusak cadangan Anda

Ransomware memanfaatkan pengetahuan penyerang tentang sistem umum serta kerentanan dan kesalahan konfigurasi keamanan untuk menyusup ke organisasi, menavigasi jaringan perusahaan, dan beradaptasi dengan lingkungan beserta kelemahannya saat mereka menyusup.

Ransomware dapat digunakan untuk menarik data Anda terlebih dahulu, selama beberapa minggu atau bulan, sebelum ransomware benar-benar dieksekusi pada tanggal tertentu.

Ransomware juga dapat perlahan-lahan mengenkripsi data Anda sambil menyimpan kunci Anda di sistem. Jika kunci Anda masih ada, data Anda dapat Anda gunakan dan ransomware tidak diketahui. Meskipun begitu, cadangan Anda adalah dari data terenkripsi. Setelah semua data Anda dienkripsi dan cadangan terbaru juga berupa data terenkripsi, kunci Anda dihapus sehingga Anda tidak dapat lagi membaca data Anda.

Kerusakan nyata sering terjadi ketika serangan menarik file dan juga membuat pintu belakang di jaringan jika ingin menjalankan aktivitas berbahaya di masa depan—risiko ini ada terlepas dari tebusan dibayar atau tidak. Serangan-serangan ini dapat menjadi bencana besar bagi operasi bisnis dan sulit dibersihkan, membutuhkan pengusiran musuh total untuk melindungi terhadap serangan di masa depan. Tidak seperti bentuk awal ransomware yang hanya membutuhkan remediasi malware, ransomware yang dioperasikan manusia dapat terus mengancam operasi bisnis Anda setelah pertemuan awal.

Dampak dari serangan

Dampak serangan ransomware pada organisasi mana pun sulit untuk diukur secara akurat. Tergantung pada ruang lingkup serangan, dampaknya dapat mencakup:

  • Hilangnya akses data
  • Gangguan operasi bisnis
  • Kerugian finansial
  • Pencurian kekayaan intelektual
  • Kepercayaan pelanggan yang terganggu atau reputasi yang ternoda
  • Biaya hukum

Bagaimana Anda dapat melindungi diri sendiri?

Cara terbaik agar tidak menjadi korban ransomware adalah menerapkan langkah-langkah pencegahan dan memiliki alat yang melindungi organisasi Anda dari setiap langkah yang diambil penyerang untuk menyusup ke sistem Anda.

Anda dapat mengurangi eksposur lokal Anda dengan memindahkan organisasi Anda ke layanan cloud. Microsoft telah berinvestasi dalam kemampuan keamanan asli yang membuat Microsoft Azure tangguh terhadap serangan ransomware dan membantu organisasi mengalahkan teknik serangan ransomware. Untuk pandangan komprehensif tentang ransomware dan pemerasan dan cara melindungi organisasi Anda, gunakan informasi dalam presentasi PowerPoint Rencana Project Mitigasi Ransomware yang Dioperasikan Manusia.

Anda harus berasumsi bahwa pada suatu saat Anda akan menjadi korban serangan ransomware. Salah satu langkah paling penting yang dapat Anda ambil untuk melindungi data Anda dan menghindari membayar uang tebusan adalah memiliki rencana pencadangan dan pemulihan yang andal untuk informasi yang penting bagi bisnis Anda. Karena penyerang ransomware telah banyak berinvestasi untuk menetralisir aplikasi cadangan dan fitur sistem operasi seperti salinan bayangan volume, sangat penting untuk memiliki cadangan yang tidak dapat diakses oleh penyerang berbahaya.

Pencadangan Azure

Azure Backup menyediakan keamanan untuk lingkungan cadangan Anda, baik saat data Anda sedang transit maupun saat tidak aktif. Dengan Azure Backup, Anda dapat mencadangkan:

  • File, folder, dan status sistem lokal
  • Seluruh VM Windows/Linux
  • Azure Managed Disks
  • Berbagi file Azure ke akun penyimpanan
  • Database SQL Server yang berjalan di VM Azure

Data cadangan disimpan di penyimpanan Azure dan tamu atau penyerang tidak memiliki akses ke penyimpanan cadangan atau kontennya. Dengan cadangan mesin virtual, pembuatan dan penyimpanan rekam jepret cadangan dilakukan oleh Azure Fabric di mana tamu atau penyerang tidak memiliki keterlibatan selain mendiamkan beban kerja untuk cadangan aplikasi yang konsisten. Dengan SQL dan SAP HANA, ekstensi cadangan mendapatkan akses sementara untuk menulis ke blob tertentu. Dengan cara ini, bahkan dalam lingkungan yang disusupi, cadangan yang ada tidak dapat diubah atau dihapus oleh tamu.

Azure Backup menyediakan kapabilitas pemantauan dan peringatan bawaan untuk menampilkan dan mengonfigurasi tindakan untuk peristiwa yang terkait dengan Azure Backup. Laporan Cadangan berfungsi sebagai tujuan satu atap untuk melacak penggunaan, mengaudit cadangan dan pemulihan, dan mengidentifikasi tren utama pada tingkat granularitas yang berbeda. Menggunakan alat pemantauan dan pelaporan Azure Backup dapat memperingatkan Anda tentang aktivitas yang tidak sah, mencurigakan, atau berbahaya segera setelah hal tersebut terjadi.

Pemeriksaan telah ditambahkan untuk memastikan hanya pengguna yang valid yang dapat melakukan berbagai operasi. Ini mencakup penambahan lapisan autentikasi tambahan. Sebagai bagian dari menambahkan lapisan autentikasi tambahan untuk operasi penting, Anda diminta memasukkan PIN keamanan sebelum memodifikasi cadangan online.

Pelajari selengkapnya tentang fitur keamanan yang terpasang di Azure Backup.

Memvalidasi cadangan

Validasi bahwa cadangan Anda bagus saat cadangan Anda dibuat dan sebelum Anda memulihkan. Sebaiknya Anda menggunakan vault Recovery Services, yang merupakan entitas penyimpanan di Azure yang menyimpan data. Data biasanya adalah salinan data, atau informasi konfigurasi untuk mesin virtual (VM), beban kerja, server, atau stasiun kerja. Anda dapat menggunakan vault Recovery Services untuk menyimpan data cadangan untuk berbagai layanan Azure seperti VM IaaS (Linux atau Windows) dan database Azure SQL serta aset lokal. Vault Recovery Services memudahkan pengaturan data cadangan Anda dan menyediakan fitur seperti:

  • Kemampuan yang ditingkatkan untuk memastikan Anda dapat mengamankan file cadangan Anda, dan memulihkan data dengan aman, meskipun server cadangan dan produk terganggu. Pelajari selengkapnya.
  • Pemantauan untuk lingkungan TI hibrida Anda (VM IaaS Azure dan aset lokal) dari portal pusat. Pelajari selengkapnya.
  • Kompatibilitas dengan kontrol akses berbasis peran Azure (Azure RBAC), yang membatasi pencadangan dan memulihkan akses ke serangkaian peran pengguna yang ditentukan. Azure RBAC menyediakan berbagai peran bawaan, dan Azure Backup memiliki tiga peran bawaan untuk mengelola titik pemulihan. Pelajari selengkapnya.
  • Perlindungan penghapusan sementara, meskipun pelaku jahat menghapus cadangan (atau data cadangan dihapus secara tidak sengaja). Data cadangan disimpan selama 14 hari lebih lanjut, sehingga memungkinkan pemulihan item cadangan tersebut tanpa kehilangan data. Pelajari selengkapnya.
  • Pemulihan Lintas Wilayah memungkinkan Anda memulihkan VM Azure di wilayah sekunder, yang merupakan wilayah pasangan Azure. Anda dapat memulihkan data yang direplikasi di wilayah kedua kapan saja. Ini memungkinkan Anda memulihkan data wilayah sekunder untuk kepatuhan audit, dan selama skenario pemadaman, tanpa menunggu Azure mendeklarasikan bencana (tidak seperti pengaturan GRS kubah). Pelajari selengkapnya.

Catatan

Ada dua jenis vault di Azure Backup. Selain vault Recovery Services, ada juga vault Backup yang menyimpan data untuk beban kerja yang lebih baru yang didukung oleh Azure Backup.

Apa yang harus dilakukan sebelum serangan

Seperti disebutkan sebelumnya, Anda harus berasumsi bahwa suatu saat Anda akan menjadi korban serangan ransomware. Mengidentifikasi sistem yang penting bagi bisnis Anda dan menerapkan praktik terbaik sebelum serangan akan membuat sistem Anda bangkit dan berjalan secepat mungkin.

Tentukan apa yang paling penting bagi Anda

Ransomware dapat menyerang saat Anda berencana melindungi sistem dari serangan sehingga prioritas pertama Anda sebaiknya mengidentifikasi sistem yang penting bagi bisnis dan paling penting bagi Anda, lalu mulai lakukan pencadangan rutin pada sistem tersebut.

Berdasarkan pengalaman kami, lima aplikasi paling penting bagi pelanggan termasuk dalam kategori berikut dalam urutan prioritas ini:

  • Sistem identitas – diperlukan bagi pengguna untuk mengakses sistem apa pun (termasuk semua yang dijelaskan di bawah ini) seperti Direktori Aktif, Microsoft Entra Koneksi, pengontrol domain AD
  • Kehidupan manusia – sistem apa pun yang mendukung kehidupan manusia atau dapat membahayakannya seperti sistem dukungan medis atau kehidupan, sistem keselamatan (ambulans, sistem pengiriman, kontrol lampu lalu lintas), mesin besar, sistem kimia/biologi, produksi makanan atau produk pribadi, dan lain-lain
  • Sistem keuangan – sistem yang memproses transaksi moneter dan menjaga bisnis tetap beroperasi, seperti sistem pembayaran dan database terkait, sistem keuangan untuk pelaporan triwulanan
  • Pemberdayaan produk atau layanan – sistem apa pun yang diperlukan untuk menyediakan layanan bisnis atau memproduksi/mengirimkan produk fisik yang dibayar pelanggan Anda, sistem kontrol pabrik, sistem pengiriman/pengiriman produk, dan yang serupa
  • Keamanan (minimum) – Sebaiknya Anda juga memprioritaskan sistem keamanan yang diperlukan untuk memantau serangan dan menyediakan layanan keamanan minimum. Ini harus difokuskan untuk memastikan bahwa serangan saat ini (atau yang oportunistik yang mudah) tidak segera dapat memperoleh (atau mendapatkan kembali) akses ke sistem yang Anda pulihkan

Daftar cadangan yang Anda prioritaskan juga menjadi daftar pemulihan prioritas Anda. Setelah Anda mengidentifikasi sistem penting Anda dan melakukan pencadangan rutin, ambil langkah-langkah untuk mengurangi tingkat eksposur Anda.

Langkah yang harus diambil sebelum serangan

Terapkan praktik terbaik ini sebelum serangan.

Task Detail
Identifikasi sistem penting yang perlu Anda aktifkan kembali terlebih dahulu (menggunakan lima kategori teratas di atas) dan segera mulai melakukan pencadangan reguler dari sistem tersebut. Agar sistem bangkit dan berjalan kembali secepat mungkin setelah serangan, sekarang tentukan apa yang paling penting bagi Anda.
Migrasikan organisasi Anda ke cloud.

Pertimbangkan untuk membeli paket Microsoft Unified Support atau bekerja dengan mitra Microsoft untuk membantu mendukung langkah perpindahan Anda ke cloud.		 Kurangi paparan lokal Anda dengan memindahkan data ke layanan cloud dengan pencadangan otomatis dan pengembalian layanan mandiri. Microsoft Azure memiliki serangkaian alat yang kuat untuk membantu Anda mencadangkan sistem penting bisnis Anda dan memulihkan cadangan Anda lebih cepat.

Microsoft Unified Support adalah model dukungan layanan cloud yang ada untuk membantu Anda kapan pun Anda membutuhkannya. Dukungan Terpadu:

Menyediakan tim yang ditunjuk yang tersedia 24x7 dengan resolusi masalah sesuai kebutuhan dan eskalasi insiden penting

Membantu Anda memantau kesehatan lingkungan TI Anda dan bekerja secara proaktif untuk memastikan masalah dicegah sebelum terjadi
Memindahkan data pengguna ke solusi cloud seperti OneDrive dan SharePoint untuk memanfaatkan kemampuan penerapan versi dan keranjang sampah.

Mendidik pengguna tentang cara memulihkan file mereka sendiri untuk mengurangi penundaan dan biaya pemulihan. Misalnya, jika file OneDrive pengguna terinfeksi oleh malware, mereka dapat memulihkan seluruh OneDrive mereka ke waktu sebelumnya.

Pertimbangkan strategi pertahanan, seperti Microsoft Defender XDR, sebelum memungkinkan pengguna memulihkan file mereka sendiri.		 Data pengguna di cloud Microsoft dapat dilindungi oleh fitur keamanan dan manajemen data bawaan.

Ada baiknya untuk mengajarkan pengguna cara memulihkan file mereka sendiri, tetapi Anda harus berhati-hati agar pengguna Anda tidak memulihkan malware yang digunakan untuk melakukan serangan. Anda perlu:

Pastikan pengguna Anda tidak memulihkan file mereka sampai Anda yakin bahwa penyerang telah dikeluarkan

Memiliki mitigasi jika pengguna memulihkan beberapa malware

Microsoft Defender XDR menggunakan tindakan otomatis dan playbook yang didukung AI untuk memulihkan aset yang terkena dampak kembali ke status aman. Microsoft Defender XDR memanfaatkan kemampuan remediasi otomatis produk suite untuk memastikan semua aset yang terkena dampak yang terkait dengan insiden secara otomatis diperbaiki jika memungkinkan.
Terapkan tolok ukur keamanan cloud Microsoft. Tolok ukur keamanan cloud Microsoft adalah kerangka kerja kontrol keamanan kami berdasarkan kerangka kerja kontrol keamanan berbasis industri seperti NIST SP800-53, CIS Controls v7.1. Kerangka kerja ini memandu organisasi tentang cara mengonfigurasi Azure dan layanan Azure serta menerapkan kontrol keamanan. Lihat Pencadangan dan Pemulihan.
Latih rencana kelangsungan bisnis/pemulihan bencana (BC/DR) Anda secara teratur.

Simulasikan skenario respons insiden. Latihan yang Anda lakukan dalam mempersiapkan serangan harus direncanakan dan dilakukan seputar daftar pencadangan dan pemulihan yang Anda prioritaskan.

Uji skenario 'Memulihkan dari Nol' secara rutin untuk memastikan BC/DR Anda dapat memulihkan operasi yang penting bagi bisnis dengan cepat dari fungsi nol (semua sistem tidak aktif).		 Memastikan pemulihan operasi bisnis yang cepat dengan menangani ransomware atau serangan pemerasan dengan prioritas yang sama seperti bencana alam.

Lakukan latihan praktik untuk memvalidasi proses lintas tim dan prosedur teknis, termasuk dari komunikasi karyawan dan pelanggan out-of-band (anggap semua email dan obrolan sedang down).
Pertimbangkan untuk membuat daftar risiko untuk mengidentifikasi potensi risiko dan mengatasi bagaimana Anda akan menengahi melalui kontrol dan tindakan pencegahan. Tambahkan ransomware ke daftar risiko sebagai kemungkinan tinggi dan skenario dampak tinggi. Daftar risiko dapat membantu Anda memprioritaskan risiko berdasarkan kemungkinan risiko itu terjadi dan tingkat keparahan bisnis Anda jika risiko itu terjadi.

Pantau status mitigasi melalui siklus penilaian Enterprise Risk Management (ERM).
Cadangkan semua sistem bisnis penting secara otomatis pada jadwal reguler (termasuk pencadangan dependensi penting seperti Direktori Aktif).

Validasi bahwa cadangan Anda bagus saat cadangan Anda dibuat.		 Memungkinkan Anda memulihkan data hingga cadangan terakhir.
Melindungi (atau mencetak) dokumen dan sistem pendukung yang diperlukan untuk pemulihan seperti dokumen prosedur pemulihan, CMDB, diagram jaringan, dan instans SolarWinds. Penyerang sengaja menargetkan sumber daya ini karena berdampak pada kemampuan Anda untuk pulih.
Pastikan Anda memiliki prosedur yang terdokumentasi dengan baik untuk melibatkan dukungan pihak ketiga, terutama dukungan dari penyedia inteligensi ancaman, penyedia solusi antimalware, dan dari penyedia analisis malware. Lindungi (atau cetak) prosedur ini. Kontak pihak ketiga mungkin berguna jika varian ransomware tertentu telah diketahui kelemahannya atau tersedia alat dekripsinya.
Pastikan strategi pencadangan dan pemulihan meliputi:

Kemampuan untuk mencadangkan data ke titik waktu tertentu.

Beberapa salinan cadangan disimpan di lokasi yang terisolasi dan offline.

Tujuan waktu pemulihan yang menetapkan seberapa cepat informasi yang dicadangkan dapat diambil dan dimasukkan ke dalam lingkungan produksi.

Pemulihan kembali yang cepat ke lingkungan produksi/kotak pasir.		 Cadangan sangat penting untuk ketahanan setelah organisasi telah dibobol. Terapkan aturan 3-2-1 untuk perlindungan dan ketersediaan maksimum: 3 salinan (asli + 2 cadangan), 2 jenis penyimpanan, dan 1 di luar kantor atau salinan dingin.
Lindungi cadangan dari penghapusan dan enkripsi yang disederhanakan:

Simpan cadangan dalam penyimpanan offline atau di luar lokasi dan/atau penyimpanan yang tidak berubah.

Memerlukan langkah-langkah out of band (seperti MFA atau PIN keamanan) sebelum mengizinkan cadangan online untuk dimodifikasi atau dihapus.

Buat titik akhir privat dalam Azure Virtual Network Anda untuk mencadangkan dan memulihkan data dengan aman dari vault Recovery Services.		 Cadangan yang dapat diakses oleh penyerang dapat dihancurkan demi pemulihan bisnis.

Penyimpanan offline ini memastikan transfer data cadangan yang kuat tanpa menggunakan bandwidth jaringan apa pun. Azure Backup mendukung pencadangan offline, yang mentransfer data cadangan awal secara offline, tanpa menggunakan bandwidth jaringan. Menyediakan mekanisme untuk menyalin data cadangan ke perangkat penyimpanan fisik. Perangkat tersebut kemudian dikirim ke pusat data Azure terdekat dan diunggah ke vault Recovery Services.

Penyimpanan online yang tak berubah (seperti Azure Blob) memungkinkan Anda menyimpan objek data yang penting bagi bisnis dalam status WORM (Tulis Sekali, Baca Berulang Kali). Status ini menjadikan data tidak dapat dihapus dan tidak dapat dimodifikasi untuk interval yang ditentukan pengguna.

Multifactor authentication (MFA) harus diwajibkan untuk semua akun admin dan sangat direkomendasikan untuk semua pengguna. Metode pilihannya adalah menggunakan aplikasi autentikator daripada SMS atau suara, jika memungkinkan. Saat Anda menyiapkan Azure Backup, Anda dapat mengonfigurasi layanan pemulihan untuk mengaktifkan MFA menggunakan PIN keamanan yang dibuat di portal Microsoft Azure. Ini memastikan bahwa pin keamanan dibuat untuk melakukan operasi penting seperti memperbarui atau menghapus titik pemulihan.
Tentukan folder yang dilindungi. Mempersulit aplikasi yang tidak resmi untuk memodifikasi data dalam folder ini.
Tinjau izin Anda:

Temukan izin tulis/hapus yang luas pada berbagi file, SharePoint, dan solusi lainnya. Luas didefinisikan sebagai banyak pengguna yang memiliki izin tulis/hapus untuk data yang penting bagi bisnis.

Kurangi izin yang luas saat memenuhi persyaratan kolaborasi bisnis.

Audit dan pantau untuk memastikan izin yang luas tidak muncul kembali.		 Kurangi risiko dari aktivitas ransomware yang mengaktifkan akses yang luas.
Lindungi dari upaya pengelabuan:

Lakukan pelatihan kesadaran keamanan secara rutin untuk membantu pengguna mengidentifikasi upaya phishing dan menghindari mengeklik sesuatu yang dapat membuat titik masuk awal untuk penyusupan.

Terapkan kontrol penyaringan keamanan ke email untuk mendeteksi dan meminimalkan kemungkinan upaya phishing yang sukses.		 Metode paling umum yang digunakan oleh penyerang untuk menyusup ke organisasi adalah upaya phishing melalui email. Exchange Online Protection (EOP) adalah layanan pemfilteran berbasis cloud yang melindungi organisasi Anda dari spam, malware, dan ancaman email lainnya. EOP disertakan dalam semua organisasi Microsoft 365 dengan kotak surat Exchange Online.

Contoh kontrol pemfilteran keamanan untuk email adalah Safe Links. Brankas Links adalah fitur dalam Defender untuk Office 365 yang menyediakan pemindaian dan penulisan ulang URL dan tautan dalam pesan email selama alur email masuk, dan verifikasi URL dan tautan waktu klik dalam pesan email dan lokasi lain (dokumen Microsoft Teams dan Office). Pemindaian Safe Links terjadi di samping perlindungan anti-spam dan anti-malware reguler dalam pesan email masuk di EOP. Pemindaian Safe Links dapat membantu melindungi organisasi Anda dari tautan berbahaya yang digunakan dalam phishing dan serangan lainnya.

Pelajari lebih lanjut tentang perlindungan anti-phishing.

Apa yang harus dilakukan selama serangan

Jika Anda diserang, daftar cadangan yang Anda prioritaskan menjadi daftar pemulihan yang Anda prioritaskan. Sebelum Anda memulihkan, pastikan lagi bahwa cadangan Anda dalam keadaan yang baik. Ada kemungkinan bahwa malware berada di dalam cadangan.

Langkah-langkah yang harus diambil selama serangan

Terapkan praktik terbaik ini selama serangan.

Task Detail
Di awal serangan, libatkan dukungan pihak ketiga, terutama dukungan dari penyedia inteligensi ancaman, penyedia solusi antimalware, dan dari penyedia analisis malware. Kontak ini mungkin berguna jika varian ransomware tertentu telah diketahui kelemahannya atau tersedia alat dekripsinya.

Microsoft Detection and Response Team (DART) dapat membantu melindungi Anda dari serangan. DART terlibat dengan pelanggan di seluruh dunia, membantu melindungi dan mengeras terhadap serangan sebelum terjadi, serta menyelidiki dan memulihkan ketika serangan telah terjadi.

Microsoft juga menyediakan layanan Rapid Ransomware Recovery. Layanan secara eksklusif diberikan oleh Microsoft Global Compromise Recovery Security Practice (CRSP). Fokus tim ini selama serangan ransomware adalah memulihkan layanan autentikasi dan membatasi dampak ransomware.

DART dan CRSP merupakan bagian dari baris layanan keamanan Industry Solutions Delivery Microsoft.
Hubungi lembaga penegak hukum setempat atau federal Anda. Jika Anda berada di Amerika Serikat, hubungi FBI untuk melaporkan pelanggaran ransomware menggunakan Formulir Rujukan Keluhan IC3.
Ambil langkah-langkah untuk menghapus malware atau payload ransomware dari lingkungan Anda dan menghentikan penyebaran.

Jalankan pemindaian antivirus penuh saat ini di semua komputer dan perangkat yang dicurigai untuk mendeteksi dan menghapus payload yang terkait dengan ransomware.

Pindai perangkat yang menyinkronkan data, atau target drive jaringan yang dipetakan.		 Anda dapat menggunakan Pertahanan Windows atau (untuk klien yang lebih lama) Microsoft Security Essentials.

Alternatif yang juga akan membantu Anda menghapus ransomware atau malware adalah Malicious Software Removal Tool (MSRT).
Pulihkan sistem yang penting bagi bisnis terlebih dahulu. Ingatlah untuk memastikan lagi bahwa cadangan Anda dalam kondisi yang baik sebelum Anda memulihkan. Pada titik ini, Anda tidak perlu memulihkan semuanya. Fokus pada lima sistem teratas yang penting bagi bisnis dari daftar pemulihan Anda.
Jika Anda memiliki cadangan offline, Anda mungkin dapat memulihkan data terenkripsi setelah Anda menghapus payload ransomware (malware) dari lingkungan Anda. Untuk mencegah serangan di masa mendatang, pastikan ransomware atau malware tidak ada di cadangan offline Anda sebelum memulihkan.
Identifikasi citra cadangan titik waktu yang sudah dipastikan tidak terinfeksi.

Jika Anda menggunakan vault Recovery Services, tinjau garis waktu insiden dengan cermat untuk memahami titik waktu yang tepat untuk memulihkan cadangan.		 Untuk mencegah serangan di masa depan, pindai cadangan untuk ransomware atau malware sebelum memulihkan.
Gunakan pemindai keamanan dan alat lain untuk pemulihan sistem operasi penuh serta skenario pemulihan data. Microsoft Safety Scanner adalah alat pemindaian yang dirancang untuk menemukan dan menghapus malware dari komputer Windows. Cukup unduh alatnya dan jalankan pemindaian untuk menemukan malware dan mencoba membalikkan perubahan yang dibuat oleh ancaman yang diidentifikasi.
Pastikan bahwa antivirus atau solusi deteksi dan respons titik akhir (EDR) Anda sudah yang terbaru. Anda juga perlu patch terbaru. Solusi EDR, seperti Pertahanan Microsoft untuk Titik Akhir, adalah pilihan yang disarankan.
Setelah sistem yang penting bagi bisnis berdiri dan berjalan, pulihkan sistem lain.

Ketika sistem dipulihkan, mulailah mengumpulkan data telemetri sehingga Anda dapat membuat keputusan formatif tentang apa yang Anda pulihkan.		 Data telemetri akan membantu Anda mengidentifikasi apakah malware masih ada di sistem Anda.

Pasca serangan atau simulasi

Setelah serangan ransomware atau simulasi respons insiden, ambil langkah-langkah berikut untuk menyempurnakan rencana pencadangan dan pemulihan serta postur keamanan Anda:

  1. Identifikasi pelajaran yang diambil saat proses tidak bekerja dengan baik (dan peluang untuk menyederhanakan, mempercepat, atau memperbaiki proses)
  2. Lakukan analisis akar penyebab pada tantangan terbesar (pada detail yang cukup untuk memastikan solusi mengatasi masalah yang tepat — dengan mempertimbangkan orang, proses, dan teknologi)
  3. Selidiki dan pulihkan pembobolan asli (melibatkan Microsoft Detection and Response Team (DART) untuk membantu)
  4. Perbarui strategi cadangan dan pemulihan Anda berdasarkan pelajaran yang dipelajari dan peluang — prioritas berdasarkan dampak tertinggi dan langkah implementasi tercepat terlebih dahulu

Langkah berikutnya

Pada artikel ini, Anda belajar bagaimana menyempurnakan rencana pencadangan dan pemulihan untuk melindungi terhadap ransomware. Untuk praktik terbaik dalam menyebarkan perlindungan ransomware, lihat Melindungi terhadap ransomware dan pemerasan dengan cepat.

Informasi industri utama:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Posting blog tim Microsoft Security: