Реакция программ-вымогателей: что делать после атаки
12 мая 2017 года сотни тысяч пользователей компьютеров и организаций в более чем 100 странах проснулись от кризиса. Сложная и вирусная форма вредоносного ПО зашифровала их компьютеры и системы, лишив их доступа к ценной личной и деловой информации. Доступ можно было восстановить только в том случае, если выкуп был заплачен биткойнами. Оплата с помощью криптовалюты, такой как биткойн, чрезвычайно затруднила бы отслеживание получателя. Вредоносное ПО, известное как Wannacry, было формой программы-вымогателя (вы можете прочитать подробное описание атаки в мае 2017 года здесь). Подавляющее большинство населения мира впервые услышало термин программа-вымогатель (и реакция на программу-вымогатель). Однако на самом деле программы-вымогатели существуют с конца 1980-х годов. Тем не менее, программы-вымогатели с тех пор сильно развились благодаря огромным достижениям в области криптографии за последние 30 лет.
Что такое программы-вымогатели?
По сути, программа-вымогатель захватывает, шифрует и блокирует доступ к данным до тех пор, пока не будет выплачен выкуп. Программы-вымогатели чаще всего доставляются по электронной почте или через Интернет.
Существует две основные категории программ-вымогателей — блокировщики и крипто. Программа-вымогатель Crypto шифрует все файлы на зараженном устройстве и восстанавливает его только после выплаты выкупа. Программа-вымогатель Locker проще и блокирует доступ пользователей к устройству только вместо выкупа.
Элементы ответа программы-вымогателя
Как и в случае с любой другой формой вредоносного ПО, предотвращение всегда является лучшей стратегией. Тем не менее, несмотря на все ваши усилия по предотвращению и высокий статус организаций, ставших жертвами программ-вымогателей, вы можете быть успешно атакованы. То, что вы делаете, когда это происходит, имеет жизненно важное значение для обеспечения того, чтобы ваша организация могла возобновить работу быстро и практически без потери ваших самых ценных данных. Вот некоторые из наиболее важных мер реагирования на программы-вымогатели, которые вы должны предпринять.
1. Защитите данные, прежде чем предпринимать какие-либо ответные действия программы-вымогателя.
Сделайте снимок зараженного компьютера, виртуальной машины или устройства хранения данных только для чтения. Это позволяет защитить любую часть ваших данных, которая не была заражена, повреждена или заблокирована программой-вымогателем. Это также гарантирует, что, когда вы работаете над устранением ущерба и защитой вашей информации, у вас всегда будет доступная копия, которая послужит основой для начала ремонтных работ в случае необходимости.
2. Отследить атаку
Ранее мы упоминали, что программы-вымогатели обычно проникают в вашу сеть через веб-сайт или электронную почту. Если вы знаете, откуда возникла атака, вы можете лучше отслеживать ее распространение или остановить ее на своем пути, прежде чем она распространится еще дальше. Например, если вы обнаружите некоторые из файлов, зашифрованных программой-вымогателем, обратите внимание на то, какая учетная запись пользователя в последний раз изменяла их. Вы можете найти эту информацию в журналах аудита. Вы можете следовать этим знаниям и работать в обратном направлении, пока не доберетесь до устройства или пользователя, с которого все началось. Во время расследования не забудьте указать всех удаленных сотрудников, которые у вас могут быть. Чем быстрее вы сможете изолировать и отключить зараженные машины от сети, тем меньше опасность заражения новых машин.
3. Оцените влияние
Столкнувшись с программами-вымогателями, первое, что вы почувствуете, — это немедленно принять меры по исправлению положения. Тем не менее, это может быть пустой тратой драгоценного времени и усилий. Если программа-вымогатель распространяется, каждая потерянная минута означает, что еще один компьютер подвергается атаке. Итак, прежде чем приступать к оборонительным и корректирующим действиям, сделайте шаг назад от хаоса и выполните всестороннюю оценку ущерба. Установите, что, кто, когда и где произошел инцидент. Эта оценка должна стать основой ваших последующих действий.
4. Уведомить правоохранительные органы
Атака программ-вымогателей является уголовным происшествием. Поэтому необходимо уведомить соответствующие правоохранительные органы. Во многих юрисдикциях это требуется по закону (например, GDPR для организаций, обрабатывающих данные граждан Евросоюза). Начните с местной полиции, но также свяжитесь с любым национальным агентством кибербезопасности. Непредставление отчета может не только означать, что вы нарушаете правила кибербезопасности, но и лишает вас огромных ресурсов, которые правоохранительные органы имеют в своем распоряжении для окончательного и бесплатного решения вопроса. Обратите внимание, однако, что привлечение правоохранительных органов может привести к увеличению требуемого выкупа, а в некоторых случаях может привести к тому, что данные никогда не будут восстановлены.
5. Сообщите затронутым клиентам
Ни одна компания не хочет сообщать своим клиентам, что она подверглась атаке программы-вымогателя. Это смущает и неизбежно ставит под сомнение способность бизнеса защищать конфиденциальные данные клиентов. Существует риск того, что многие клиенты решат уйти навсегда. Тем не менее, потенциальные последствия неуведомления затронутых клиентов намного серьезнее, чем любые немедленные неудобства и потеря бизнеса, которые могут возникнуть в результате нераскрытия информации. Более того, законы о конфиденциальности и безопасности данных могут требовать, чтобы компания уведомляла клиентов. В любом случае прозрачность — это то, что большинство клиентов расценит в положительном свете. Если вы продемонстрируете, что вам нечего скрывать, заинтересованным сторонам будет легче обрести уверенность в том, что вы в конечном итоге решите вопрос к удовлетворению всех сторон. Уведомление не о том, чтобы сделать один пресс-релиз и объявить его выполненным. Предоставляйте регулярные обновления прогресса. Объявите о доступных ресурсах, которые сведут к минимуму угрозу их данным и конфиденциальности.
6. Очистите свои системы
Некоторые организации предпочитают заплатить выкуп, чтобы вернуть свои системы в кратчайшие сроки. Это может показаться быстрым решением, но реальность такова, что любой, кто готов пойти на все, чтобы зашифровать ваши системы, чтобы запретить вам доступ, не тот, чье слово вы можете поверить в банк. Таким образом, независимо от того, решите ли вы заплатить выкуп или нет, вы должны впоследствии оценить свою систему, чтобы очистить все остатки программ-вымогателей, восстановить ваши данные до состояния, предшествующего атаке, и принять меры, которые значительно усложнят задачу для злоумышленника. подобные приступы повторяются.
7. Обновите свои системы
Разработчики операционных систем постоянно создают исправления, призванные закрыть лазейки, которые в прошлом использовались программами-вымогателями. На самом деле регулярное исправление и обновление корпоративных систем может заблокировать все программы-вымогатели, кроме самых последних. Но даже после успешной атаки запускайте патчи для всех своих систем, чтобы снизить риск подобного инцидента в будущем.
Реакция программы-вымогателя — это только начало восстановления
Хотя советы, которые мы здесь рассмотрели, полезны и практичны, не существует панацеи для реагирования на программы-вымогатели и восстановления. Это одна из причин, по которой программы-вымогатели так быстро стали популярными среди кибератак. Тем не менее, ничего не делать — не вариант. Пусть эти советы станут основой вашего плана реагирования на программы-вымогатели. У вас будет гораздо больше шансов вернуть свои системы в целости и сохранности.