1. ШАБЛОН ПЛАНУ СТРИМУВАННЯ НА ВІДНОВЛЕННЯ ДЛЯ ВЕЛИКОЇ ОРГАНІЗАЦІЇ
Назва заходу Виконавець Термін
виконання
Відповідальний
1 Створення антикризової команди із
залученням вищого керівництва, PR-
служби, внутрішніх комунікацій,
керівництва ІТ, служби безпеки,
керівників ключових підрозділів
(operations)
2 Відключення від мережі всіх
критичних систем
3 Блокування трафіку по портам 1024-
1035, 135, 445 на всіх внутрішніх
мережевих пристроях.
4 Блокування трафіку до командних
центрів на ключових комутаторах та
зовнішніх firewall:
185.165.29.78
84.200.16.242
french-cooking.com
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108
coffeinoffice.xyz
5 Заблокувати на зовнішніх мережевих
екранах доступу в Інтернет з усіх
сегментів локальної мережі(в ГО та
філіях), окрім безпечного
мережевого сегменту з якого буде
працювати команда задіяня в
процесах відновлення
6 Створення безпечних мережевих
сегментів (VLANs) для ГО та філій, а
також для роботи адміснтаторів
задіяних в процесах відновлення (ці
мережеві сегменти мають бути
захищені від інших сегментів
внутрішньої мережі )
7 Перевод найбільш критичних
процесів в ручний режим або в
режим посилених контролів
8 Початок експрес-диагностики
найбільш критичних систем —
визначення чи було їх
скомроментовано, та напрямків
посилення їхньої безпеки. Виведення
найбільш критичних (наприклад,
платіжних систем, АСУСТ тощо з
домену на загальної мережі)
9 Організація захищених робочих місць
для ІТ фахівців(в ГО та філіях).
Встановлення з переіврених джерел
2. операційних систем з останніми
оновленнями (налаштування
hostbasefirewall для унеможливлення
доступу до цих ПК з внутрішньої
мережі в разі якщо неможливо
виділення окремого VLAN)
10 Налагодження мережевого
моніторингу. Встановлення
програмного забезпечення SNORT в
серверних
Налаштувати PORT SPAN на
основних комутаторах ГО для
моніторингу трафіку всіх
серверів та ПК
Встановити ПЗ SNORT for Linux
з конфігурацією по
замовчанню
Розпочати моніторинг
мережевого трафіку та
виявлення підозрілої
активності
11 Створити базу еталонного ПЗ для
перевстановлення ПК в головному
офісі та на відділенях (ОС, патчі,
АРМи та ін.), та викласти на
захищений FTP
12 Встановити standalone сервер WSUS
для централізованого
розповсюдження оновлень (сервер
має бути перевстановлений з нуля,
мати всі оновлення безпеки та
розташований в безпечному
мережевому сегменті, бути
відключений від домену, та
налаштований Windows Firewall для
унеможливлення віддаленого
доступу до нього по всім портам,
окрім порту WSUS)
13 Провести тестову розшифровку
гіпервізора на якому розташовані
критичні системи.
Спробувати відновити дані власними
силами (LiveCD, R-Studio та ін.)
14 Після роз шифровки гіпервізора
перевірити чи зашифровані
віртуальні машини. Для цього, НЕ
ЗАПУСКАЮЧИ віртуальні машини,
спробувати замонтувати їх диски. В
разі якщо диски не зашифровані –
перевірти на наявність при знаків
зараження (файл perfc.dat, та
просканувати засобом YARA на хеш-
суми уражених файлів.) Встановити
3. оновлення безпеки та останні патчі.
Вивести з ураженого домену та
підключити до «чистого» домену та
чистого сегменту мережі
Створити резервні копії дисків чи всієї
критичної інформації
Неможна знищувани пошкоджені
хакерами операційні системи —
необхідно створити image для
подальшого вивчення
15 Паралельна задача
Відновити із бекапів уражені сервери
в разі наявності бекапів.
Перевірити на наявність ураження
(файл perfc.dat), та просканувати
засобом YARA на хеш-суми уражених
файлів.) Встановити оновлення
безпеки та останні патчі. Після цього
підключити до «чистого» домену
16 Відновлення файлів з ПК в Головному
Офісі, на філіях та відділеннях.
Наразі відомо що вірус шифрує тільки
MBR та хедери файлів. Також, в разі
якщо копм’ютер було виключено під
час шифрування, не всі диски та
файли були зашифровані. Тому
відновлення даних без відновлення
ОС можливо
Варіанти –
1) Загрузити операційну систему за
допомогою LiveCD. Підмонтувати
диски, відновити уражені файли
2) А) Вставити диск ураженого ПК в
неуражений ПК. Б) Через утиліту
управління дисками видалити
розділи, створити
нові та розділи, та запустити швидке
форматування. С) Встановити ПЗ R-
Studio, яке розпізнає файли.
Обов’язкова перевірка відновлених
файлів засобами YARA
3) Запустити
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot
17 Підготовка чистих ГО, філіях –
інсталяція нових Windows, та всіх
оновлень безпеки з Бази еталонного
ПЗ.
4. 18 Копіювання на ці ПК відновлених та
перевірених файлів та встановлення
АРМів
19 Перевстановлення серверів для
критичних систем в ГО та філіях
(встановлення Windows та security
updates)
20 Відновлення втрачених ID та
сертифікатів з резервної копії
21 Запуск чистого домен контролера
Варіатни –
1) встановлення нового
2) підключення до розгорнутого
в Хмарі
Чистий домен контролер має бути в
безпечному мережевому сегменті
22 Переведення вичищених або
перевстановлених серверів та ПК до
чистого мережевого сегменту та
підключення їх до чистого
контролеру домену
23 Розгортання криміналістичної
лабораторії на базі безкоштовних
утіліт для вивчення зразків
злочинного коду на написання
правил YARA
24 Проведення розслідування та
встановлення timeline приникнення
25 Постійний запуск засобів YARA,
виявлення уражених сисием,
блокування цих систем, дослідження
злочиннонго коду та створення нових
правил YARA