В последние несколько лет существенно увеличилось количество и сложность вредоносных программ класса Ransomware (вымогатели). За примерами далеко ходить не надо, достаточно вспомнить CryptoWall, нашумевшие в 2017 г. WannaCry, NotPetya или более современные Ryuk, REvil/Sodinokibi, Maze/ChaCha, Phobos, Dharma и др. Вымогатели получили широкое распространение одновременно с развитием цифровых валют, позволяющих злоумышленникам оставаться полностью анонимными и минимизировать риски быть пойманными при получении выкупа.
Автор: Алексей Юдин, директор центра мониторинга компании “Инфосекьюрити” (ГК Софтлайн)
Давайте представим себе ситуацию: возникла проблема с критичным сервером, вы заходите в консоль управления и видите: “Attention! All your files have been encrypted!”
Реакция пользователя или администратора чаще всего напоминает реакцию страуса: если я скажу, что "оно само" , меня никто не накажет. Пользователи пробуют разобраться сами: перезапускают рабочую станцию, пытаются самостоятельно удалить шифровальщика и т.д. Если вымогаемые суммы небольшие, то пользователи или администраторы пробуют заплатить выкуп в надежде, что им удастся восстановить данные.
Такие действия, как правило, приводят к еще большим проблемам при последующих действиях по анализу и восстановлению после заражения.
Рассмотрим основные этапы, которые необходимо пройти после выявления шифровальщика.
Действия технической поддержки в данном случае заключаются в сборе максимально достоверной информации по всем пользователям, а также в правильном и положительном отношении к пользователю, так как пользователь в такой ситуации, скорее всего, оказался впервые, он напуган, растерян, не знает, что делать, и своими неправильными действиями в ряде случаев может усугубить ситуацию.
Вначале необходимо идентифицировать тип шифровальщика, для этого нужно собрать максимальное количество информации:
Для помощи в анализе типа ВПО могут помочь специализированные сервисы, например id-ransomware.malwarehunterteam.com.
После выявления типа вредоносного ПО необходимо собрать по нему все возможные технические признаки компрометации (имена процессов, устанавливаемые сетевые соединения, названия и хеши файлов, учетные записи, адреса почты, с которых производилась рассылка писем, и т.д.). Данную информацию можно получить либо из описания шифровальщика, либо при более глубоком анализе его образца. Можно отправить образец для анализа в VirusTotal (www.virustotal.com), в HybridAnalysis (www.hybrid-analysis.com) либо в антивирусную лабораторию, с которой сотрудничает ваша организация.
В процессе анализа следует также определить векторы заражения и "нулевого пациента" для того, чтобы оперативно ограничить дальнейшее распространение шифровальщика. Основными векторами распространения могут быть:
Распространение вымогателей-шифровальщиков в основном происходит автоматически, но бывают и ситуации полуручного шифрования данных и последующего вымогательства, когда злоумышленник осуществляет проникновение в сеть и запускает соответствующую программу для шифрования вручную.
Дальше необходимо определить границы заражения, для этого можно использовать сетевые средства защиты, антивирусные средства или средства мониторинга серверов и рабочих станций, чтобы определить, на каких узлах были обнаружены признаки компрометации.
На межсетевых экранах, в DNS и прокси-серверах можно посмотреть, кто обращался к командным центрам вредоносного ПО или осуществлял попытку массового заражения внутри сети. В этом случае очень полезными бывают системы класса SIEM, которые позволяют быстро проанализировать большой объем событий и сформировать правила мониторинга и выявления новых зараженных узлов.
На рабочих станциях и серверах нужно использовать антивирусные средства. Большая часть современных решений позволяет достаточно оперативно добавлять правила поиска процессов и хешей запускаемых исполняемых файлов по заданным параметрам.
Необходимо также выяснить, какие данные пострадали от заражения – пользовательские, данные в СУБД, конфигурационные файлы в технологических системах. Для этого можно проанализировать события массовых изменений файлов на узлах или в сетевых папках одним процессом или одной группой учетных записей с использованием специальных утилит для работы с метаданными файлов или механизмов контроля целостности операционных систем.
Для того чтобы владельцы бизнеса могли принять решение о дальнейших действиях, необходимо определить степень влияния заражения на бизнес-процессы и данные.
Действия по сдерживанию заражения важно начинать параллельно с расследованием, чтобы снизить возможные последствия. Однако стоит иметь в виду, что неправильный порядок действий может усугубить ситуацию. Поэтому желательно иметь готовый план действий для всех сотрудников организации в случае массового заражения инфраструктуры. Ближайшая аналогия – тестирование пожарной сигнализации в бизнес-центре, когда все сотрудники знают, что им делать и куда бежать.
Все задачи, связанные с ограничением распространения вредоносного ПО, должны обрабатываться в режиме максимальной приоритизации, так как именно эта часть работ позволяет снизить количество ресурсов и потери при восстановлении данных и работоспособности инфраструктуры.
Основным механизмом защиты в данном случае является изоляция зараженных систем и пользователей от основной части критичных систем и инфраструктуры.
Перед проведением операций по восстановлению инфраструктуры необходимо убедиться, что дальнейшее распространение вредоносного ПО невозможно.
Для данного этапа важно заранее удостовериться, что в организации существуют эффективные механизмы восстановления данных, разворачивания серверов и рабочих станций, копий конфигурационных файлов и задокументированные настройки бизнес-систем.
Для эффективного восстановления работоспособности организации также нужно проверить, насколько сотрудники знают, где находятся правильные резервные копии, умеют их правильно восстанавливать и обладают всеми необходимыми знаниями и инструментами для восстановления. При восстановлении данных и систем из резервных копий стоит убедиться, что они не заражены.
В случае, когда восстановление данных из резервных копий по ряду причин невозможно, можно попробовать восстановить работу системы другими способами:
Что можно сделать, чтобы предотвратить или снизить риски заражения шифровальщиком, уменьшить время на реагирование и восстановление работы организации после заражения?