Не все потеряно (возможно): восстановление после заражения программой-вымогателем
Атаки программ-вымогателей — это то, что мы часто освещаем здесь, на TechGenix, из-за негативных последствий, с которыми сталкиваются компании, когда их ИТ-инфраструктура заражается программами-вымогателями. И поскольку профилактика всегда является предпочтительным подходом к поддержанию работоспособности вашей инфраструктуры, у нас также есть ряд статей о том, как вы можете защитить свой бизнес от заражения. Эти статьи включают в себя список некоторых из лучших средств защиты от программ-вымогателей, доступных для ПК, описание некоторых функций Microsoft Windows и Office 365, которые вы можете использовать для предотвращения и/или смягчения последствий атак программ-вымогателей, а также список передовых методов защиты от программ-вымогателей., а также объяснение того, как служба роли диспетчера ресурсов файлового сервера (FSRM) платформы Windows Server может помочь защитить вашу среду от программ-вымогателей. У нас также есть статья, в которой описываются некоторые практические шаги, которые вы можете предпринять в случае заражения, чтобы ограничить масштабы ущерба, который может возникнуть. А для тех, кто не знаком с тем, как работают программы-вымогатели, мы опубликовали это руководство о том, что вам нужно, чтобы оставаться в безопасности во все более опасном мире программ-вымогателей.
Вы заражены: что дальше?
Однако до сих пор мы мало говорили о том, что вы можете сделать, если что-нибудь, если ваш бизнес был заражен программой-вымогателем, и ваши данные оказались в заложниках. Очевидно, что первое, что вы должны сделать, это уведомить правоохранительные органы. В зависимости от отрасли, в которой работает ваш бизнес, и территории юрисдикции, в которой вы проживаете, от вас также может потребоваться оперативное направление такого уведомления. Атаки программы-вымогателя и попытки вымогательства, которые сопровождают успешное заражение, являются уголовным преступлением, и ваша компания обязана сотрудничать с правоохранительными органами в их расследовании таких атак. Однако, помимо этого, и если вы не можете восстановить свои захваченные данные из резервных копий, вам, возможно, не придется кашлять выкупом, который запрашивают злоумышленники. По крайней мере, пока.
Хорошая новость, как это ни парадоксально, заключается в том, что атаки программ-вымогателей в настоящее время стали настолько широко распространенной проблемой, что большую часть из них можно восстановить. Это из-за того, что я называю «синдромом подражателя», и под этим я не имею в виду программу-вымогатель WannaCry, которая поразила мир в мае 2017 года и, как говорят, поразила более 200 000 компьютеров в более чем 150 разных странах. Вместо этого я имею в виду, что каждый преступник и его собака теперь «хотят» участвовать в вымогательстве денег у компаний, атакуя их фишинговыми электронными письмами, которые запускают атаки программ-вымогателей на их бизнес. И именно от этих атак подражателей вы сможете оправиться, когда ваши системы будут заражены их вымогателями «я тоже».
Помните «сценарных детишек» в начале этого тысячелетия? Карнеги-Меллон определяет их как хакеров, которые «используют существующие и часто хорошо известные и легкодоступные методы и программы или сценарии для поиска и использования слабых мест в других компьютерах в Интернете — часто случайным образом и с небольшим вниманием или, возможно, даже пониманием». потенциально опасные последствия». Это последнее, что важно понимать о многих атаках программ-вымогателей, которые происходят в наши дни. Не отсутствие понимания последствий заражения программами-вымогателями, а скорее отсутствие технического понимания инструментов, которые они используют для инициирования атак программ-вымогателей.
К счастью, программы-вымогатели не всегда являются хорошим программным обеспечением.
На первый взгляд, после того, как ваши данные были зашифрованы враждебным субъектом, кажется невозможным расшифровать их, не заплатив требуемый выкуп за необходимый ключ дешифрования. Даже при наличии современных суперкомпьютеров любое шифрование, выполненное с помощью достаточно надежного ключа, может выдерживать грубую расшифровку гораздо дольше, чем ваша компания согласилась бы на это, и во многих случаях намного дольше, чем возраст Вселенной. Реальность, однако, такова, что злоумышленники, пытающиеся вымогать программы-вымогатели, часто не знают, что они делают, когда создают программное обеспечение, которое они используют для выполнения атак программ-вымогателей. В результате некоторые программные инструменты для вымогателей имеют недостатки в том, как они реализуют криптографию. Эти недостатки могут включать такие вещи, как плохие методы генерации ключей шифрования, ненадлежащее повторное использование ключей, неправильные размеры ключей и оставление копий закрытого ключа в зараженных системах либо на устройстве хранения, либо в доступной памяти.
Большинство этих недостатков, вероятно, являются результатом отсутствия технического понимания со стороны участников в отношении инструментов, которые они нашли в Даркнете, а также сценариев и кода, которые они собрали вместе, чтобы использовать эти инструменты и начать свою атаку. Например, их программист может использовать фрагменты кода, которые они находят на странице MSDN, касающиеся криптографических API, не понимая, как работает код и что означают все различные параметры. Благодаря их техническим знаниям любые данные, зашифрованные их программным обеспечением, могут быть легко расшифрованы любым, кто обладает экспертными знаниями об этих криптографических API. А поскольку в обычном производственном коде в любом случае часто есть ошибки, которые либо не были обнаружены, либо намеренно игнорируются по разным причинам, способ, которым реализовано шифрование в таких наборах инструментов, может быть просто ошибочным и открытым для дешифрования.
Сервер, с которого злоумышленник начал свою атаку, также может быть уязвим, что может принести вам пользу, если ваш бизнес был заражен. Так что, если, например, закрытый ключ, который вам нужно восстановить после заражения, хранится на сервере, используемом для запуска атаки, может быть возможно скомпрометировать этот сервер, получить закрытый ключ и расшифровать захваченные данные в ваших системах. И даже если у вас нет необходимых знаний для взлома сервера злоумышленника, вы можете найти законную компанию в сфере информационной безопасности, в которой есть специалисты, обладающие такими способностями. На самом деле у них уже может быть ключ, необходимый вам для расшифровки ваших данных, поскольку многие злоумышленники-вымогатели используют одни и те же ключи для выполнения всех своих атак. Также может случиться так, что кто-то другой сдался и заплатил выкуп, требуемый тем же злоумышленником, который заразил ваш собственный бизнес, и это обнаружило ключ, который другие компании, такие как вы, подвергшиеся атаке этого злоумышленника, теперь могут использовать для легкого восстановления. от инфекции.
Куда обратиться за помощью после заражения вирусом-вымогателем
Где вы можете найти компанию по информационной безопасности, которая имеет опыт восстановления систем и данных после атаки программ-вымогателей? Вы можете начать с опроса сотрудников правоохранительных органов, с которыми вы связываетесь. Еще один вариант — ваш поставщик антивирусного программного обеспечения, поскольку эти компании должны иметь навыки использования низкоуровневых API-интерфейсов для создания программного обеспечения, которое они используют для защиты систем от вредоносных программ. Они также часто имеют доступ к широкому спектру данных телеметрии, которые могут помочь им понять, как работает вредоносное ПО и ограничения программ-вымогателей. И, наконец, вы можете связаться с ИТ-руководителями нескольких организаций, подвергшихся заражению программами-вымогателями, чтобы узнать, могут ли они порекомендовать каких-либо поставщиков систем безопасности, которые могли бы помочь вам оправиться от заражения и избежать необходимости платить выкуп, требуемый от твоя компания.