Последний бастион: что делать, когда вирус-шифровальщик уже в вашей сети

С каждым годом хакеры становятся все изощреннее, а вместе с ними усложняются и методы взлома. Вариативность опасных программ в цифровой природе впечатляет: черви неумолимо размножаются, приводя систему к отказу, трояны маскируются под обычные программы, чтобы воровать данные пользователей, а шифровальщики блокируют доступ к разным файлам с целью дальнейшего вымогательства для разблокировки. Что делать, когда защита все же подвела и сообщение с требованием о выкупе уже висит на экране?

 

Почему именно “шифровальщики”?

С развитием криптовалюты осуществлять вымогательство стало проще - точнее, стало сложнее его отследить. Большинство преступников требуют выкуп за разблокировку данных в виде различных токенов или коинов. За одну только половину 2023 года общая сумма, которую требовали в виде выкупа, составила 176 млн. долларов. А к концу года эта цифра может достигнуть и 900 млн., поставив новый рекорд.

Как бы забавно ни звучало, но у киберпреступников есть и свои бизнес-модели. Так, например, RaaS (Ransomware as a Service) и MaaS (Malware as a Service) – это сервис, который подобен SaaS (Software as a Service). В случае SaaS всё довольно просто. Поставщик предоставляет ПО, обновляет его, обеспечивает техническую поддержку - и всё это через интернет, по подписке. RaaS и MaaS повторяет эту технологию, только распространяет не легальное программное обеспечение, а вредоносы. Любой желающий в даркнете может оформить подписку, чтобы начать рассылать вирусы куда ему угодно, даже не обладая техническими знаниями. Так, по оценкам «Лаборатории Касперского», больше половины заказчиков этой сомнительной услуги заказывали именно вирусы-шифровальщики.
 

Меня взломали, что делать?

Итак, в вашей сети прописался шифровальщик. Конечно, чуть позже специалисты информационной безопасности выяснят, почему атака произошла и кто в этом виноват, но на данном этапе это не существенно. Важным остаётся тот факт, что вирус продолжает вредить и шифровать данные пользователей, так что медлить нельзя – нужно оставить его и сократить ущерб к минимуму.
Первый совет стар как мир и подойдёт, в общем то, к любой ситуации в жизни – не паникуйте. При атаке шифровальщика всегда присутствует требование о выкупе. В браузере или ещё в каком виде – не важно. Сфотографируйте его, лучше на телефон, дабы избежать неприятностей. Будет неловко, если вирус зашифрует скриншот с запросом злоумышленника. Эту информацию стоит позже передать специалистам информационной безопасности, но это потом. Ниже будет приведён список действий, который затронет общую работу сети и, с большой вероятностью, нарушит некоторые процессы. Однако в данный момент это должно волновать вас мало, промедления приведут только к тому, что шифровальщик заблокирует ещё больше файлов.

 

Быстро и эффективно

Действовать в подобной ситуации нужно быстро, но без ненужных переживаний.

• Изолируйте бэкапы. Бэкап – это крайний метод восстановления, который должен по возможности остаться нетронутым. Да, есть шанс, что его уже обработали шифровальщиком или вообще удалили злоумышленники. Да, возможно часть данных, сохранённых на нём, уже попала туда в заблокированном виде. Но всё же нельзя отбрасывать возможность восстановить часть информации.
• Отключите удаленный доступ в любом виде. В первую очередь стандартные административные ресурсы для доступа в каталоги системы и диска - Admin$, IPC$, C$, D$.
• Отключайте любую синхронизацию данных, иначе велик риск, что зашифрованные данные скопируются на дополнительное устройство и дальше по всей системе.
• Сегментируйте сеть. Если она уже сегментирована, запретите доступ к наиболее уязвимым/критичным точкам. Тут уж на ваш вкус: на конечных узлах это позволяют сделать файерволы, внутри сети – межсетевые экраны, а можете просто выдернуть всё из розетки. Немножко по-варварски, зато быстро и действенно. Вирус точно не пройдёт, ведь он не сможет ничего зашифровать, когда нечего шифровать.

Проделав все это, остается позвать специалистов по ИБ и начать считать ущерб.

После выполнения сдерживающих действий вам остается только выяснить маршрут вируса по сети, чтобы выявить зараженные сегменты. Определив путь самих злоумышленников, вы сможете перекрыть им доступ к вашей сети, если он ещё остался. Главное не забывать, что все эти действия направлены не только на «сдерживание» вируса, но и на устранение последствий атаки с минимальным ущербом.

ПОМНИТЕ: выплата выкупа не только не сулит вам ничего хорошего в финансовом плане, но и также не гарантирует разблокировки данных. Зачастую восстановление невозможно технически: либо программа для разблокировки не работает, либо вымогатели в целом не планировали такую «услугу» и их целью изначально было как можно скорее скрыться с деньгами.

Самым последним шагом остаётся только сделать выводы из этого инцидента и залатать дыры в защите, чтобы такого больше не повторялось.