Гладиаторы - меню
Гладиаторы - меню

Вирус шифровальщик. Что надо было делать, когда данные зашифрованы, а преступники требуют выкуп?

Защита данных - это призвание нашей компании. Мы обеспечиваем безопасность информации и систем от вирусов и атак недоброжелателей (хакеров, воришек, хулиганов, конкурентов, своих же сотрудников - да мало ли их там разных бывает!). Регулярно мы сталкиваемся с тем, что бизнес подвергается внутренним и внешним атакам. Ранее мы уже писали, что делать, если сотрудники крадут информацию из CRM систем, и как остановить утечки данных в компании. Даже если пока вас не касаются (и было бы здорово, чтобы не коснулось!) вирусные атаки, рекомендуем прочитать, чтобы быть информированным. В нашем деле говорят: предупрежден - значит вооружен!


Здесь хочется поделиться советами о том, что делать в тех случаях, которые максимально распространены - а именно после того, как кто-то в компании словил вирус-шифровальщик. Вообще по данным статистики Positive Technologies, за 2023 год количество атак шифровальщиков увеличилось на 13% всего лишь за год и продолжает расти - это один из самых распространенных видов вымогательства. Методы хакеров не стоят на месте, количество злоумышленников тоже увеличивается, поэтому владельцам бизнесов просто необходимо знать не только, как бороться, но и вообще не допустить выведение ключевых информационных систем компании из строя!


Главное правило - чтобы атака не застала компанию врасплох! Понятно, что идеальных систем защиты не бывает, но на 99% снизить вероятность возможно (об этом позже). Если же шифровальщик добрался до данных и 1С больше не “фунциклирует”, а CRM показывает “404” или на компьютере, вместо привычной расслабляющей морской заставки сообщение о необходимости выплатить выкуп за восстановление информации, то остается только одно - оперативно с минимальными потерями попробовать разрулить ситуацию. Так как же справиться с последствиями атаки вируса-шифровальщика? Рассказываем дальше.

Итак, вирус-шифровальщик, как следует из названия, шифрует данные (делает из нечитаемыми и неработоспособными) и требует выкуп за их восстановление. Обнаружить его несложно - на рабочих станциях (на одной или сразу на нескольких) начнет появляться сообщение о том, что данные были зашифрованы, и получить к ним доступ вы сможете, только если заплатите выкуп на криптокошелек (сейчас самая распространенная и трудно отслеживаемая тема). Первая реакция неподготовленного сотрудника - паника, страх и непонимание, что делать дальше.

Вот несколько советов, что делать в первые моменты осознания ситуации:
  • ни в коем случае не переводите выкуп злоумышленникам! Это не является гарантией того, что ваши данные сразу же восстановят. Скорее всего этим вы просто проспонсируете хакеров, не получив взамен свои базы данных и ценные документы.
  • шифрование происходит не в один момент, этот процесс занимает определенное время. Поэтому если вы начинаете замечать, что компьютер ведет себя странных образом, у некоторых файлов меняются расширения и названия - это может быть сигналом, что вирус шифровальщик делает свои дела прямо сейчас на вашем компьютере. Его необходимо как можно быстрее изолировать - отключить из сети (сетевых ресурсов), чтобы избежать распространения ущерба по другим данным и компьютерам и серверам компании. Сам компьютер лучше тоже выключить - так будет шанс спасти остаток незашифованных данных (не страшно, что потеряется часть информации о вирусе для расследования).
  • если вы обнаружили вирус уже на этапе, когда и сообщение о выкупе есть, данные зашифрованы, программы не запускаются, то сохраняйте спокойствие, изолируйте компьютер от сети, но НЕ выключайте и обратитесь к ИБ специалистам в вашей компании. И следуйте нашим советам дальше.

Что делать, если от вас уже требуют выкуп, а данные зашифрованы?
  • Обратитесь к производителю антивирусного программного обеспечения, с которым заключен договор. Они могут помочь в восстановлении данных или предоставить утилиты для этой цели. Именно поэтому в компаниях должен быть лицензионный официальный антивирус. Это не панацея и в большинстве случаев не поможет, но иногда может выручить, и позволит установить источник заражения.
  • Попробуйте самостоятельно восстановить оригинальные файлы, проведя поиск по жесткому диску. Часто шифровальщики создают копию файла, прежде чем зашифровать оригинал. На жестком диске вы сможете найти оригиналы файлов и баз данных (возможно, это будут удаленные файлы - поэтому поиск надо вести по удаленным файлам с помощью утилит, которые читают служебные данные на диске).
  • Используйте резервные копии данных для восстановления информации. Важно регулярно создавать бэкапы и хранить их в надежном месте. Кроме этого необходимо проверять работоспособность этих копий и процесса восстановления информации из них! (и убедиться, что в них отсутствует шифровальщик, который “отлеживается до удобного момента”)
  • Обратитесь к вымогателям, попросив их доказать, что они действительно могут расшифровать ваши данные. Для этого можно связаться со злоумышленником предложенным им способом и попросить расшифровать для доказательства какой-нибудь один файл. Пусть этим файлом станет самый важный, например, база данных 1С. Это редко срабатывает, но почему бы не попробовать?
  • Наконец самое важное! Задумайтесь о том, чтобы в будущем подобное не допустить - постройте надежную систему защиты. Как минимум это должно быть: коммерческий антивирус, систему контроля загружаемых файлов (песочница), внедрите мониторинг и реагирование (это можно делать и в автоматическом режиме с минимальными затратами), политики безопасности (что нельзя делать сотрудника, как выявлять реагировать на инциденты), систему резервного копирования и обучение сотрудников киберграмотности. Разграничивайте права доступа к данным внутри компании для того, чтобы вирус не начал шифровать компьютеры по цепочке, удаляя и базу данных 1С, и общий диск, и другие компьютеры. О том, как НЕ стоит организовывать свою систему безопасности, мы рассказывали ранее.

Информационная безопасность - это ответственность каждого сотрудника компании. Правильные меры защиты могут спасти компанию от серьезных угроз и потерь данных. Инциденты и атаки неизбежны в бизнесе, нельзя построить абсолютно безопасную систему (вернее можно, но она будет неработоспособной и неудобной для использования). Более того, технологии хакеров (как и средства защиты) не стоят на месте. То, от чего вы защитились сегодня, уже завтра может стать неактуальной угрозой и появятся новые. А равно как нельзя довольствоваться тем, что уже есть в компании для защиты данных - арсенал защитных инструментов необходимо также регулярно пополнять и обновлять!

Мы можем помочь сделать правильные выводы из текущего уровня безопасности именно вашей компании, составить дорожную карту, выявить слабые места и адаптировать систему к современным атакам. Если вы не уверены, что ваша система находится в состоянии защищенности, оставляйте заявку на бесплатную консультацию на нашем сайте - мы поможем вам сохранить устойчивость бизнес-процессов и позволить не задумываться о нерадивых сотрудниках или хитроумных конкурентах или случайных хакеров-энтузиастов, жаждущих легкой наживы!

Есть вопросы или запрос на проект по безопасности?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности