Последний бастион: что делать, когда вирус-шифровальщик уже в вашей сети

11.12.2023

Простой и понятный порядок действий во время атаки для тех, кто хочет уберечь как можно больше своих данных

Следите за актуальными новостями в нашем Telegram-канале

С каждым годом хакеры становятся все изощреннее, а вместе с ними усложняются и методы взлома. Вариативность опасных программ в цифровой природе впечатляет: черви неумолимо размножаются, приводя систему к отказу, трояны маскируются под обычные программы, чтобы воровать данные пользователей, а шифровальщики блокируют доступ к разным файлам с целью дальнейшего вымогательства для разблокировки. Что делать, когда защита все же подвела и сообщение с требованием о выкупе уже висит на экране?

 

Почему именно “шифровальщики”?

С развитием криптовалюты осуществлять вымогательство стало проще - точнее, стало сложнее его отследить. Большинство преступников требуют выкуп за разблокировку данных в виде различных токенов или коинов. За одну только половину 2023 года общая сумма, которую требовали в виде выкупа, составила 176 млн. долларов. А к концу года эта цифра может достигнуть и 900 млн., поставив новый рекорд.

Как бы забавно ни звучало, но у киберпреступников есть и свои бизнес-модели. Так, например, RaaS (Ransomware as a Service) и MaaS (Malware as a Service) – это сервис, который подобен SaaS (Software as a Service). В случае SaaS всё довольно просто. Поставщик предоставляет ПО, обновляет его, обеспечивает техническую поддержку - и всё это через интернет, по подписке. RaaS и MaaS повторяет эту технологию, только распространяет не легальное программное обеспечение, а вредоносы. Любой желающий в даркнете может оформить подписку, чтобы начать рассылать вирусы куда ему угодно, даже не обладая техническими знаниями. Так, по оценкам «Лаборатории Касперского», больше половины заказчиков этой сомнительной услуги заказывали именно вирусы-шифровальщики.
 


Меня взломали, что делать?

Итак, в вашей сети прописался шифровальщик. Конечно, чуть позже специалисты информационной безопасности выяснят, почему атака произошла и кто в этом виноват, но на данном этапе это не существенно. Важным остаётся тот факт, что вирус продолжает вредить и шифровать данные пользователей, так что медлить нельзя – нужно оставить его и сократить ущерб к минимуму.
Первый совет стар как мир и подойдёт, в общем то, к любой ситуации в жизни – не паникуйте. При атаке шифровальщика всегда присутствует требование о выкупе. В браузере или ещё в каком виде – не важно. Сфотографируйте его, лучше на телефон, дабы избежать неприятностей. Будет неловко, если вирус зашифрует скриншот с запросом злоумышленника. Эту информацию стоит позже передать специалистам информационной безопасности, но это потом. Ниже будет приведён список действий, который затронет общую работу сети и, с большой вероятностью, нарушит некоторые процессы. Однако в данный момент это должно волновать вас мало, промедления приведут только к тому, что шифровальщик заблокирует ещё больше файлов.

 

Быстро и эффективно

Действовать в подобной ситуации нужно быстро, но без ненужных переживаний.

  • Изолируйте бэкапы. Бэкап – это крайний метод восстановления, который должен по возможности остаться нетронутым. Да, есть шанс, что его уже обработали шифровальщиком или вообще удалили злоумышленники. Да, возможно часть данных, сохранённых на нём, уже попала туда в заблокированном виде. Но всё же нельзя отбрасывать возможность восстановить часть информации.
  • Отключите удаленный доступ в любом виде. В первую очередь стандартные административные ресурсы для доступа в каталоги системы и диска - Admin$, IPC$, C$, D$.
  • Отключайте любую синхронизацию данных, иначе велик риск, что зашифрованные данные скопируются на дополнительное устройство и дальше по всей системе.
  • Сегментируйте сеть. Если она уже сегментирована, запретите доступ к наиболее уязвимым/критичным точкам. Тут уж на ваш вкус: на конечных узлах это позволяют сделать файерволы, внутри сети – межсетевые экраны, а можете просто выдернуть всё из розетки. Немножко по-варварски, зато быстро и действенно. Вирус точно не пройдёт, ведь он не сможет ничего зашифровать, когда нечего шифровать.

Проделав все это, остается позвать специалистов по ИБ и начать считать ущерб.

После выполнения сдерживающих действий вам остается только выяснить маршрут вируса по сети, чтобы выявить зараженные сегменты. Определив путь самих злоумышленников, вы сможете перекрыть им доступ к вашей сети, если он ещё остался. Главное не забывать, что все эти действия направлены не только на «сдерживание» вируса, но и на устранение последствий атаки с минимальным ущербом.

ПОМНИТЕ: выплата выкупа не только не сулит вам ничего хорошего в финансовом плане, но и также не гарантирует разблокировки данных. Зачастую восстановление невозможно технически: либо программа для разблокировки не работает, либо вымогатели в целом не планировали такую «услугу» и их целью изначально было как можно скорее скрыться с деньгами.

Самым последним шагом остаётся только сделать выводы из этого инцидента и залатать дыры в защите, чтобы такого больше не повторялось.

Другие новости

“Акцент на качество”: субсидии для микроэлектроники

Государство смещает фокус внимания с количества импортозамещающих продуктов на их качество. Рекордный объем вливаний в отрасль в 2024 году.

22.02.2024

Импортозамещение: изменения закона и новые правила

Теперь власти смогут самостоятельно определять, что относить к субъектам КИИ

20.02.2024

Кибербезопасность. Тренды 2024

“Предупрежден — значит, вооружен”! Эта поговорка особенно актуальна, когда речь идет о тенденциях, которые могут повлиять на самочувствие компании (финансовое и кадровое). Вовремя оценив возможные угрозы и подстроившись под влияние тенденций рынка, м

16.02.2024

Государственная экономия: падение расходов на ИТ в 20%

Госкорпорации снизили свои траты на ИТ-закупки: за 2023 год потрачено на 20% меньше, чем за 2022. Будет ли тенденция к экономии нарастать?

12.02.2024

Время ускориться: последний год для перехода на импортозамещение для госсектора

Сроки внедрения отечественных ИТ-решений поджимают. Госструктуры КИИ, не поменявшие оснащение на отечественное, получат штрафы

09.02.2024

Подорожание российского ПО

Отечественный софт стал дороже на 20% - тенденция беспокоит корпоративных покупателей и интеграторов

07.02.2024

Массовая чистка: новые стандарты оценки российского “железа”

Минпромторг ввел строгие требования к технике, планирующей попасть в реестр отечественной электроники

05.02.2024

Дефицитный товар: грядет рост цен на оперативную память

Анализ ситуации, прогнозы экспертов и моральная подготовка неминуемому к росту цен

29.01.2024

Принудительное внедрение российской электроники в магазины

Нововведение будет касаться как онлайн-магазинов, так и физического ритейла

26.01.2024

Параллельный импорт вне опасности

Правительство продляет действие закона об упрощенном ввозе техники в Российскую Федерацию

26.01.2024

Обратная связь