Гладиаторы - меню
Гладиаторы - меню
Главная
О компании
Что делать при взломе
Шифровальщик зашифровал данные - ЧЕКЛИСТ

Что делать в компании, когда вирус попал в сеть и данные оказались зашифрованными

Далее приведен пошаговый план действий для того, чтобы
  1. максимально ограничить угрозу распространения шифровальщика
  2. проведения расследования и установления масштабов бедствия
  3. защититься от этой ситуации на будущее
  • 0 этап:
    Оповестить!
    Что важно сделать:
    1. оповестите свой SOC, своего подрядчика (если он есть), напишите антивирусному вендору об инциденте (они обычно могут помочь)
    2. если есть ресурсы (финансы), то привлеките подрядчика (например, нас) для помощи в расследовании - поверьте, что в сложной ситуации лишняя пара рук и глаз лишними не будут!
    3. если у вас есть обязательства (например, вы объект КИИ), то оповестите НКЦКИ.
    4. выполните остальные шаги - займитесь локализацией инцидента!
  • 1 этап:
    Не паниковать и взять все под контроль!
    Что делать:
    1. важно как можно быстрее обнаружить угрозу и понять ее источник
    2. провести расследование, обнаружить границы заражения и способ распространения
    3. предотвращение распространения
    4. восстановление (при возможности)
    5. план на будущее, повышение защищенности
  • 2 этап:
    Обнаружение угрозы
    Основные шаги
    1. получить подробную информацию, как узнали о заражении - это нужно, чтобы установить сам тип шифровальщика: какие были странности, как вел себя компьютер и программы, какие были всплывающие окна, к какой сети были подключены (WiFi, VPN, LAN...), какая ОС, есть ли антивирус, обновления (как давно установлены), какое имя компьютера, какая учетная запись (пригодится для аналитиков в SIEM и timeline), какие права доступа, к каким системам есть (и был ли доступ)
    2. не выключать компьютеры, но постараться изолировать их от сети (по возможности можно вытащить сетевой кабель)
    3. попытаться установить тип шифровальщика, чтобы понять, что делать и какие есть специфические модели его поведения (см. перечень ресурсов, которые могут пригодиться)
    • скриншоты, список файлов, расширения, которые он оставляет после себя
    • какие "обои", текстовые файлы, сообщения, которые остались
    • если есть всплывающие окна при попытке открыть зашифрованный файл - они тоже пригодятся (но открывать лишний раз файлы нужно только с понимаем дела и рекомендацией аналитика)
    • какая учетка использовалась для шифрования / запуска шифровальщика
    4. технические данные  - процессы, файлы, сетевые соединения (которые слушают, также которые устанавливаются наружу), учетные записи, адреса (почта, URL)... - можно попробовать загрузить шифровальщик в известные базы вредоносов или в песочницу для анализа
  • 3 этап:
    Определение границ заражения и сдерживание распространения
    Основные шаги
    1. определить векторы распространения (по сети через уязвимости, протоколы удаленного доступа (RDP), вложения через эл.почту, через внешний носитель или общий диск
    2. установить границы заражения, а для этого проверить
    • журналы МСЭ (NGFW)
    • журналы антивируса
    • системы мониторинга серверов
    • логи DNS
    • логи прокси-сервера
    были ли обращения к командным серверам.
    Если у вас есть SIEM - это сильно поможет!
    Если есть EDR / XDR - можно проверить по системе, где есть файлы найденных типов и даже попробовать получить информацию, были ли массовые попытки редактирования данных
    3. Изоляция систем через механизмы EDR/EPP и через NGFW за счет сегментации.
  • Этап 4
    Очистка и восстановление инфраструктуры
    Основные шаги
    1. Убедиться, что вредонос изолирован и он не добрался до резервных копий, которыми можно воспользоваться
    2. Убедиться в действующей и работающей системе восстановления (не только данных, но и конфигурационных файлов для критичных систем)
    3. Если резервных копий нет - попробовать на "тестовых" машинах использовать декрипторы или специально предоставленный производителем антивируса (обычно у них есть своя лаборатория) специальную программу для восстановления - например, так умеет делать Касперский.
  • Этап 5
    Мероприятия для недопущения подобного в будущем
    Рекомендуемые меры
    1. регулярное резервное копированиетестирование его работоспособности)
    2. сформировать и обучить группу реагирования на инциденты, написать регламенты (дать им подобную, но более четкую инструкцию, привязанную к Вашей инфраструктуре)!
    3. устанавливать обновления, для этого использовать сканеры безопасности
    4. использовать антивирусы, желательно с режимами не только EPP, но и EDR / XDR / MDR
    5. сегментировать сеть, установить правила фильтрации на NGFW
    6. использовать систему SIEM для центраизованного сбора информации - это упростит расследование и позволит его раньше выявить
    7. убедиться, что в SIEM попадают все важные журналы (endpoint, NGFW, DNS, proxy), подключены актуальные TI (информация по индикаторам компрометации)
    8. обучайте сотрудников основам киберграмотности - уменьшайте площадь атаки
    9. давайте возможность админам и подрядчикам удаленно подключаться только через PAM!

Больше наших новостей, статей и видео по защите информации

К сожалению, на одной странице все наши активности просто не помещаются, поэтому переходите в один из удобных для вас каналов коммуникации.
Мы рекомендуем YouTube - там регулярно появляются видео, а также ВК или Telegram - там также есть возможности общения и получения полезной информации!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности