We hebben een ransomware-besmetting op een van onze systemen. Welke stappen moeten we ondernemen?
- Het is van groot belang om de bron van de besmetting binnen het eigen netwerk op te sporen.
- Dit systeem dient vervolgens geïsoleerd te worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet blijven raken).
- Schakel het systeem uit als je er geen onderzoek wilt doen: het geheugen moet gewist worden, anders alleen de netwerkverbinding verbreken.
- Voor aanvullende hulp neem contact op met de IBD.
- Zorg, al dan niet in samenwerking met een leverancier, dat de virusscanner een update krijgt. Gebruik indien mogelijk een tweede scanner voor verificatie. Scan het besmette systeem, het is mogelijk dat er in de gebruikersomgeving nog sporen aanwezig zijn.
- Controleer of er geen afwijkende activiteiten meer zijn op het netwerk (anders is er nog ergens een bron besmet).
- Probeer te achterhalen hoe de besmetting is ontstaan en stel de bron veilig (bijvoorbeeld de mail met de link naar de besmetting). Dit kan onder andere door te onderzoeken welke bestanden het eerst besmet waren.
- Verwijder alle besmette bestanden.
- Plaats de bestanden terug van een schone back-up van voor de besmetting.
- Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Hierbij gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
Zie ook:
– Leren van Lochem: lessen uit een informatiebeveiligingsincident
– Lessen uit de hack bij gemeente Hof van Twente