Złośliwe oprogramowanie przeprowadzające atak polegający na zaszyfrowaniu plików i danych. Po zakończonym procesie żąda okupu (często w kryptowalutach) od użytkownika w zamian za odszyfrowanie plików.
- alerty antywirusowe
- połączenia do podejrzanych adresów IP (C&C)
- utrata dostępu do maszyn, danych
- wyświetlenie ransomware note
- logi programu antywirusowego
- dzienniki systemu operacyjnego
- logi kont użytkowników
- ruch sieciowy
- zleć sprawdzenie przez program antywirusowy
- izoluj maszynę
- zbadaj sposób rozprzestrzeniania się ransomware
- odizoluj backup
- przegląd uprawnień i możliwości ich eskalacji
- dokonanie analizy incydentu:
- którędy atakujący dostał sie do systemu
- czego czy podatność została załatana
- czy poprawiono procedury z naciskiem na weryfikacją ich realizacji