Контакты
Подписка 2024

Ransomware и вы: как заметить атаку шифровальщика и что делать (чек-лист)

Лада Антипова, 24/10/23

Атаки, связанные с программами-вымогателями, обладают своей спецификой, из-за чего их, как и любые другие, можно отследить на ранней стадии. Однако наиболее часто обнаружение таких атак происходит как раз на финальном этапе – шифровании. Данный процесс может занимать различное количество времени, в зависимости от семейства запущенной вредоносной программы, тем не менее ошибочно думать, что он сильно затянут.

Автор: Лада Антипова, специалист по реагированию на инциденты Angara SOC

Cкорость шифрования (encryption speed) в большинстве случаев крайне высока, от нескольких минут до пары часов. Например, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифровальщика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но действенный чек-лист.

Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен или может отработать некорректно. А иногда злоумышленники, даже получив деньги, скрываются, не выполнив обещание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предварительно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что украденные данные не будут опубликованы.

Верные признаки присутствия шифровальщика

Если вы обнаружили работу программы-вымогателя в реальном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнувшись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить даже обычный пользователь.

  1. Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, хотя парольную защиту на них вы не устанавливали.
  2. Многие файлы начали получать новые расширения, например .locked или .encrypted или совсем непонятные, а стандартные приложения эти файлы не могут открыть.
  3. В папках появляются файлы с инструкциями о том, как расшифровать ваши данные и сколько придется заплатить за дешифровку.
  4. Изменена заставка на рабочем столе у ПК: вместо привычного фона или картинки там текст с информацией о том, что данные ваши зашифрованы, а злоумышленники требуют выкуп.
  5. Антивирус или другой установленный софт для информационной безопасности сигнализирует о подозрительной активности? Всегда нужно разбираться в причинах таких сообщений! Но некоторые игнорируют такую информацию, в том числе явные оповещения (!) о попытках шифрования файлов.

ris1-Oct-24-2023-07-40-50-9766-AM

Что нужно быстро сделать

Заметив характерные признаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно простые, но выполнять их нужно быстро.

  1. Спасайте бэкапы и "зеркала"! Отключайте серверы резервного копирования, немедленно останавливайте фоновые процессы бэкапирования и синхронизации данных, и на отдельных рабочих местах, и тем более на серверах.
  2. Изолируйте отдельные сегменты сети, насколько это возможно. Иногда самый действенный способ – физическое выключение компьютеров с критически важными данными: на обесточенной системе ни один зловред работать не сможет.
  3. Отключите C$, IPC$, ADMIN$ и другие административные ресурсы.
  4. Отмонтируйте имеющиеся сетевые диски.

Теперь зовите безопасников и компьютерных криминалистов! Совместными усилиями они помогут выгнать злоумышленников из сети, по возможности спасут данные, которые еще можно спасти, и проведут расследование для понимания, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ-инфраструктуры, а также выдадут практические рекомендации для оптимизации защитных решений вашей системы.

Темы:шифровальщикиЧек-листЖурнал "Информационная безопасность" №5, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Актуальный чек-лист построения защиты объектов КИИ в 2023 г.
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вопросы построения защиты объектов КИИ являются актуальными для специалистов по ИБ с 2018 г. Продолжая серию статей, рассмотрим вопросы обеспечения безопасности КИИ, актуальные на середину 2023 г.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...