Утрачен доступ к вашей бухгалтерии 1С из-за вируса-шифровальщика?
система защиты данных предотвращает несанкционированный доступ и обеспечивает надежную защиту информации
Получить консультацию
Видеоуроки по безопасности и защите от вирусов
Как самостоятельно проверить файл или ссылку на вирусы (долго, сложно, но один из немногих способов, если нет грамотной системы антивирусной защиты)
Что делать если вирус зашифровал файлы на компьютере - как бороться с шифровальщиком и вымогателями
Если Вы видите это сообщение, то Ваша учетная запись может быть подвержена взлому.
Получить консультацию
Что делать в компании, когда вирус попал в сеть и данные оказались зашифрованными

Далее приведен пошаговый план действий для того, чтобы максимально ограничить угрозу распространения шифровальщика

1
Оповестить!
  1. оповестите свой SOC, своего подрядчика (если он есть), напишите антивирусному вендору об инциденте (они обычно могут помочь)
  2. если есть ресурсы (финансы), то привлеките подрядчика (например, нас) для помощи в расследовании - поверьте, что в сложной ситуации лишняя пара рук и глаз лишними не будут!
  3. если у вас есть обязательства (например, вы объект КИИ), то оповестите НКЦКИ.
  4. выполните остальные шаги - займитесь локализацией инцидента!
2
Не паниковать и взять все под контроль!
  1. важно как можно быстрее обнаружить угрозу и понять ее источник
  2. провести расследование, обнаружить границы заражения и способ распространения
  3. предотвращение распространения
  4. восстановление (при возможности)
  5. план на будущее, повышение защищенности
3
Обнаружение угрозы
  1. получить подробную информацию, как узнали о заражении - это нужно, чтобы установить сам тип шифровальщика: какие были странности, как вел себя компьютер и программы, какие были всплывающие окна, к какой сети были подключены (WiFi, VPN, LAN...), какая ОС, есть ли антивирус, обновления (как давно установлены), какое имя компьютера, какая учетная запись (пригодится для аналитиков в SIEM и timeline), какие права доступа, к каким системам есть (и был ли доступ)
  2. не выключать компьютеры, но постараться изолировать их от сети (по возможности можно вытащить сетевой кабель)
  3. попытаться установить тип шифровальщика, чтобы понять, что делать и какие есть специфические модели его поведения (см. перечень ресурсов, которые могут пригодиться)
  • скриншоты, список файлов, расширения, которые он оставляет после себя
  • какие "обои", текстовые файлы, сообщения, которые остались
  • если есть всплывающие окна при попытке открыть зашифрованный файл - они тоже пригодятся (но открывать лишний раз файлы нужно только с понимаем дела и рекомендацией аналитика)
  • какая учетка использовалась для шифрования / запуска шифровальщика
4. технические данные - процессы, файлы, сетевые соединения (которые слушают, также которые устанавливаются наружу), учетные записи, адреса (почта, URL)... - можно попробовать загрузить шифровальщик в известные базы вредоносов или в песочницу для анализа
4
Определение границ заражения и сдерживание распространения
  1. определить векторы распространения (по сети через уязвимости, протоколы удаленного доступа (RDP), вложения через эл.почту, через внешний носитель или общий диск
  2. установить границы заражения, а для этого проверить
  • журналы МСЭ (NGFW)
  • журналы антивируса
  • системы мониторинга серверов
  • логи DNS
  • логи прокси-сервера
были ли обращения к командным серверам.
Если у вас есть SIEM - это сильно поможет!
Если есть EDR / XDR - можно проверить по системе, где есть файлы найденных типов и даже попробовать получить информацию, были ли массовые попытки редактирования данных
3. Изоляция систем через механизмы EDR/EPP и через NGFW за счет сегментации.
5
Очистка и восстановление инфраструктуры
  1. Убедиться, что вредонос изолирован и он не добрался до резервных копий, которыми можно воспользоваться
  2. Убедиться в действующей и работающей системе восстановления (не только данных, но и конфигурационных файлов для критичных систем)
  3. Если резервных копий нет - попробовать на "тестовых" машинах использовать декрипторы или специально предоставленный производителем антивируса (обычно у них есть своя лаборатория) специальную программу для восстановления - например, так умеет делать Касперский.
6
Мероприятия для недопущения подобного в будущем
  1. регулярное резервное копирование (и тестирование его работоспособности)
  2. сформировать и обучить группу реагирования на инциденты, написать регламенты (дать им подобную, но более четкую инструкцию, привязанную к Вашей инфраструктуре)!
  3. устанавливать обновления, для этого использовать сканеры безопасности
  4. использовать антивирусы, желательно с режимами не только EPP, но и EDR / XDR / MDR
  5. сегментировать сеть, установить правила фильтрации на NGFW
  6. использовать систему SIEM для центраизованного сбора информации - это упростит расследование и позволит его раньше выявить
  7. убедиться, что в SIEM попадают все важные журналы (endpoint, NGFW, DNS, proxy), подключены актуальные TI (информация по индикаторам компрометации)
  8. обучайте сотрудников основам киберграмотности - уменьшайте площадь атаки
  9. давайте возможность админам и подрядчикам удаленно подключаться только через PAM!

Оставьте контакты, а наш менеджер свяжется и уточнит параметры Вашей системы, требуемый набор услуг и мы поможем с проектированием системы защиты