Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner

Utpressningstrojanattacker krypterar eller raderar avsiktligt data och system för att tvinga din organisation att betala pengar till angripare. Dessa attacker riktar sig mot dina data, dina säkerhetskopior och även viktig dokumentation som krävs för att du ska kunna återställa utan att betala angriparna (som ett sätt att öka risken för att din organisation betalar).

Den här artikeln beskriver vad du ska göra före en attack för att skydda dina kritiska affärssystem och under en attack för att säkerställa en snabb återställning av verksamheten.

Anteckning

Förberedelse för utpressningstrojaner förbättrar också motståndskraften mot naturkatastrofer och snabba attacker som WannaCry&(Not)Petya.

Vad är utpressningstrojaner?

Utpressningstrojaner är en typ av utpressningsattack som krypterar filer och mappar, vilket förhindrar åtkomst till viktiga data och system. Angripare använder utpressningstrojaner för att utpressa pengar från offer genom att kräva pengar, vanligtvis i form av kryptovalutor, i utbyte mot en dekrypteringsnyckel eller i utbyte mot att inte släppa känsliga data till dark web eller det offentliga Internet.

Medan tidiga utpressningstrojaner främst använde skadlig kod som spreds med nätfiske eller mellan enheter, har utpressningstrojaner som drivs av människor dykt upp där ett gäng aktiva angripare, drivna av mänskliga attackoperatörer, riktar in sig på alla system i en organisation (snarare än en enda enhet eller uppsättning enheter). En attack kan:

  • Kryptera dina data
  • Exfiltera dina data
  • Skada dina säkerhetskopior

Utpressningstrojanerna utnyttjar angriparnas kunskaper om vanliga system- och säkerhetsfel och sårbarheter för att infiltrera organisationen, navigera i företagsnätverket och anpassa sig till miljön och dess svagheter när de går.

Utpressningstrojaner kan mellanlagras för att exfiltera dina data först, under flera veckor eller månader, innan utpressningstrojanerna faktiskt körs på ett visst datum.

Utpressningstrojaner kan också långsamt kryptera dina data samtidigt som din nyckel lagras i systemet. Med din nyckel fortfarande tillgänglig kan dina data användas för dig och utpressningstrojanerna går obemärkt förbi. Dina säkerhetskopior är dock av krypterade data. När alla dina data har krypterats och de senaste säkerhetskopiorna också är av krypterade data tas nyckeln bort så att du inte längre kan läsa dina data.

Den verkliga skadan sker ofta när attacken exfiltrerar filer samtidigt som bakdörrar lämnas i nätverket för framtida skadlig aktivitet – och dessa risker kvarstår oavsett om lösensumman betalas eller inte. Dessa attacker kan vara katastrofala för verksamheten och svåra att rensa upp, vilket kräver fullständig avlägsning för att skydda mot framtida attacker. Till skillnad från tidiga former av utpressningstrojaner som bara krävde åtgärder mot skadlig kod kan utpressningstrojaner som drivs av människor fortsätta att hota din verksamhet efter det första mötet.

Påverkan av en attack

Effekten av en utpressningstrojanattack på någon organisation är svår att kvantifiera korrekt. Beroende på attackens omfattning kan effekten omfatta:

  • Förlust av dataåtkomst
  • Avbrott i verksamheten
  • Ekonomisk förlust
  • Stöld av immateriella rättigheter
  • Komprometterat kundförtroende eller skamfilat rykte
  • Juridiska kostnader

Hur kan du skydda dig själv?

Det bästa sättet att förhindra att utpressningstrojaner faller offer för utpressningstrojaner är att implementera förebyggande åtgärder och ha verktyg som skyddar din organisation från varje steg som angripare vidtar för att infiltrera dina system.

Du kan minska din lokala exponering genom att flytta din organisation till en molntjänst. Microsoft har investerat i inbyggda säkerhetsfunktioner som gör Microsoft Azure motståndskraftigt mot utpressningstrojanattacker och hjälper organisationer att besegra utpressningstrojanattacker. Om du vill ha en omfattande vy över utpressningstrojaner och utpressning och hur du skyddar din organisation kan du använda informationen i PowerPoint-presentationen Human-Operated Ransomware Mitigation Project Plan .

Du bör anta att du någon gång kommer att falla offer för en utpressningstrojanattack. Ett av de viktigaste stegen du kan vidta för att skydda dina data och undvika att betala lösensumma är att ha en tillförlitlig plan för säkerhetskopiering och återställning för din affärskritiska information. Eftersom utpressningstrojaner har investerat mycket i att neutralisera säkerhetskopieringsprogram och operativsystemfunktioner som skuggkopior av volymer är det viktigt att ha säkerhetskopior som inte är tillgängliga för en angripare.

Azure Backup

Azure Backup ger säkerhet för din säkerhetskopieringsmiljö, både när dina data överförs och är i vila. Med Azure Backup kan du säkerhetskopiera:

  • Lokala filer, mappar och systemtillstånd
  • Hela virtuella Windows-/Linux-datorer
  • Azure Managed Disks
  • Azure-filresurser till ett lagringskonto
  • SQL Server databaser som körs på virtuella Azure-datorer

Säkerhetskopierade data lagras i Azure Storage och gästen eller angriparen har ingen direkt åtkomst till lagring av säkerhetskopior eller dess innehåll. Med säkerhetskopiering av virtuella datorer skapas och lagras ögonblicksbilder av säkerhetskopior av Azure Fabric där gästen eller angriparen inte har något annat engagemang än att ta bort arbetsbelastningen för programkonsekventa säkerhetskopieringar. Med SQL och SAP HANA får säkerhetskopieringstillägget tillfällig åtkomst för att skriva till specifika blobar. På så sätt kan inte befintliga säkerhetskopior manipuleras eller tas bort av angriparen, även i en komprometterad miljö.

Azure Backup innehåller inbyggda övervaknings- och aviseringsfunktioner för att visa och konfigurera åtgärder för händelser relaterade till Azure Backup. Säkerhetskopieringsrapporter fungerar som ett enda mål för spårning av användning, granskning av säkerhetskopior och återställningar samt identifiering av viktiga trender på olika detaljnivåer. Om du använder Azure Backup övervaknings- och rapporteringsverktyg kan du få aviseringar om obehöriga, misstänkta eller skadliga aktiviteter så snart de inträffar.

Kontroller har lagts till för att se till att endast giltiga användare kan utföra olika åtgärder. Dessa inkluderar att lägga till ett extra autentiseringslager. Som en del av att lägga till ett extra autentiseringslager för kritiska åtgärder uppmanas du att ange en PIN-kod för säkerhet innan du ändrar onlinesäkerhetskopieringar.

Mer informasjon om de inbyggda säkerhetsfunktionerna i Azure Backup.

Verifiera säkerhetskopior

Kontrollera att säkerhetskopieringen är bra när säkerhetskopieringen skapas och innan du återställer. Vi rekommenderar att du använder ett Recovery Services-valv, som är en lagringsentitet i Azure som innehåller data. Data är vanligtvis kopior av data eller konfigurationsinformation för virtuella datorer (VM), arbetsbelastningar, servrar eller arbetsstationer. Du kan använda Recovery Services-valv för att lagra säkerhetskopierade data för olika Azure-tjänster, till exempel virtuella IaaS-datorer (Linux eller Windows) och SQL do Azure databaser samt lokala tillgångar. Recovery Services-valv gör det enkelt att organisera dina säkerhetskopierade data och tillhandahålla funktioner som:

  • Förbättrade funktioner för att säkerställa att du kan skydda dina säkerhetskopior och återställa data på ett säkert sätt, även om produktions- och säkerhetskopieringsservrar komprometteras. Läs mer.
  • Övervakning för din hybrid-IT-miljö (virtuella Azure IaaS-datorer och lokala tillgångar) från en central portal. Läs mer.
  • Kompatibilitet med rollbaserad åtkomstkontroll i Azure (Azure RBAC), som begränsar säkerhetskopiering och återställning av åtkomst till en definierad uppsättning användarroller. Azure RBAC tillhandahåller olika inbyggda roller och Azure Backup har tre inbyggda roller för att hantera återställningspunkter. Läs mer.
  • Skydd mot mjuk borttagning, även om en obehörig aktör tar bort en säkerhetskopia (eller säkerhetskopierade data tas bort av misstag). Säkerhetskopierade data behålls i ytterligare 14 dagar, vilket gör det möjligt att återställa ett säkerhetskopieringsobjekt utan dataförlust. Läs mer.
  • Återställning mellan regioner som gör att du kan återställa virtuella Azure-datorer i en sekundär region, som är en länkad Azure-region. Du kan återställa replikerade data i den sekundära regionen när som helst. På så sätt kan du återställa data i den sekundära regionen för granskningsefterlevnad och under avbrottsscenarier, utan att vänta på att Azure ska deklarera en katastrof (till skillnad från GRS-inställningarna för valvet). Läs mer.

Anteckning

Det finns två typer av valv i Azure Backup. Förutom Recovery Services-valv finns det även Backup-valv som innehåller data för nyare arbetsbelastningar som stöds av Azure Backup.

Vad du ska göra före en attack

Som tidigare nämnts bör du anta att du någon gång kommer att falla offer för en utpressningstrojanattack. Genom att identifiera dina affärskritiska system och tillämpa metodtips innan en attack kan du komma igång igen så snabbt som möjligt.

Ta reda på vad som är viktigast för dig

Utpressningstrojaner kan attackera medan du planerar för en attack, så din första prioritet bör vara att identifiera de affärskritiska system som är viktigast för dig och börja utföra regelbundna säkerhetskopieringar på dessa system.

Enligt vår erfarenhet tillhör de fem viktigaste programmen för kunder följande kategorier i den här prioritetsordningen:

  • Identitetssystem – krävs för att användare ska få åtkomst till alla system (inklusive alla andra som beskrivs nedan), till exempel Active Directory, Azure AD Connect, AD-domänkontrollanter
  • Mänskligt liv – alla system som stöder mänskligt liv eller kan utsätta det för risker som medicinska system eller livsstödssystem, säkerhetssystem (ambulans, sändningssystem, trafikljuskontroll), stora maskiner, kemiska/biologiska system, produktion av livsmedel eller personliga produkter och andra
  • Finansiella system – system som bearbetar monetära transaktioner och håller verksamheten i drift, till exempel betalningssystem och relaterade databaser, finansiellt system för kvartalsrapportering
  • Produkt- eller tjänstaktivering – alla system som krävs för att tillhandahålla affärstjänster eller producera/leverera fysiska produkter som dina kunder betalar dig för, fabrikskontrollsystem, produktleverans-/leveranssystem och liknande
  • Säkerhet (minimum) – Du bör också prioritera de säkerhetssystem som krävs för att övervaka attacker och tillhandahålla lägsta säkerhetstjänster. Detta bör fokuseras på att se till att de aktuella attackerna (eller enkla opportunistiska) inte omedelbart kan få (eller återfå) åtkomst till dina återställde system

Din prioriterade säkerhetskopieringslista blir också din prioriterade återställningslista. När du har identifierat dina kritiska system och utför regelbundna säkerhetskopieringar kan du vidta åtgärder för att minska exponeringsnivån.

Steg att vidta före en attack

Använd dessa metodtips före en attack.

Uppgift Detalj
Identifiera de viktiga system som du behöver för att börja använda online igen först (med hjälp av de fem främsta kategorierna ovan) och börja omedelbart utföra regelbundna säkerhetskopior av dessa system. För att komma igång igen så snabbt som möjligt efter en attack, avgör du idag vad som är viktigast för dig.
Migrera din organisation till molnet.

Överväg att köpa en Microsoft Unified Support plan eller arbeta med en Microsoft partner för att hjälpa dig att flytta till molnet.
Minska din lokala exponering genom att flytta data till molntjänster med automatisk säkerhetskopiering och återställning via självbetjäning. Microsoft Azure har en robust uppsättning verktyg som hjälper dig att säkerhetskopiera dina affärskritiska system och återställa dina säkerhetskopior snabbare.

Microsoft Unified Support är en supportmodell för molntjänster som finns där för att hjälpa dig när du behöver den. Enhetligt stöd:

Tillhandahåller ett utsett team som är tillgängligt dygnet innan med problemlösning efter behov och kritisk incidenteskalering

Hjälper dig att övervaka hälsotillståndet för din IT-miljö och arbetar proaktivt för att se till att problem förhindras innan de inträffar
Flytta användardata till molnlösningar som OneDrive och SharePoint för att dra nytta av funktionerna för versionshantering och papperskorgen.

Utbilda användarna om hur de själva kan återställa sina filer för att minska fördröjningar och kostnader för återställning. Om en användares OneDrive-filer till exempel har smittats av skadlig kod kan de återställa hela OneDrive till en tidigare tidpunkt.

Överväg en försvarsstrategi, till exempel Microsoft 365 Defender, innan du tillåter användare att återställa sina egna filer.
Användardata i Microsoft molnet kan skyddas av inbyggda säkerhets- och datahanteringsfunktioner.

Det är bra att lära användarna hur de återställer sina egna filer, men du måste vara försiktig så att användarna inte återställer den skadliga kod som används för att utföra attacken. Du måste:

Se till att användarna inte återställer sina filer förrän du är säker på att angriparen har avlägsnats

Ha en riskreducering på plats om en användare återställer en del av den skadliga koden

Microsoft 365 Defender använder AI-baserade automatiska åtgärder och spelböcker för att åtgärda tillgångar som påverkas tillbaka till ett säkert tillstånd. Microsoft 365 Defender utnyttjar automatiska reparationsfunktioner i svitprodukterna för att säkerställa att alla berörda tillgångar som är relaterade till en incident åtgärdas automatiskt där det är möjligt.
Implementera benchmark för Microsoft molnsäkerhet. Det Microsoft benchmark för molnsäkerhet är vårt ramverk för säkerhetskontroll baserat på branschbaserade ramverk för säkerhetskontroll, till exempel NIST SP800-53, CIS Controls v7.1. Den ger organisationer vägledning om hur du konfigurerar Azure- och Azure-tjänster och implementerar säkerhetskontrollerna. Se Säkerhetskopiering och återställning.
Använd regelbundet planen för affärskontinuitet/haveriberedskap (BC/DR).

Simulera scenarier för incidenthantering. Övningar som du utför för att förbereda för en attack bör planeras och utföras runt dina prioriterade listor för säkerhetskopiering och återställning.

Testa regelbundet scenariot "Återställ från noll" för att säkerställa att din BC/DR snabbt kan ta kritiska affärsåtgärder online från nollfunktioner (alla system är nere).
Säkerställer snabb återställning av affärsåtgärder genom att behandla en utpressningstrojan eller utpressningsattack med samma betydelse som en naturkatastrof.

Genomför övningsövningar för att validera processer mellan team och tekniska procedurer, inklusive out-of-band-personal och kundkommunikation (anta att all e-post och chatt ligger nere).
Överväg att skapa ett riskregister för att identifiera potentiella risker och åtgärda hur du kommer att medling genom förebyggande kontroller och åtgärder. Lägg till utpressningstrojaner i riskregistret som scenario med hög sannolikhet och hög påverkan. Ett riskregister kan hjälpa dig att prioritera risker baserat på sannolikheten för att den risken inträffar och allvarlighetsgraden för ditt företag om den risken skulle uppstå.

Spåra riskreduceringsstatus via utvärderingscykeln för företagsriskhantering (ERM ).
Säkerhetskopiera alla kritiska affärssystem automatiskt enligt ett regelbundet schema (inklusive säkerhetskopiering av kritiska beroenden som Active Directory).

Kontrollera att säkerhetskopieringen är bra när säkerhetskopieringen skapas.
Gör att du kan återställa data fram till den senaste säkerhetskopieringen.
Skydda (eller skriva ut) stöddokument och system som krävs för återställning, till exempel dokument för återställningsprocedurer, CMDB, nätverksdiagram och SolarWinds-instanser. Angripare riktar avsiktligt in sig på dessa resurser eftersom det påverkar din förmåga att återställa.
Se till att du har väldokumenterade procedurer för att engagera stöd från tredje part, särskilt från leverantörer av hotinformation, leverantörer av lösningar mot skadlig kod och från providern för analys av skadlig kod. Skydda (eller skriva ut) dessa procedurer. Kontakter från tredje part kan vara användbara om den angivna utpressningstrojanvarianten har kända svagheter eller dekrypteringsverktyg är tillgängliga.
Se till att strategin för säkerhetskopiering och återställning omfattar:

Möjlighet att säkerhetskopiera data till en viss tidpunkt.

Flera kopior av säkerhetskopior lagras på isolerade, offlineplatser (luftgapade).

Mål för återställningstid som fastställer hur snabbt säkerhetskopierad information kan hämtas och placeras i produktionsmiljön.

Snabb återställning av säkerhetskopiering till en produktionsmiljö/sandbox-miljö.
Säkerhetskopior är viktiga för motståndskraft när en organisation har brutits. Tillämpa regeln 3-2-1 för maximalt skydd och tillgänglighet: 3 kopior (ursprungliga + 2 säkerhetskopior), 2 lagringstyper och 1 offsite eller kall kopia.
Skydda säkerhetskopior mot avsiktlig radering och kryptering:

Lagra säkerhetskopior i offline- eller offlinelagring och/eller oföränderlig lagring.

Kräv out-of-band-steg (till exempel MFA eller en PIN-kod för säkerhet) innan du tillåter att en onlinesäkerhetskopiering ändras eller raderas.

Skapa privata slutpunkter i azure-Virtual Network för att på ett säkert sätt säkerhetskopiera och återställa data från Recovery Services-valvet.
Säkerhetskopior som är tillgängliga för angripare kan göras oanvändbara för företagsåterställning.

Offlinelagring säkerställer robust överföring av säkerhetskopierade data utan att använda någon nätverksbandbredd. Azure Backup stöder offlinesäkerhetskopiering, som överför inledande säkerhetskopieringsdata offline, utan användning av nätverksbandbredd. Den tillhandahåller en mekanism för att kopiera säkerhetskopierade data till fysiska lagringsenheter. Enheterna levereras sedan till ett närliggande Azure-datacenter och laddas upp till ett Recovery Services-valv.

Med oföränderlig onlinelagring (till exempel Azure Blob) kan du lagra affärskritiska dataobjekt i ett WORM-tillstånd (Write Once, Read Many). Det här tillståndet gör att data inte kan raderas och inte kan ändras för ett användardefingivet intervall.

Multifaktorautentisering (MFA) bör vara obligatoriskt för alla administratörskonton och rekommenderas starkt för alla användare. Den bästa metoden är att använda en autentiseringsapp i stället för SMS eller röst där det är möjligt. När du konfigurerar Azure Backup kan du konfigurera dina återställningstjänster för att aktivera MFA med hjälp av en PIN-kod för säkerhet som genereras i Azure-Portal. Detta säkerställer att en säkerhets-PIN-kod genereras för att utföra kritiska åtgärder, till exempel att uppdatera eller ta bort en återställningspunkt.
Ange skyddade mappar. Gör det svårare för obehöriga program att ändra data i dessa mappar.
Granska dina behörigheter:

Identifiera breda skriv-/borttagningsbehörigheter för filresurser, SharePoint och andra lösningar. Bred definieras eftersom många användare har skriv-/borttagningsbehörighet för affärskritiska data.

Minska breda behörigheter samtidigt som du uppfyller kraven för affärssamarbete.

Granska och övervaka för att säkerställa att breda behörigheter inte visas igen.
Minskar risken för breda aktiviteter med åtkomstaktivering av utpressningstrojaner.
Skydda mot nätfiskeförsök:

Genomför utbildning om säkerhetsmedvetenhet regelbundet för att hjälpa användare att identifiera ett nätfiskeförsök och undvika att klicka på något som kan skapa en första startpunkt för en kompromiss.

Tillämpa säkerhetsfiltreringskontroller på e-post för att identifiera och minimera sannolikheten för ett lyckat nätfiskeförsök.
Den vanligaste metoden som används av angripare för att infiltrera en organisation är nätfiskeförsök via e-post. Exchange Online Protection (EOP) är den molnbaserade filtreringstjänsten som skyddar din organisation mot skräppost, skadlig kod och andra e-posthot. EOP ingår i alla Microsoft 365 organisationer med Exchange Online postlådor.

Ett exempel på en säkerhetsfiltreringskontroll för e-post är Säkra länkar. Säkra länkar är en funktion i Defender för Office 365 som ger genomsökning och omskrivning av URL:er och länkar i e-postmeddelanden under inkommande e-postflöde och verifiering av URL:er och länkar i e-postmeddelanden och andra platser (Microsoft Teams- och Office-dokument). Genomsökning av säkra länkar sker utöver det vanliga skyddet mot skräppost och skadlig kod i inkommande e-postmeddelanden i EOP. Genomsökning av säkra länkar kan hjälpa till att skydda din organisation från skadliga länkar som används vid nätfiske och andra attacker.

Mer informasjon om skydd mot nätfiske.

Vad du ska göra under en attack

Om du blir attackerad blir din prioriterade säkerhetskopieringslista din prioriterade återställningslista. Innan du återställer kontrollerar du att säkerhetskopieringen är bra. Du kanske kan söka efter skadlig kod i säkerhetskopian.

Steg att vidta under en attack

Tillämpa dessa metodtips under en attack.

Uppgift Detalj
Tidigt i attacken kan du kontakta tredjepartssupport, särskilt support från leverantörer av hotinformation, leverantörer av lösningar mot skadlig kod och från leverantören av analys av skadlig kod. Dessa kontakter kan vara användbara om den angivna utpressningstrojanvarianten har en känd svaghet eller dekrypteringsverktyg är tillgängliga.

Microsoft DETECTION and Response Team (DART) kan hjälpa dig att skydda dig mot attacker. DART interagerar med kunder runt om i världen, hjälper till att skydda och härda mot attacker innan de inträffar, samt undersöka och åtgärda när en attack har inträffat.

Microsoft tillhandahåller även snabba tjänster för återställning av utpressningstrojaner. Tjänsterna levereras exklusivt av CRSP (Global Compromise Recovery Security Practice) Microsoft Global Compromise. Teamets fokus under en attack med utpressningstrojaner är att återställa autentiseringstjänsten och begränsa effekten av utpressningstrojaner.

DART och CRSP är en del av Microsoft's Industry Solutions Delivery security service line.
Kontakta dina lokala eller federala brottsbekämpande myndigheter. Om du befinner dig i Estados Unidos kontaktar du FBI för att rapportera ett intrång i utpressningstrojaner med hjälp av formuläret för hänvisning till IC3-klagomål.
Vidta åtgärder för att ta bort nyttolasten för skadlig kod eller utpressningstrojan från din miljö och stoppa spridningen.

Kör en fullständig, aktuell antivirusgenomsökning på alla misstänkta datorer och enheter för att identifiera och ta bort nyttolasten som är associerad med utpressningstrojanerna.

Genomsök enheter som synkroniserar data eller mål för mappade nätverksenheter.
Du kan använda Windows Defender eller (för äldre klienter) Microsoft Security Essentials.

Ett alternativ som också hjälper dig att ta bort utpressningstrojaner eller skadlig kod är verktyget för borttagning av skadlig programvara (MSRT).
Återställ först affärskritiska system. Kom ihåg att verifiera att säkerhetskopieringen är bra innan du återställer. Nu behöver du inte återställa allt. Fokusera på de fem viktigaste affärskritiska systemen från återställningslistan.
Om du har offlinesäkerhetskopior kan du förmodligen återställa krypterade data när du har tagit bort nyttolasten för utpressningstrojan (skadlig kod) från din miljö. För att förhindra framtida attacker bör du se till att utpressningstrojaner eller skadlig kod inte finns på offlinesäkerhetskopian innan du återställer.
Identifiera en säker säkerhetskopieringsbild för tidpunkt som är känd för att inte vara infekterad.

Om du använder Recovery Services-valvet granskar du noggrant incidenttidslinjen för att förstå rätt tidpunkt för att återställa en säkerhetskopia.
Om du vill förhindra framtida attacker genomsöker du säkerhetskopiering efter utpressningstrojaner eller skadlig kod innan du återställer.
Använd en säkerhetsskanner och andra verktyg för fullständig återställning av operativsystem samt scenarier för dataåterställning. Microsoft Safety Scanner är ett genomsökningsverktyg som är utformat för att hitta och ta bort skadlig kod från Windows-datorer. Ladda bara ned den och kör en genomsökning för att hitta skadlig kod och försöka återställa ändringar som gjorts av identifierade hot.
Kontrollera att din antivirus- eller slutpunktsidentifierings- och svarslösning (EDR) är uppdaterad. Du måste också ha uppdaterade korrigeringar. En EDR-lösning, till exempel Microsoft Defender för Endpoint, föredras.
När affärskritiska system är igång återställer du andra system.

När systemen återställs börjar du samla in telemetridata så att du kan fatta formativa beslut om vad du återställer.
Telemetridata bör hjälpa dig att identifiera om skadlig kod fortfarande finns på dina system.

Efter attack eller simulering

Efter en utpressningstrojanattack eller en simulering av incidenthantering kan du vidta följande steg för att förbättra dina planer för säkerhetskopiering och återställning samt din säkerhetsstatus:

  1. Identifiera lärdomar där processen inte fungerade bra (och möjligheter att förenkla, påskynda eller på annat sätt förbättra processen)
  2. Utföra rotorsaksanalys på de största utmaningarna (tillräckligt detaljerat för att säkerställa att lösningarna åtgärdar rätt problem – med tanke på personer, processer och teknik)
  3. Undersöka och åtgärda det ursprungliga intrånget (kontakta Microsoft Detection and Response Team (DART) för att hjälpa till)
  4. Uppdatera din strategi för säkerhetskopiering och återställning baserat på lärdomar och möjligheter – prioritera baserat på högsta effekt och de snabbaste implementeringsstegen först

Nästa steg

I den här artikeln har du lärt dig hur du kan förbättra din plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner. Metodtips för att distribuera skydd mot utpressningstrojaner finns i Skydda snabbt mot utpressningstrojaner och utpressning.

Viktig branschinformation:

Microsoft Azure:

Microsoft 365:

Microsoft 365 Defender:

blogginlägg för Microsoft Security-teamet: