Как реагировать на атаку программы-вымогателя?

Если вы подозреваете, что подверглись атаке программы-вымогателя, важно действовать быстро. К счастью, есть несколько шагов, которые вы можете предпринять, чтобы свести к минимуму ущерб и быстро вернуться к обычной работе.

1. Изолируйте зараженное устройство.

Программа-вымогатель, поражающая одно устройство, вызывает умеренное неудобство. Программы-вымогатели, которым разрешено заражать все корпоративные устройства, представляют собой серьезную катастрофу и могут нанести большой ущерб и вы навсегда потеряете свой бизнес.

Разница между ними часто сводится к времени реакции. Чтобы обеспечить безопасность вашей сети, совместно использовать диски и другие устройства, важно как можно быстрее отключить пострадавшее устройство от сети, Интернета и других устройств. Чем раньше вы это сделаете, тем меньше вероятность заражения других устройств.

2. Остановите распространение.

Поскольку программы-вымогатели распространяются быстро — а устройство с программой-вымогателем не обязательно является нулевым пациентом, — немедленная изоляция зараженного устройства не гарантирует, что программа-вымогатель не существует где-либо еще в вашей сети.

Чтобы эффективно ограничить масштабы программы-вымогателя, вам необходимо отключить от сети все устройства, которые ведут себя подозрительно, в том числе те, которые работают за пределами предприятия — если они подключены к сети, они представляют опасность, где бы они ни находились. Отключение беспроводной связи (Wi-Fi, Bluetooth и т. д.) на этом этапе также является хорошей идеей.

3. Оцените ущерб.

Чтобы определить, какие устройства были заражены, проверьте недавно зашифрованные файлы со странными именами расширений файлов и просмотрите отчеты о странных именах файлов или проблемах пользователей с открытием файлов. Если вы обнаружите какие-либо устройства, которые не были полностью зашифрованы, их следует изолировать и отключить, чтобы сдержать атаку и предотвратить дальнейший ущерб и потерю данных.

Ваша цель — создать полный список всех затронутых систем, включая сетевые устройства хранения данных, облачные хранилища, внешние жесткие диски (включая флэш-накопители USB), ноутбуки, смартфоны и любые другие возможные устройства. На этом этапе разумно заблокировать акции. Все они должны быть ограничены, если это возможно. Если нет, ограничьте столько, сколько сможете.

Это остановит любые текущие процессы шифрования, а также предотвратит заражение дополнительных общих ресурсов во время устранений результатов атаки. Но прежде чем вы это сделаете, вам нужно взглянуть на зашифрованные общие ресурсы. Это может предоставить полезную информацию: если на одном устройстве гораздо больше открытых файлов, чем обычно, возможно, вы только что нашли своего нулевого пациента.

4. Найдите нулевого пациента.

Отследить инфекцию станет значительно проще, как только вы определите источник. Для этого проверьте наличие предупреждений, которые могли прийти от вашего антивируса/антивредоносного ПО, EDR или любой активной платформы мониторинга.

А поскольку большинство программ-вымогателей проникают в сети через вредоносные ссылки электронной почты и вложения, которые требуют действий конечного пользователя, также может быть полезно расспросить людей об их действиях (например, об открытии подозрительных электронных писем) и о том, что они заметили.

Наконец, просмотр свойств самих файлов также может дать подсказку — человек, указанный в качестве владельца, вероятно, является точкой входа. Помните, однако, что нулевых пациентов может быть несколько.

5. Идентификация программы-вымогателя.

Прежде чем двигаться дальше, важно выяснить, с каким вариантом программы-вымогателя вы имеете дело. Один из способов — посетить сайты, которые предлагают дешифрование. На сайтах есть набор инструментов, которые помогут вам освободить ваши данные. Просто загрузите один из ваших зашифрованных файлов, и программа будет сканировать, чтобы найти совпадение.

Вы также можете использовать информацию, содержащуюся в примечании о выкупе: если в нем не указан вариант программы-вымогателя, может помочь использование поисковой системы для запроса адреса электронной почты или самого примечания. После того, как вы идентифицировали программу-вымогатель и быстро изучили ее поведение, вы должны как можно скорее предупредить всех незатронутых сотрудников, чтобы они знали, как определить признаки заражения.

6. Сообщите властям о программе-вымогателе.

Как только программа-вымогатель будет локализована, вам следует обратиться в правоохранительные органы по нескольким причинам. Прежде всего, программы-вымогатели противозаконны — и, как и о любом другом преступлении, о нем следует сообщать в соответствующие органы. Во-вторых, правоохранительные органы могут использовать юридические полномочия и инструменты, недоступные большинству организаций.

Партнерство с международными правоохранительными органами может помочь найти украденные или зашифрованные данные и привлечь виновных к ответственности. Наконец, атака может иметь последствия для соблюдения требований законодательства: в соответствии с некоторыми законами, если вы не уведомите о взломе данных, ваш бизнес может быть оштрафован.

7. Оцените свои резервные копии.

Теперь пришло время начать процесс восстановления. Самый быстрый и простой способ сделать это — восстановить систему из резервной копии. В идеале у вас должна быть незараженная и полная резервная копия, созданная достаточно недавно, чтобы быть полезной.

Если это так, то следующим шагом будет использование антивирусного/антивредоносного решения, чтобы убедиться, что все зараженные системы и устройства очищены от программ-вымогателей, иначе они продолжат блокировать вашу систему и шифровать ваши файлы, что может привести к повреждению вашей резервной копии.

Как только все следы вредоносного ПО будут устранены, вы сможете восстановить свои системы из этой резервной копии. И как только вы подтвердите, что все данные восстановлены, а все приложения и процессы работают нормально — вернуться к работе в обычном режиме. К сожалению, многие организации не осознают важность создания и обслуживания резервных копий до тех пор, пока они им не понадобятся, а их нет.

8. Изучите варианты расшифровки.

Если вы обнаружите, что у вас нет надежной резервной копии, у вас все еще есть шанс вернуть свои данные. Растущее количество бесплатных ключей дешифрования можно найти в Интернете. Если он доступен для той версии программы-вымогателя, с которой вы имеете дело (и при условии, что вы уже стерли все следы вредоносного ПО из вашей системы), вы сможете использовать ключ дешифрования для разблокировки своих данных. Однако даже если вам посчастливилось найти расшифровщик, вы еще не закончили — вы все еще можете иметь часы или дни простоя, пока будете работать над исправлением.

9. Двигайтесь дальше.

К сожалению, если у вас нет надежных резервных копий и вы не можете найти ключ дешифрования, единственным вариантом может быть сокращение потерь и начало с нуля. Восстановление не будет быстрым или недорогим процессом, но как только вы исчерпали все другие варианты, это лучшее, что вы можете сделать.

Почему бы просто не заплатить выкуп?

Столкнувшись с возможностью восстановления в течение нескольких недель или месяцев, может возникнуть соблазн уступить требованию выкупа. Но есть несколько причин, почему это плохая идея:

Вы можете никогда не получить ключ дешифрования.

Когда вы платите по требованию владельца программы-вымогателя, вы должны получить взамен ключ для расшифровки. Но когда вы проводите эту транзакцию, вы зависите от честности преступников. Многие люди и организации заплатили выкуп только для того, чтобы ничего не получить взамен — после этого они потеряли десятки, сотни или тысячи долларов, и им все еще приходится восстанавливать свои системы с нуля.

Вы можете получить повторные требования выкупа.

Как только вы заплатите выкуп, киберпреступники, разместившие программу-вымогатель, узнают, что вы в их власти. Они могут дать вам рабочий ключ, если вы готовы заплатить немного (или много) больше.

Вы можете получить ключ дешифрования, который не работает.

Создатели программ-вымогателей не занимаются восстановлением файлов. Они занимаются зарабатыванием денег. Другими словами, дешифратор, который вы получаете, может быть достаточно хорош для преступников, чтобы сказать, что они выполнили свою часть сделки, но не для вас.

Более того, сам процесс шифрования нередко приводит к повреждению некоторых файлов без возможности восстановления. Если это произойдет, даже хороший ключ дешифрования не сможет разблокировать ваши файлы — они исчезнут навсегда.

Возможно, вы рисуете мишень на спине.

Как только вы платите выкуп, преступники знают, что вы хорошая инвестиция. Организация, которая имеет доказанную историю выплаты выкупа, является более привлекательной целью, чем новая цель, которая может платить или не платить. Что помешает той же группе преступников снова атаковать через год или два или зайти на форум и объявить другим киберпреступникам, что вы легкая добыча?

Даже если все каким-то образом закончится хорошо, вы все равно будете финансировать преступную деятельность.

Скажем, вы заплатили выкуп, получили хороший ключ дешифратора и все снова заработало. Это всего лишь наихудший сценарий (и не только потому, что у вас стало меньше денег). Когда вы платите выкуп, вы финансируете преступную деятельность. Оставляя в стороне очевидные моральные последствия, вы укрепляете идею о том, что программы-вымогатели — это работающая бизнес-модель.

Подумайте об этом — если бы никто никогда не платил выкуп, как вы думаете, они продолжали бы разрабатывать программы-вымогатели? Воодушевленные своим успехом и огромной зарплатой, эти преступники будут продолжать сеять хаос в ничего не подозревающих предприятиях и будут продолжать тратить время и деньги. Деньги на разработку новых и еще более гнусных штаммов программ-вымогателей, один из которых может проникнуть на ваши устройства в будущем.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.