Итак, вирус-шифровальщик, как следует из названия, шифрует данные (делает из нечитаемыми и неработоспособными) и требует выкуп за их восстановление. Обнаружить его несложно - на рабочих станциях (на одной или сразу на нескольких) начнет появляться сообщение о том, что данные были зашифрованы, и получить к ним доступ вы сможете, только если заплатите выкуп на криптокошелек (сейчас самая распространенная и трудно отслеживаемая тема). Первая реакция неподготовленного сотрудника - паника, страх и непонимание, что делать дальше.
Вот несколько советов, что делать в первые моменты осознания ситуации:
- ни в коем случае не переводите выкуп злоумышленникам! Это не является гарантией того, что ваши данные сразу же восстановят. Скорее всего этим вы просто проспонсируете хакеров, не получив взамен свои базы данных и ценные документы.
- шифрование происходит не в один момент, этот процесс занимает определенное время. Поэтому если вы начинаете замечать, что компьютер ведет себя странных образом, у некоторых файлов меняются расширения и названия - это может быть сигналом, что вирус шифровальщик делает свои дела прямо сейчас на вашем компьютере. Его необходимо как можно быстрее изолировать - отключить из сети (сетевых ресурсов), чтобы избежать распространения ущерба по другим данным и компьютерам и серверам компании. Сам компьютер лучше тоже выключить - так будет шанс спасти остаток незашифованных данных (не страшно, что потеряется часть информации о вирусе для расследования).
- если вы обнаружили вирус уже на этапе, когда и сообщение о выкупе есть, данные зашифрованы, программы не запускаются, то сохраняйте спокойствие, изолируйте компьютер от сети, но НЕ выключайте и обратитесь к ИБ специалистам в вашей компании. И следуйте нашим советам дальше.
Что делать, если от вас уже требуют выкуп, а данные зашифрованы?- Обратитесь к производителю антивирусного программного обеспечения, с которым заключен договор. Они могут помочь в восстановлении данных или предоставить утилиты для этой цели. Именно поэтому в компаниях должен быть лицензионный официальный антивирус. Это не панацея и в большинстве случаев не поможет, но иногда может выручить, и позволит установить источник заражения.
- Попробуйте самостоятельно восстановить оригинальные файлы, проведя поиск по жесткому диску. Часто шифровальщики создают копию файла, прежде чем зашифровать оригинал. На жестком диске вы сможете найти оригиналы файлов и баз данных (возможно, это будут удаленные файлы - поэтому поиск надо вести по удаленным файлам с помощью утилит, которые читают служебные данные на диске).
- Используйте резервные копии данных для восстановления информации. Важно регулярно создавать бэкапы и хранить их в надежном месте. Кроме этого необходимо проверять работоспособность этих копий и процесса восстановления информации из них! (и убедиться, что в них отсутствует шифровальщик, который “отлеживается до удобного момента”)
- Обратитесь к вымогателям, попросив их доказать, что они действительно могут расшифровать ваши данные. Для этого можно связаться со злоумышленником предложенным им способом и попросить расшифровать для доказательства какой-нибудь один файл. Пусть этим файлом станет самый важный, например, база данных 1С. Это редко срабатывает, но почему бы не попробовать?
- Наконец самое важное! Задумайтесь о том, чтобы в будущем подобное не допустить - постройте надежную систему защиты. Как минимум это должно быть: коммерческий антивирус, систему контроля загружаемых файлов (песочница), внедрите мониторинг и реагирование (это можно делать и в автоматическом режиме с минимальными затратами), политики безопасности (что нельзя делать сотрудника, как выявлять реагировать на инциденты), систему резервного копирования и обучение сотрудников киберграмотности. Разграничивайте права доступа к данным внутри компании для того, чтобы вирус не начал шифровать компьютеры по цепочке, удаляя и базу данных 1С, и общий диск, и другие компьютеры. О том, как НЕ стоит организовывать свою систему безопасности, мы рассказывали ранее.
Информационная безопасность - это ответственность каждого сотрудника компании. Правильные меры защиты могут спасти компанию от серьезных угроз и потерь данных. Инциденты и атаки неизбежны в бизнесе, нельзя построить абсолютно безопасную систему (вернее можно, но она будет неработоспособной и неудобной для использования). Более того, технологии хакеров (как и средства защиты) не стоят на месте. То, от чего вы защитились сегодня, уже завтра может стать неактуальной угрозой и появятся новые. А равно как нельзя довольствоваться тем, что уже есть в компании для защиты данных - арсенал защитных инструментов необходимо также регулярно пополнять и обновлять!
Мы можем помочь сделать правильные выводы из текущего уровня безопасности именно вашей компании, составить дорожную карту, выявить слабые места и адаптировать систему к современным атакам. Если вы не уверены, что ваша система находится в состоянии защищенности, оставляйте заявку на бесплатную консультацию на нашем сайте - мы поможем вам сохранить устойчивость бизнес-процессов и позволить не задумываться о нерадивых сотрудниках или хитроумных конкурентах или случайных хакеров-энтузиастов, жаждущих легкой наживы!