Контакты
Подписка 2024

Ransomware и вы: как заметить атаку шифровальщика и что делать (чек-лист)

Лада Антипова, 24/10/23

Атаки, связанные с программами-вымогателями, обладают своей спецификой, из-за чего их, как и любые другие, можно отследить на ранней стадии. Однако наиболее часто обнаружение таких атак происходит как раз на финальном этапе – шифровании. Данный процесс может занимать различное количество времени, в зависимости от семейства запущенной вредоносной программы, тем не менее ошибочно думать, что он сильно затянут.

Автор: Лада Антипова, специалист по реагированию на инциденты Angara SOC

Cкорость шифрования (encryption speed) в большинстве случаев крайне высока, от нескольких минут до пары часов. Например, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифровальщика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но действенный чек-лист.

Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен или может отработать некорректно. А иногда злоумышленники, даже получив деньги, скрываются, не выполнив обещание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предварительно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что украденные данные не будут опубликованы.

Верные признаки присутствия шифровальщика

Если вы обнаружили работу программы-вымогателя в реальном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнувшись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить даже обычный пользователь.

  1. Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, хотя парольную защиту на них вы не устанавливали.
  2. Многие файлы начали получать новые расширения, например .locked или .encrypted или совсем непонятные, а стандартные приложения эти файлы не могут открыть.
  3. В папках появляются файлы с инструкциями о том, как расшифровать ваши данные и сколько придется заплатить за дешифровку.
  4. Изменена заставка на рабочем столе у ПК: вместо привычного фона или картинки там текст с информацией о том, что данные ваши зашифрованы, а злоумышленники требуют выкуп.
  5. Антивирус или другой установленный софт для информационной безопасности сигнализирует о подозрительной активности? Всегда нужно разбираться в причинах таких сообщений! Но некоторые игнорируют такую информацию, в том числе явные оповещения (!) о попытках шифрования файлов.

ris1-Oct-24-2023-07-40-50-9766-AM

Что нужно быстро сделать

Заметив характерные признаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно простые, но выполнять их нужно быстро.

  1. Спасайте бэкапы и "зеркала"! Отключайте серверы резервного копирования, немедленно останавливайте фоновые процессы бэкапирования и синхронизации данных, и на отдельных рабочих местах, и тем более на серверах.
  2. Изолируйте отдельные сегменты сети, насколько это возможно. Иногда самый действенный способ – физическое выключение компьютеров с критически важными данными: на обесточенной системе ни один зловред работать не сможет.
  3. Отключите C$, IPC$, ADMIN$ и другие административные ресурсы.
  4. Отмонтируйте имеющиеся сетевые диски.

Теперь зовите безопасников и компьютерных криминалистов! Совместными усилиями они помогут выгнать злоумышленников из сети, по возможности спасут данные, которые еще можно спасти, и проведут расследование для понимания, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ-инфраструктуры, а также выдадут практические рекомендации для оптимизации защитных решений вашей системы.

Темы:шифровальщикиЧек-листЖурнал "Информационная безопасность" №5, 2023

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Актуальный чек-лист построения защиты объектов КИИ в 2023 г.
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вопросы построения защиты объектов КИИ являются актуальными для специалистов по ИБ с 2018 г. Продолжая серию статей, рассмотрим вопросы обеспечения безопасности КИИ, актуальные на середину 2023 г.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать