Tijdens ransomware-restore: hoe weten we welke snapshot nog schoon is?
Aanvallers zijn vaak dagen of weken stil binnen voordat ze versleutelen. De snapshot van gisteren is dus niet automatisch schoon. Snapshots binarie verifieren is werk, maar het alternatief is opnieuw versleuteld restoren.
Probeer dit eerst zelf
- 1Stel allereerst de tijdslijn vast met je SIEM, EDR-logs of access-logs. Wanneer is het eerste verdachte gedrag (account-lockouts, lateral movement, nieuwe processen) gezien? Dat moment min 1 dag is je vertrekpunt.
- 2Pak die snapshot, mount hem read-only op een isolated network. Niet direct restoren naar productie, dat is precies wat de aanvaller hoopt.
- 3Scan met een onafhankelijk anti-malware-tool (Microsoft Defender Offline, Kaspersky, Bitdefender) en een EDR die nog niet eerder op die data draaide. 0 hits is pas een eerste signaal, geen garantie.
- 4Check op IoCs: nieuwe accounts in AD, scheduled tasks, services, registry-run-keys, persistente RAT-binaries in temp-folders. Als die er staan, ga 1 snapshot terug.
- 5Bevestig integriteit van kritieke configs: AD-replicatie-status, GPO's, DNS-records. Backup van een corrupte AD is corrupte AD.
- 6Documenteer welke snapshot je gekozen hebt en waarom. Dat is later goud waard voor verzekering, audit en je eigen leerproces.
Wanneer ons inschakelen
Bij twijfel of je geen schone snapshot vindt, escaleer naar een DFIR-partij voordat je restoret. Een verkeerde restore zet de aanvaller terug op je nieuwe omgeving en je verspeelt je sterkste herstelmoment.
Zie ook
- We hebben backups maar weten niet of ze werkenEen backup die niet teruggezet kan worden is geen backup. Periodiek testen is even belangrijk als nemen.
- Vermoeden van ransomware - wat NU doen?De eerste 30 minuten zijn cruciaal. Eén verkeerde reactie en je verspreidt de schade. Lees voor je iets uitvoert.
- Iemand heeft per ongeluk een belangrijke map verwijderdIn de meeste gevallen prima recoverable. De truc is: niets nieuws op die schijf opslaan tot je weet hoe.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.