Добрый день!
У нас следующая ситуация: сотрудник используя официальный удаленный доступ, вне офиса закодировал, а затем удалил файлы на своем рабочем компьютере.
Восстановить и найти следов вредоносного ПО силами нашего системного администратора не получилось.
Хотим провести экспертизу системного блока сотрудника с официальными ответами на вопросы:
1. Каким вредоносным ПО были закодированы файлы?
2. Откуда (IP адрес, идентификационный номер компьютера)?
3. В какое время проводились эти действия?
Здравствуйте Александра!
Да, мы готовы заняться вашей проблематикой.
Итак, для проведения экспертизы на предмет несанкционированного проникновения мы готовы предложить вам подробный план действий:
1. Подготовка к экспертизе
Сохранение доказательств:
- Немедленно отключите системный блок от сети и не производите никаких изменений на нем.
- Сделайте копии всех доступных логов и системных файлов (если это возможно).
Документация:
- Соберите и передайте нам всю информацию о случившемся: даты, времена, действия сотрудников, имеющие отношение к делу.
- Подготовьте документы, подтверждающие права на проведение экспертизы (приказ руководства, согласие сотрудника, если необходимо).
2. Обращение в наш экспертный центр
- Наш адрес вам известен: https://sud-expertiza.ru/kontakty/
3. Проведение экспертизы
Физическое осмотр и копирование данных:
- Наши компьютерные эксперты проведут физический осмотр системного блока и создадут точные копии всех жестких дисков и других носителей информации для анализа.
Анализ на наличие вредоносного ПО:
- Далее нами проводится анализ системных файлов, логов и других данных для выявления следов вредоносного ПО. Используются специализированные инструменты для обнаружения и идентификации вредоносного ПО.
Определение источника:
- Далее нами анализируются сетевые логи, IP-адреса и другая информация для определения источника атаки. Это может включать анализ сетевых соединений, используемых протоколов и идентификаторов компьютеров.
Установление времени действий:
- Затем мы проводим анализ временных меток файлов и логов системы для установления точного времени проведения вредоносных действий. Это может включать исследование файлов журнала безопасности и системного журнала.
4. Составление отчета
Подробный отчет:
- Наши компьютерные эксперты составят подробный отчет, включающий ответы на следующие вопросы:
- Каким вредоносным ПО были закодированы файлы?
- Откуда (IP адрес, идентификационный номер компьютера) проводились действия?
- В какое время проводились эти действия?
Рекомендации:
- Отчет также может содержать рекомендации по предотвращению подобных инцидентов в будущем.
5. Документация и использование результатов
Заключение эксперта:
- Получите официальное заключение от экспертов, которое может быть использовано для внутреннего расследования, юридических процессов или обращения в правоохранительные органы.
Подготовка к судебному процессу (если необходимо):
- В случае необходимости подачи иска вы можете самостоятельно, либо через наш юридический отдел оформить все документы и обратиться в полицию.
Надеюсь, что вы получили все необходимые ответы на ваш вопрос!
Если что-то не ясно, звоните!
