Piano di risposta ad un attacco ransomware

Ciao a tutti.

Avendo avuto un’esperienza recente di attacco Ransomware a server (non il, ormai solito, “crypta il pc”) condivido con voi le considerazioni e le strade utilizzate in questo ambito, in modo che se a qualcuno capita possa magari prendere qualche spunto utile.

A me servirà in caso ricapiti (cosa che mi auguro non sia così, soprattutto alla luce del fatto che finalmente nella PA si inizia a parlare molto di cybersecurity e protezione dei dati grazie alle Misure Minime di Sicurezza ICT e GDRP), ma spero possa servire ad altri.

Ho messo che chiunque può commentare il documento fatto in gdrive, oppure se non volete commentare il documento potete commentare questo thread. Accoglierò ogni consiglio con piacere.

Buon Natale a tutti e grandioso 2018!

"Da soli possiamo fare così poco, insieme possiamo fare così tanto". H.Keller

Andrea

@gvarisco

1 Mi Piace

Hai qualche mio commento. Ciao

1 Mi Piace

@robertob
Grazie, credo di averne fatto tesoro in buona parte.
Andrea

1 Mi Piace

Ciao Andrea, ho letto il documento ma non ho trovato da dove è partita l’infezione, che secondo me è importante da sapere…prevenire è meglio che curare. E’ stato aperto un documento infetto direttamente dal server, hanno navigato direttamente dal server ?
Grazie mille e buon 2018.

Fatto la modifica nella sezione DESCRIZIONE INCIDENTE mettendo alcune possibilità.

Andrea

Aggiunto punto 8

Verificare se ci sono backup di vecchie macchine virtuali, sul server fisico attuale o su altri server/dispositivi, oppure macchine virtuali obsolete spente ma lasciate su server fisico con lungimiranza per eventuali problemi futuri come il presente attacco ransomware

In “Cosa si può fare per il recupero dati

Andrea