1. Расследование инцидента:

• Сбор данных: Извлечение и сохранение журналов событий с серверов, сетевых устройств и рабочих станций. Сбор данных с уязвимых систем и анализ подозрительных файлов или программ.
• Анализ уязвимостей: Определение точки входа хакера (эксплойты, уязвимости в программном обеспечении и т. д.). Оценка методов атаки.
• Идентификация масштаба атаки: Оценка ущерба: утечка данных, повреждение систем, затронутые пользователи и устройства. Определение, какие данные были скомпрометированы или украдены.

2. Предотвращение последствий хакерской атаки:

• Изоляция и ликвидация угрозы: Удаление вредоносного ПО и очистка заражённых систем.
• Восстановление систем: Переустановка OS и приложений на скомпрометированных устройствах. Восстановление из резервных копий.
• Укрепление мер безопасности: Установка и обновление антивирусного ПО и межсетевых экранов, обновлений и патчей для всех систем и приложений.
• Обучение сотрудников: Проведение тренингов для сотрудников по вопросам кибербезопасности и распознаванию потенциальных угроз. Разработка и внедрение политики информационной безопасности в организации.
• Мониторинг и аудит безопасности: Внедрение систем мониторинга безопасности для постоянного контроля за сетевыми и системными активностями. Регулярные аудиты и тестирование на проникновение для выявления и устранения новых уязвимостей.
• Разработка и внедрение планов реагирования на инциденты: Создание подробных инструкций и планов действий на случай новых инцидентов.

3. Восстановление после инцидентов, связанных с «ransomware» - вирусами - шифровальщиками:

• Анализ и оценка ущерба: Проведение детального анализа инцидента, чтобы определить, какие системы были затронуты и какой ущерб был нанесен. Это включает в себя выявление типа ренсомваре, его источника и распространения по сети.
• Изоляция и ликвидация угрозы: Изоляция зараженных систем и удаление вредоносного ПО.
• Восстановление данных: Восстановление зашифрованных данных из резервных копий или попытка расшифровать данные, если это возможно.
• Улучшение безопасности: Проведение анализа уязвимостей, которые были использованы для атаки, и реализация мер для их устранения. Обновление программного обеспечения, изменение настроек безопасности и новых систем обнаружения вторжений.
• Обучение сотрудников: Проведение тренингов и обучения для сотрудников, чтобы повысить их осведомленность о ренсомвар-атаках.
• Профессиональное проведение переговоров с операторами «ransomware» - вируса-шифровальщика. Выяснение возможности разблокировки, получение списка похищенных файлов, получение тестового дешифрования, выявление наличия ключей дешифрования в сети интернет для их последующего использования.