Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Инцидентов шифрования или блокировки данных при помощи зловредного ПО становится все больше с каждым годом. И все чаще жертвой вымогателей оказывается малый и средний бизнес. Сегодня Максим Рахманов, менеджер по работе с партнерами в СНГ Acronis, рассказывает, как защититься от подобных атак и что делать, если это уже произошло.

— Начну с плохих новостей: наш опыт показывает, что 7 из 10 представителей бизнеса не готовы к подобным кибератакам. А ущерб от Ransomware может нанести непоправимые последствия.

Ransomware (программа-вымогатель, программа-шантажист) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нем данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Например, шифрование данных госструктур в Балтиморе (США) привело к потерям на сумму более $ 8 млн. Или в канун Нового 2020 года биржа Travelex вынуждена была отключить доступ к своим сайтам в 20 странах для предотвращения распространения программного вируса и больше недели не могла продолжать работу. При этом именно Ransomware, или программы-вымогатели, давно стали одним из самых популярных инструментов для атак на компании различных размеров.

Как сообщают аналитики Cybersecurity Ventures, в 2019 году проникновения программ-вымогателей в сети компаний стали происходить каждые 14 секунд. Хотя еще в 2016 году этот показатель составлял 40 секунд. Эксперты ожидают, что в 2021 году новые случаи шифрования данных будут происходить уже каждые 11 секунд. Во многом такой рост ожидается потому, что целью злоумышленников все чаще становится не только крупный, средний, но и малый бизнес.

Хорошая новость заключается в том, что теперь в случае атаки предприятия сопротивляются больше, чем когда-либо прежде. Все больше организаций принимают меры — либо уже после неприятного инцидента, либо заранее. Об обоих сценариях расскажу далее.

Что делать, если вас зашифровали?

Если вы уже столкнулись с Ransomware и ваши данные оказались зашифрованы, выходов из этой ситуации не так уж много.

• Первый — заплатить выкуп. При этом вы тем самым поддерживаете преступное сообщество, подтверждая эффективность его работы. Но самое главное, никакой гарантии, что ваши данные будут расшифрованы, разумеется, нет.
• Второй вариант — постараться победить вредоносное ПО самостоятельно. Для этого вам потребуется совершить несколько шагов.

Шаг 1. Удалить саму программу-шифровальщик с зараженного компьютера. Для этого нужно подключить жесткие диски от зараженных компьютеров к системам с защитным ПО, которое сможет обезвредит вирус. То есть вам нужно будет открыть корпус, достать жесткие диски и установить их в другой компьютер. После этого нужно будет провести проверку носителей и удалить с них шифровальщик.

В качестве альтернативы можно загрузиться с другого носителя, например, с флешки или DVD-диска, на котором установлены антивирусные утилиты (это программы, которые ищут и удаляют вирусы и другие вредоносные программы на более глубоком уровне, чем обычные антивирусы), и запустить сканирование.

Загрузиться с флешки или DVD-диска можно через Меню загрузки. Для этого:

• Подключите к компьютеру флешку или другой «загрузочный» носитель. Это носитель, на котором обязательно должны находиться файлы загрузки. Где взять или как самостоятельно создать «загрузочный» носитель — отдельная тема. Например, «загрузочными» являются все продающиеся в магазинах диски, предназначенные для установки Windows. «Загрузочными» являются также все диски с дистрибутивами операционной системы Linux
• Зайти в Меню загрузки компьютера. Оно представляет собой список запоминающих устройств, подключенных к компьютеру, и чаще всего для входа в Меню загрузки требуется нажать кнопку F8

• В этом списке нужно выбрать устройство, с которого компьютер должен загрузиться (переместить на него подсвечивание). Выбор устройства осуществляется клавишами со стрелками «Вверх» и «Вниз». Выбрав соответствующее устройство (флешку, DVD/CD или др.), нужно нажать клавишу Enter. Произойдет загрузка компьютера с выбранного устройства.

Этот метод сработает, если антивирус сможет обнаружить и идентифицировать шифровальщика. Поэтому старые загрузочные диски здесь не подойдут. Если вы не уверены в своих силах, лучше сразу обратиться к ИТ- или ИБ-специалисту (специалисту по информационной безопасности).

Шаг 2. Расшифровать файлы. Для ряда представителей Ransomware существуют способы найти ключ шифрования и самостоятельно разблокировать файлы. Например, на сайте NoMoreRansom.org можно попытаться вычислить ключ, загрузив два файла — зашифрованную копию и оригинал. Последний можно найти, например, в облачном почтовом сервисе, но это требует времени и не гарантирует 100% результата.

Если в компании не используется резервное копирование, можно потратить несколько часов на поиск пары зашифрованного и идентичного незашифрованного файла. К тому же ключи могут не подойти именно к той версии вредоносного ПО, которое заразило ваш компьютер. Поэтому бывает так, что специалист бьется целый рабочий день, чтобы расшифровать файлы, но результат остается нулевым.

Шаг 3. Восстановить данные. Очень часто бывает так, что расшифровать файлы не удается или некоторые из них оказываются повреждены. В этом случае можно воспользоваться резервной копией данных. Вообще, резервное копирование является сегодня стандартом де-факто для обеспечения защиты информации. Вот три основных вида резервных копий:

• Полные. Полная копия — это резервная копия системы с сохранением всех данных. Достоинство такой копии в ее автономности. Среди недостатков — большой размер, долгий процесс создания и нередко — почти полная идентичность с предыдущей полной копией.
• Дифференциальные. В дифференциальной резервной копии сохраняются различия между нынешним состоянием системы и ее последней полной копией. Для восстановления из дифференциальной копии нужно, чтобы последняя по времени полная копия также была рабочей. Преимущество дифференциальной копии — в сравнительной быстроте создания. Однако такая копия может иметь довольно большой размер. Кроме того, для восстановления данных понадобится обработать как минимум два файла резервных копий.
• Инкрементные. В инкрементной резервной копии сохраняются различия между текущим состоянием системы и любой последней по времени резервной копией. Последняя копия может быть полной, дифференциальной или тоже инкрементной — для инкрементного копирования это не важно. Достоинства инкрементной копии — компактный размер и высокая скорость создания. Неудобство же в том, что для восстановления из такой копии необходима обработка последней полной копии и каждой последующей инкрементной, вплоть до директивной точки восстановления. В результате восстановление системы из резервных копий этого типа может занять очень много времени.

Но, к сожалению, практика показывает, что даже если в компании применяется один из этих видов резервного копирования, далеко не всегда копии делаются регулярно и являются актуальными.

Сложности восстановления: сымитируйте атаку

Насколько сложным окажется восстановление конкретно для вашей компании, обычно выясняется уже в процессе атаки Ransomware. Но чтобы не испытывать судьбу, можно провести эксперимент и имитировать атаку. Для этого нужно зашифровать файлы на одном из компьютеров, например, когда он не используется, или на копии рабочего места — главное, чтобы реальные бизнес-процессы не пострадали.

После этого нужно потребовать от специалистов срочно вернуть систему к работе. В зависимости от масштабов компании и особенностей работы ИТ-отдела возможны различные пути — от условной атаки, когда все знают, что это тест на скорость и возможность восстановления, до реального шифрования файлов с полной имитацией «боевой» ситуации. В любом случае вы сможете узнать, готовы ли ваши службы к восстановлению и сколько времени оно занимает в реальности.

Наименьший урон шифровальщики наносят компаниям, которые применяют централизованное резервное копирование для серверов и организуют резервирование важных файлов пользователей на рабочих местах (в том числе удаленных). При наличии актуальной копии не устаревших данных их можно восстановить на новом диске или новой виртуальной машине в течение нескольких часов.

Однако, как показала практика, новейшие вредоносные программы с функцией Ransomware стремятся сразу же заблокировать работу систем резервного копирования и зашифровать сами резервные копии. Например, так делает вирус Sodinoklbi. Это программа-вымогатель, которая использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления. Узнать о нем больше можно по ссылке.

Тут важно обеспечить соответствующие меры по борьбе с вредоносным ПО или сразу же использовать систему киберзащиты с функциями удаления вредоносного ПО. Об этом — далее.

Лучшие практики защиты от Ransomware

Остановить атаку Ransomware на ваш бизнес намного проще, если вы примете несложные превентивные меры, которые помогут защитить ваши данные. Вы можете быть спокойны насчет атак шифровальщиков, если ваша ИТ-инфраструктура соответствует следующим требованиям:

• Резервное копирование производится регулярно и вы уверены, что можете вернуться к достаточно актуальным версиям документов, а не к прошлогодним данным. Лучше всего, если резервное копирование производится по схеме 3−2−1, когда данные сначала резервируются на локальный или сетевой диск, а потом дополнительно зеркалируются в облако. Это позволяет исключить опасность повреждения локальных копий
• Антивирусная защита обеспечивает обнаружение и удаление вредоносного ПО. Для этого необходимо проконтролировать актуальность антивирусных баз, срок действия лицензий антивируса, а также степень его эффективности. Сегодня для любого антивирусного движка можно найти результаты тестирования и оценить его противодействие угрозам «нулевого дня» — тем, которые еще не известны, не были внесены в базы и используются злоумышленниками впервые
• Аварийное восстановление должно быть простым и быстрым. Обычно для этого в корпоративных решениях предусмотрена возможность запуска новой виртуальной машины, чтобы пользователи могли максимально быстро продолжить работу с документами, а сервисы можно было бы перезапустить с восстановленными данными в несколько кликов мышкой.

«Ковидная» защита

Уязвимость рабочих мест усилилась с переходом людей на удаленную работу. Например, в случае атаки шифровальщика на домашние персональные компьютеры сотрудников последние остаются беззащитны перед угрозой, им уже не может помочь ИТ-отдел или администратор. В этом случае намного проще обеспечить безопасность за счет облачных решений и виртуальных рабочих столов VDI. Также можно установить интегрированные и автоматизированные средства защиты, не требующие контроля и обслуживания со стороны ИТ-персонала.

Потребность бизнеса в решениях для конечных точек и распределенных сетей подтвердили и данные от компаний, с которыми мы работаем. С наступлением пандемии резко вырос спрос на те продукты, которые позволяют восстанавливаться после атак шифровальщиков без потерь. В случае обнаружения атаки качественное защитное ПО не только удаляет вирус, но также автоматически восстанавливает все поврежденные файлы из резервных копий. В результате пользователи могут в кратчайший срок продолжить работу.

Дополнительная угроза

Рассматривая защиту от Ransomware, многие предприниматели упускают из виду, что это лишь одна из разновидностей угроз, которые могут навредить бизнесу. Более того, Ransomware все чаще становятся только одним компонентом вредоносного ПО. Например, в 2019 году мы обнаружили шифровальщик Nemty, который не только пытается закодировать файлы пользователя, но также загружает программу infostealer, которая собирает с компьютера все потенциально полезные данные.

Расчет киберпреступников выглядит следующим образом: если не удастся получить выкуп за расшифровку данных, быть может, получится стребовать деньги за неразглашение информации? К тому же данные всегда можно попытаться продать в Darknet, особенно если среди них попадется персональная или финансовая информация. Узнать больше о шифровальщике Nemty можно здесь.

А вообще, хочется обратить внимание, что подобные угрозы говорят о необходимости комплексной киберзащиты, которая отвечает сразу всем 5 векторам киберугроз SAPAS. В этой аббревиатуре зашифрованы пять векторов киберзащиты:

• Safety — безопасность
• Accessibility — доступность
• Privacy — приватность
• Authenticity — аутентичность
• Security — защищенность (данных).

То есть система защиты должна обеспечить охрану данных от вредоносных программ, гарантировать возможность получить доступ к своим данным в любое время и в любом месте, не открывать их посторонним людям, а также защитить от подмены и манипуляций.

Выстраивая систему защиты от современных интернет-угроз, предпринимателям необходимо установить на свои компьютеры и серверы средства защиты, отвечающие разным векторам безопасности, или использовать интегрированное решение. В любом случае для достижения надежной киберзащиты необходимо:

• Проводить регулярную оценку и обсуждение мер обеспечения безопасности и конфиденциальности
• Предусмотреть увеличение расходов на обучение сотрудников и изменение корпоративной культуры
• Регулярно проверять, соответствуют ли принятые в компании требования к безопасности современным реалиям киберугроз.

Читайте также

• Названы 9 главных технологических трендов на ближайшие 5 лет
• «Ущерб для ПВТ — „разгромные“ сюжеты на белорусском ТВ». Дмитрий Титов о релокейте в Украину и развитии там ИТ-отрасли

• 5 важных правил, которые помогут защитить ваш бизнес от хакерских атак