- بواسطة x32x01 ||
الخطوات العملية لو الـ Network عندك أضربت بـ Ransomware تعمل ايه
افصل الجهاز المصاب عن الشبكة
لو الجهاز متصل بالواي فاي، افصله فورًا.
لو الجهاز متصل بسلك Ethernet، شيل الكابل. لو السيرفر متأثر، اعمله Shutdown من خلال الـ Remote Management أو افصله يدويًا.
ادخل على Monitor → Threat Logs وشوف الـ IP الخاص بالجهاز المصاب.
اعمل Security Policy Rule جديدة:
Source: الجهاز المصاب (IP أو MAC Address).
Destination: كل الشبكة (Any).
Action: Deny.
في FortiGate
ادخل على Firewall Policy واعمل New Policy.
حدد الجهاز المصاب في Source ومنع أي ترافيك خارج منه.
شغل IPS عشان يمنع أي اتصال مشتبه فيه.
شوف هل الفيروس دخل عن طريق إيميل مخادع (Phishing Email)، ثغرة في موقع ويب، أو جهاز داخلي متهكر.
افتح Palo Alto Threat Logs، وفلتر على مستوى الـ Severity: Critical.
في FortiGate, ادخل على Log & Report → Security Events وابحث عن أي نشاط غريب.
ادخل على Security → Event Logs → Application Security.
فلتر على Last 24 Hours وابحث عن أي SQL Injection أو XSS ممكن يكونوا سبب الهجوم.
لو لقيت محاولة Brute Force، سجل الـ IP واعمله Block.
---
ادخل على Policies → Security واعمل New Rule.
حدد الأجهزة المصابة في الـ Source.
في Destination, اختار Any عشان تمنعهم من الوصول لباقي الشبكة.
فعل URL Filtering عشان تمنع المواقع اللي بتستخدم في نشر الفيروسات.
في F5 Load Balancer, ادخل على Local Traffic → Pools.
اعمل New Pool وخليها تحتوي على السيرفرات السليمة فقط.
استخدم Priority Group Activation عشان الأجهزة المصابة تفضل معزولة.
ادخل على Security Fabric → Zero Trust Network Access.
فعل Device Identification عشان تعرف الأجهزة المصابة.
لو عندك Backup Solutions زي Veeam, راجع آخر نسخة متاحة قبل الإصابة.
تأكد إن النسخة غير متأثرة بالفيروس.
استخدم ESET Online Scanner أو Malwarebytes وفي Palo Alto, شغل EDR (Cortex XDR) عشان تشوف سلوك الفيروس.
في FortiGate, ادخل على AntiVirus → Quarantine
ادخل على Device → Dynamic Updates واعمل Update لكل الـ Threat Signatures.
شغل WildFire Submission
ادخل على Security → Policies → Policy Builder وفعل Automatic Policy Tuning.
فعل Bot Defense عشان تمنع أي محاولات اختراق مستقبلية.
ادخل على Security Profiles → SSL/SSH Inspection.
فعل Full SSL Inspection عشان تكشف أي تهديدات مخفية في الترافيك المشفر.
نصيحة :
لو الفيروس شفر كل البيانات ومافيش حل، جرب موقع :
https://www.nomoreransom.org/en/index.html
الخطوة 1: عزل الأجهزة المصابة فورًا
افصل الجهاز المصاب عن الشبكة لو الجهاز متصل بالواي فاي، افصله فورًا. لو الجهاز متصل بسلك Ethernet، شيل الكابل. لو السيرفر متأثر، اعمله Shutdown من خلال الـ Remote Management أو افصله يدويًا.
منع انتشار الفيروس على مستوى الفايروول في Palo Alto
ادخل على Monitor → Threat Logs وشوف الـ IP الخاص بالجهاز المصاب.اعمل Security Policy Rule جديدة:
Source: الجهاز المصاب (IP أو MAC Address).
Destination: كل الشبكة (Any).
Action: Deny.
فعل الـ WildFire Analysis عشان يحدد أي تهديدات مشابهة.
في FortiGateادخل على Firewall Policy واعمل New Policy.
حدد الجهاز المصاب في Source ومنع أي ترافيك خارج منه.
شغل IPS عشان يمنع أي اتصال مشتبه فيه.
الخطوة 2: تحليل الهجوم ومعرفة نقطة الدخول
جمع المعلومات عن الهجوم
شوف هل الفيروس دخل عن طريق إيميل مخادع (Phishing Email)، ثغرة في موقع ويب، أو جهاز داخلي متهكر.افتح Palo Alto Threat Logs، وفلتر على مستوى الـ Severity: Critical.
في FortiGate, ادخل على Log & Report → Security Events وابحث عن أي نشاط غريب.
مراجعة الـ WAF Logs في F5
ادخل على Security → Event Logs → Application Security.فلتر على Last 24 Hours وابحث عن أي SQL Injection أو XSS ممكن يكونوا سبب الهجوم.
لو لقيت محاولة Brute Force، سجل الـ IP واعمله Block.
---
الخطوة 3: عزل الشبكة وتأمينها
تقييد الوصول على مستوى Palo Alto
ادخل على Policies → Security واعمل New Rule.حدد الأجهزة المصابة في الـ Source.
في Destination, اختار Any عشان تمنعهم من الوصول لباقي الشبكة.
فعل URL Filtering عشان تمنع المواقع اللي بتستخدم في نشر الفيروسات.
استخدام Load Balancer لتوجيه الترافيك بعيد عن الأجهزة المصابة
في F5 Load Balancer, ادخل على Local Traffic → Pools.اعمل New Pool وخليها تحتوي على السيرفرات السليمة فقط.
استخدم Priority Group Activation عشان الأجهزة المصابة تفضل معزولة.
ضبط Zero Trust Policy في FortiGate
ادخل على Security Fabric → Zero Trust Network Access.فعل Device Identification عشان تعرف الأجهزة المصابة.
الخطوة 4: استعادة البيانات وفحص النسخ الاحتياطية
التحقق من النسخ الاحتياطية
لو عندك Backup Solutions زي Veeam, راجع آخر نسخة متاحة قبل الإصابة.تأكد إن النسخة غير متأثرة بالفيروس.
فحص الأجهزة قبل استرجاع البيانات
استخدم ESET Online Scanner أو Malwarebytes وفي Palo Alto, شغل EDR (Cortex XDR) عشان تشوف سلوك الفيروس.في FortiGate, ادخل على AntiVirus → Quarantine
الخطوة 5: تقوية الحماية بعد الحادث
تحديث الحماية في Palo Alto
ادخل على Device → Dynamic Updates واعمل Update لكل الـ Threat Signatures.شغل WildFire Submission
ضبط WAF في F5 لحماية الويب
ادخل على Security → Policies → Policy Builder وفعل Automatic Policy Tuning.فعل Bot Defense عشان تمنع أي محاولات اختراق مستقبلية.
تشغيل Deep Packet Inspection في FortiGate
ادخل على Security Profiles → SSL/SSH Inspection.فعل Full SSL Inspection عشان تكشف أي تهديدات مخفية في الترافيك المشفر.
نصيحة :لو الفيروس شفر كل البيانات ومافيش حل، جرب موقع :
https://www.nomoreransom.org/en/index.html