Wat doe je voor forensics als ransomware toeslaat?

Forensics begint bij niet doen. Niet uitzetten, niet opschonen, niet herinstalleren. De waarde zit in geheugen-dump, log-snapshots, en file-system-images zoals ze nu zijn. Reboot wist het meest.

Probeer dit eerst zelf

1. 1Trek het netwerkkabel of disable de WiFi op besmette devices in plaats van uit te zetten. Hibernate of shutdown wist geheugen waar de aanvaller-tools wonen.
2. 2Bel de cyberverzekeraar of IR-retainer voor je iets anders doet. Zij sturen iemand met de juiste tools (FTK Imager, KAPE, Velociraptor) en de juridische bagage om bewijs voor verzekering en politie te bewaren.
3. 3Bewaar logs nu, niet over een uur. Defender for Endpoint, Sentinel, firewall, AD-events, mailserver. Standaard rotatie wist soms binnen 24 uur. Snapshot van Log Analytics naar een aparte storage-account.
4. 4Maak van besmette systemen een full-disk-image als het kan, of in elk geval een geheugen-dump met DumpIt of Belkasoft RAM Capturer. Op SSDs gaat dat snel, op HDD-servers plan een paar uur.
5. 5Houd een tijdlijn bij met wie wat deed wanneer, vanaf moment 0. Tools, IPs, accounts, beslissingen. De forensisch onderzoeker krijgt twee dagen werk versneld als jullie tijdlijn klopt.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.