Ransomware и вы: как заметить атаку шифровальщика и что делать (чек-лист)

Атаки, связанные с программами-вымогателями, обладают своей спецификой, из-за чего их, как и любые другие, можно отследить на ранней стадии. Однако наиболее часто обнаружение таких атак происходит как раз на финальном этапе – шифровании. Данный процесс может занимать различное количество времени, в зависимости от семейства запущенной вредоносной программы, тем не менее ошибочно думать, что он сильно затянут.

Автор: Лада Антипова, специалист по реагированию на инциденты Angara SOC

Cкорость шифрования (encryption speed) в большинстве случаев крайне высока, от нескольких минут до пары часов. Например, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифровальщика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но действенный чек-лист.

Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен или может отработать некорректно. А иногда злоумышленники, даже получив деньги, скрываются, не выполнив обещание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предварительно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что украденные данные не будут опубликованы.

Верные признаки присутствия шифровальщика

Если вы обнаружили работу программы-вымогателя в реальном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнувшись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить даже обычный пользователь.

1. Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, хотя парольную защиту на них вы не устанавливали.
2. Многие файлы начали получать новые расширения, например .locked или .encrypted или совсем непонятные, а стандартные приложения эти файлы не могут открыть.
3. В папках появляются файлы с инструкциями о том, как расшифровать ваши данные и сколько придется заплатить за дешифровку.
4. Изменена заставка на рабочем столе у ПК: вместо привычного фона или картинки там текст с информацией о том, что данные ваши зашифрованы, а злоумышленники требуют выкуп.
5. Антивирус или другой установленный софт для информационной безопасности сигнализирует о подозрительной активности? Всегда нужно разбираться в причинах таких сообщений! Но некоторые игнорируют такую информацию, в том числе явные оповещения (!) о попытках шифрования файлов.

Что нужно быстро сделать

Заметив характерные признаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно простые, но выполнять их нужно быстро.

1. Спасайте бэкапы и "зеркала"! Отключайте серверы резервного копирования, немедленно останавливайте фоновые процессы бэкапирования и синхронизации данных, и на отдельных рабочих местах, и тем более на серверах.
2. Изолируйте отдельные сегменты сети, насколько это возможно. Иногда самый действенный способ – физическое выключение компьютеров с критически важными данными: на обесточенной системе ни один зловред работать не сможет.
3. Отключите C$, IPC$, ADMIN$ и другие административные ресурсы.
4. Отмонтируйте имеющиеся сетевые диски.

Теперь зовите безопасников и компьютерных криминалистов! Совместными усилиями они помогут выгнать злоумышленников из сети, по возможности спасут данные, которые еще можно спасти, и проведут расследование для понимания, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ-инфраструктуры, а также выдадут практические рекомендации для оптимизации защитных решений вашей системы.