Автор: Лада Антипова, специалист по реагированию на инциденты Angara SOC
Cкорость шифрования (encryption speed) в большинстве случаев крайне высока, от нескольких минут до пары часов. Например, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифровальщика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но действенный чек-лист.
Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен или может отработать некорректно. А иногда злоумышленники, даже получив деньги, скрываются, не выполнив обещание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предварительно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что украденные данные не будут опубликованы.
Если вы обнаружили работу программы-вымогателя в реальном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнувшись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить даже обычный пользователь.
Заметив характерные признаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно простые, но выполнять их нужно быстро.
Теперь зовите безопасников и компьютерных криминалистов! Совместными усилиями они помогут выгнать злоумышленников из сети, по возможности спасут данные, которые еще можно спасти, и проведут расследование для понимания, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ-инфраструктуры, а также выдадут практические рекомендации для оптимизации защитных решений вашей системы.