यह वह खबर है जिसे कोई भी संगठन सुनना नहीं चाहता - आप इसका शिकार हुए हैं Ransomware हमला, और अब आप सोच रहे हैं कि आगे क्या करना है।
ध्यान रखने वाली पहली बात यह है कि आप अकेले नहीं हैं। सभी साइबर हमलों में से 17 प्रतिशत से अधिक में रैंसमवेयर शामिल है-एक प्रकार का मैलवेयर जो पीड़ित के डेटा या डिवाइस को तब तक लॉक रखता है जब तक पीड़ित हैकर को फिरौती नहीं देता। हाल के एक अध्ययन में सर्वेक्षण किए गए 1,350 संगठनों में से, 78 प्रतिशत को सफल रैंसमवेयर हमले का सामना करना पड़ा (लिंक iBM.com के बाहर मौजूद है)।
रैनसमवेयर हमले नेटवर्क या उपकरणों को संक्रमित करने के लिए कई तरीकों या वैक्टर का उपयोग करते हैं, जिसमें व्यक्तियों को दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित करना भी शामिल है। फ़िशिंग ईमेल और सॉफ़्टवेयर और ऑपरेटिंग सिस्टम में रिमोट एक्सेस जैसी कमजोरियों का फायदा उठाना। साइबर अपराधी आमतौर पर बिटकॉइन और अन्य हार्ड-टू-ट्रेस क्रिप्टोकरेंसी में फिरौती के भुगतान का अनुरोध करते हैं, पीड़ितों को उनके डिवाइस को अनलॉक करने के लिए भुगतान पर डिक्रिप्शन कुंजी प्रदान करते हैं।
अच्छी खबर यह है कि रैंसमवेयर हमले की स्थिति में, ऐसे बुनियादी कदम हैं जिनका पालन करके कोई भी संगठन हमले को रोकने, संवेदनशील जानकारी की सुरक्षा करने और डाउनटाइम को कम करके व्यवसाय की निरंतरता सुनिश्चित करने में मदद कर सकता है।
प्रारंभिक प्रतिक्रिया
प्रभावित प्रणालियों को अलग करें
चूँकि सबसे आम रैंसमवेयर वेरिएंट नेटवर्क को पार्श्व में फैलने वाली कमजोरियों के लिए स्कैन करते हैं, इसलिए यह महत्वपूर्ण है कि प्रभावित सिस्टम को जितनी जल्दी हो सके अलग किया जाए। किसी भी संक्रमित या संभावित रूप से संक्रमित डिवाइस के लिए ईथरनेट को डिस्कनेक्ट करें और वाईफाई, ब्लूटूथ और किसी भी अन्य नेटवर्क क्षमताओं को अक्षम करें।
विचार करने के लिए दो अन्य कदम:
- रखरखाव कार्यों को बंद करना. स्वचालित कार्यों को तुरंत अक्षम करें - जैसे, अस्थायी फ़ाइलों को हटाना या लॉग को घुमाना - प्रभावित सिस्टम। ये कार्य फ़ाइलों में हस्तक्षेप कर सकते हैं और रैंसमवेयर जांच और पुनर्प्राप्ति में बाधा डाल सकते हैं।
- बैकअप डिस्कनेक्ट कर रहा है. क्योंकि कई नए प्रकार के रैंसमवेयर पुनर्प्राप्ति को कठिन बनाने के लिए बैकअप को लक्षित करते हैं, इसलिए डेटा बैकअप को ऑफ़लाइन रखें। जब तक आप संक्रमण हटा नहीं लेते तब तक बैकअप सिस्टम तक पहुंच सीमित रखें।
फिरौती नोट की तस्वीर खींचिए
किसी भी अन्य चीज़ के साथ आगे बढ़ने से पहले, फिरौती नोट की एक तस्वीर लें - आदर्श रूप से स्मार्टफोन या कैमरे जैसे एक अलग डिवाइस के साथ प्रभावित डिवाइस की स्क्रीन की तस्वीर लेना। यह तस्वीर पुनर्प्राप्ति प्रक्रिया को तेज़ कर देगी और पुलिस रिपोर्ट या आपकी बीमा कंपनी के साथ संभावित दावा दायर करते समय मदद करेगी।
सुरक्षा दल को सूचित करें
एक बार जब आप प्रभावित सिस्टम को डिस्कनेक्ट कर दें, तो अपने को सूचित करें आईटी सुरक्षा हमले की टीम. ज्यादातर मामलों में, आईटी सुरक्षा पेशेवर अगले कदमों पर सलाह दे सकते हैं और आपके संगठन को सक्रिय कर सकते हैं घटना की प्रतिक्रिया योजना बनाएं, जिसका अर्थ है साइबर हमलों का पता लगाने और उनका जवाब देने के लिए आपके संगठन की प्रक्रियाएं और प्रौद्योगिकियां।
प्रभावित डिवाइस को पुनः प्रारंभ न करें
रैंसमवेयर से निपटते समय, संक्रमित उपकरणों को पुनः आरंभ करने से बचें। हैकर्स जानते हैं कि यह आपकी पहली प्रवृत्ति हो सकती है, और कुछ प्रकार के रैंसमवेयर नोटिस प्रयासों को पुनरारंभ करते हैं और अतिरिक्त नुकसान पहुंचाते हैं, जैसे विंडोज़ को नुकसान पहुंचाना या एन्क्रिप्टेड फ़ाइलों को हटाना। रिबूट करने से रैंसमवेयर हमलों की जांच करना भी कठिन हो सकता है - मूल्यवान सुराग कंप्यूटर की मेमोरी में संग्रहीत होते हैं, जो पुनरारंभ के दौरान मिटा दिए जाते हैं।
इसके बजाय, प्रभावित सिस्टम को हाइबरनेशन में डाल दें। यह मेमोरी के सभी डेटा को डिवाइस की हार्ड ड्राइव पर एक संदर्भ फ़ाइल में सहेज देगा, इसे भविष्य के विश्लेषण के लिए संरक्षित करेगा।
निवारण
अब जब आपने प्रभावित उपकरणों को अलग कर दिया है, तो आप संभवतः अपने उपकरणों को अनलॉक करने और अपना डेटा पुनर्प्राप्त करने के लिए उत्सुक होंगे। जबकि रैंसमवेयर संक्रमणों को ख़त्म करना, प्रबंधन करना जटिल हो सकता है, विशेष रूप से अधिक उन्नत उपभेदों को, निम्नलिखित चरण आपको पुनर्प्राप्ति की राह पर शुरू कर सकते हैं।
आक्रमण का प्रकार निर्धारित करें
कई मुफ़्त टूल आपके डिवाइस को संक्रमित करने वाले रैंसमवेयर के प्रकार की पहचान करने में मदद कर सकते हैं। विशिष्ट स्ट्रेन को जानने से आपको कई प्रमुख कारकों को समझने में मदद मिल सकती है, जिसमें यह कैसे फैलता है, यह किन फ़ाइलों को लॉक करता है और आप इसे कैसे हटा सकते हैं। बस एन्क्रिप्टेड फ़ाइल का एक नमूना अपलोड करें और, यदि आपके पास है, तो एक फिरौती नोट और हमलावर की संपर्क जानकारी अपलोड करें।
रैंसमवेयर के दो सबसे आम प्रकार स्क्रीन लॉकर और एन्क्रिप्टर हैं। स्क्रीन लॉकर आपके सिस्टम को लॉक कर देते हैं लेकिन आपके भुगतान करने तक आपकी फ़ाइलों को सुरक्षित रखते हैं, जबकि एन्क्रिप्टर्स को संबोधित करना अधिक चुनौतीपूर्ण होता है क्योंकि वे आपके सभी संवेदनशील डेटा को ढूंढते हैं और एन्क्रिप्ट करते हैं और फिरौती भुगतान करने के बाद ही इसे डिक्रिप्ट करते हैं।
डिक्रिप्शन टूल खोजें
एक बार जब आप रैंसमवेयर स्ट्रेन की पहचान कर लें, तो डिक्रिप्शन टूल की तलाश पर विचार करें। इस चरण में सहायता के लिए निःशुल्क टूल भी मौजूद हैं, जिनमें जैसी साइटें भी शामिल हैं कोई और अधिक फिरौती. बस रैंसमवेयर स्ट्रेन का नाम प्लग इन करें और मिलान डिक्रिप्शन खोजें।
रैनसमवेयर के लिए निश्चित गाइड डाउनलोड करें
वसूली
यदि आप रैंसमवेयर संक्रमण को हटाने में पर्याप्त भाग्यशाली रहे हैं, तो पुनर्प्राप्ति प्रक्रिया शुरू करने का समय आ गया है।
अपने सिस्टम पासवर्ड को अपडेट करके शुरुआत करें, फिर बैकअप से अपना डेटा पुनर्प्राप्त करें। आपको हमेशा अपने डेटा की दो अलग-अलग प्रारूपों में तीन प्रतियां रखने का लक्ष्य रखना चाहिए, जिसमें से एक प्रतिलिपि ऑफसाइट संग्रहीत हो। यह दृष्टिकोण, जिसे 3-2-1 नियम के रूप में जाना जाता है, आपको अपना डेटा तेज़ी से पुनर्स्थापित करने और फिरौती भुगतान से बचने की अनुमति देता है।
हमले के बाद, आपको सुरक्षा ऑडिट करने और सभी प्रणालियों को अपडेट करने पर भी विचार करना चाहिए। सिस्टम को अद्यतन रखने से हैकर्स को पुराने सॉफ़्टवेयर में पाई गई कमजोरियों का फायदा उठाने से रोकने में मदद मिलती है, और नियमित पैचिंग आपकी मशीनों को चालू, स्थिर और मैलवेयर खतरों के प्रति प्रतिरोधी रखती है। आप सीखे गए किसी भी सबक के साथ अपनी घटना प्रतिक्रिया योजना को परिष्कृत करना चाह सकते हैं और सुनिश्चित कर सकते हैं कि आपने सभी आवश्यक हितधारकों को घटना के बारे में पर्याप्त रूप से सूचित कर दिया है।
अधिकारियों को सूचित करना
क्योंकि रैंसमवेयर जबरन वसूली और एक अपराध है, इसलिए आपको हमेशा रैंसमवेयर हमलों की रिपोर्ट कानून प्रवर्तन अधिकारियों या एफबीआई को देनी चाहिए।
यदि आपके पुनर्प्राप्ति प्रयास काम नहीं करते हैं तो अधिकारी आपकी फ़ाइलों को डिक्रिप्ट करने में मदद करने में सक्षम हो सकते हैं। लेकिन भले ही वे आपका डेटा सहेज न सकें, उनके लिए साइबर आपराधिक गतिविधि को सूचीबद्ध करना महत्वपूर्ण है और, उम्मीद है, दूसरों को समान भाग्य से बचने में मदद मिलेगी।
रैंसमवेयर हमलों के कुछ पीड़ितों को कानूनी तौर पर रैंसमवेयर संक्रमण की रिपोर्ट करने की भी आवश्यकता हो सकती है। उदाहरण के लिए, HIPAA अनुपालन के लिए आम तौर पर स्वास्थ्य देखभाल संस्थाओं को स्वास्थ्य और मानव सेवा विभाग को रैंसमवेयर हमलों सहित किसी भी डेटा उल्लंघन की रिपोर्ट करने की आवश्यकता होती है।
निर्णय लेना कि भुगतान करना है या नहीं
निर्णय लेने से फिरौती का भुगतान करना है या नहीं एक जटिल निर्णय है. अधिकांश विशेषज्ञों का सुझाव है कि आपको केवल तभी भुगतान करने पर विचार करना चाहिए जब आपने अन्य सभी विकल्प आज़मा लिए हों और डेटा हानि भुगतान से कहीं अधिक हानिकारक होगी।
आपका निर्णय चाहे जो भी हो, आपको आगे बढ़ने से पहले हमेशा कानून प्रवर्तन अधिकारियों और साइबर सुरक्षा पेशेवरों से परामर्श लेना चाहिए।
फिरौती का भुगतान करने से यह गारंटी नहीं मिलती है कि आप अपने डेटा तक पहुंच पुनः प्राप्त कर लेंगे या हमलावर अपने वादे निभाएंगे - पीड़ित अक्सर फिरौती का भुगतान करते हैं, केवल डिक्रिप्शन कुंजी प्राप्त नहीं करने के लिए। इसके अलावा, फिरौती का भुगतान साइबर आपराधिक गतिविधि को कायम रखता है और साइबर अपराधों को आगे बढ़ा सकता है।
भविष्य में रैंसमवेयर हमलों को रोकना
ईमेल सुरक्षा उपकरण और एंटी-मैलवेयर और एंटीवायरस सॉफ़्टवेयर रैंसमवेयर हमलों के खिलाफ रक्षा की महत्वपूर्ण पहली पंक्तियाँ हैं।
संगठन फ़ायरवॉल, वीपीएन आदि जैसे उन्नत एंडपॉइंट सुरक्षा उपकरणों पर भी भरोसा करते हैं बहु-कारक प्रमाणीकरण डेटा उल्लंघनों से बचाव के लिए एक व्यापक डेटा सुरक्षा रणनीति के हिस्से के रूप में।
हालाँकि, कोई भी साइबर सुरक्षा प्रणाली वास्तविक समय में साइबर अपराधियों को पकड़ने और सफल साइबर हमलों के प्रभाव को कम करने के लिए अत्याधुनिक खतरे का पता लगाने और घटना प्रतिक्रिया क्षमताओं के बिना पूरी नहीं होती है।
IBM Security® QRadar® SIEM बेहतर खतरे का पता लगाने और तेजी से निवारण के लिए पारंपरिक लॉग के साथ-साथ नेटवर्क ट्रैफ़िक में मशीन लर्निंग और उपयोगकर्ता व्यवहार विश्लेषण (UBA) लागू करता है। हाल ही के फॉरेस्टर अध्ययन में, QRadar SIEM ने सुरक्षा विश्लेषकों को झूठी सकारात्मकता की पहचान करके तीन वर्षों में 14,000 से अधिक घंटे बचाने में मदद की, घटनाओं की जांच में लगने वाले समय को 90% तक कम किया और गंभीर सुरक्षा उल्लंघन का अनुभव करने के जोखिम को 60% तक कम किया।* QRadar के साथ एसआईईएम, संसाधन-संचालित सुरक्षा टीमों के पास खतरों का तेजी से पता लगाने और किसी हमले के प्रभाव को कम करने के लिए तत्काल, सूचित कार्रवाई करने के लिए आवश्यक दृश्यता और विश्लेषण है।
IBM QRadar SIEM के बारे में और जानें
* आईबीएम सिक्योरिटी क्यूराडार सिएम का कुल आर्थिक प्रभाव अप्रैल, 2023 में आईबीएम की ओर से फॉरेस्टर कंसल्टिंग द्वारा आयोजित एक कमीशन अध्ययन है। 4 साक्षात्कार वाले आईबीएम ग्राहकों से तैयार किए गए एक समग्र संगठन के अनुमानित परिणामों के आधार पर। वास्तविक परिणाम क्लाइंट कॉन्फ़िगरेशन और शर्तों के आधार पर अलग-अलग होंगे और इसलिए, आम तौर पर अपेक्षित परिणाम प्रदान नहीं किए जा सकते हैं।
क्या यह लेख सहायक था?
हाँनहीं
सुरक्षा से अधिक
आईबीएम न्यूज़लेटर्स
हमारे न्यूज़लेटर और विषय अपडेट प्राप्त करें जो नवीनतम विचार नेतृत्व और उभरते रुझानों पर अंतर्दृष्टि प्रदान करते हैं।
अभी ग्राहक बनें
अधिक समाचार पत्र
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.ibm.com/blog/how-to-respond-to-ransomware-attack/
