Журнал "Information Security/ Информационная безопасность" #5, 2023

• 23 SOC и TI www.itsec.ru Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обрат- ный процесс вообще не предусмотрен или может отработать некорректно. Антивирус или другой установленный софт для информационной безопасно- сти сигнализирует о подо- зрительной активности? Всегда нужно разбираться в причинах таких сообще- ний! Cкорость шифрования (enc- ryption speed) в большинстве слу- чаев крайне высока, от несколь- ких минут до пары часов. Напри- мер, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифроваль- щика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но дей- ственный чек-лист. Программа-вымогатель, она же шифровальщик, или Ran- somware, шифрует данные в ком- пьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гаранти- рует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный про- цесс вообще не предусмотрен или может отработать некор- ректно. А иногда злоумышлен- ники, даже получив деньги, скрываются, не выполнив обе- щание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предвари- тельно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что укра- денные данные не будут опуб- ликованы. Верные признаки присутствия шифровальщика Если вы обнаружили работу программы-вымогателя в реаль- ном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнув- шись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно спо- собом происходит его развер- тывание в сети. Но подозри- тельные сигналы может заме- тить даже обычный пользова- тель. 1. Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, хотя парольную защиту на них вы не устанавливали. 2. Многие файлы начали получать новые расширения, например .locked или .encrypted или совсем непонятные, а стан- дартные приложения эти файлы не могут открыть. 3. В папках появляются файлы с инструкциями о том, как расшифровать ваши дан- ные и сколько придется запла- тить за дешифровку. 4. Изменена заставка на рабочем столе у ПК: вместо привычного фона или картинки там текст с информацией о том, что данные ваши зашифрова- ны, а злоумышленники требуют выкуп. 5. Антивирус или другой уста- новленный софт для информа- ционной безопасности сигнали- зирует о подозрительной актив- ности? Всегда нужно разбирать- ся в причинах таких сообщений! Но некоторые игнорируют такую информацию, в том числе явные оповещения (!) о попытках шиф- рования файлов. Что нужно быстро сделать Заметив характерные при- знаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно про- стые, но выполнять их нужно быстро. 1. Спасайте бэкапы и "зерка- ла"! Отключайте серверы резервного копирования, немедленно останавливайте фоновые процессы бэкапиро- вания и синхронизации данных, и на отдельных рабочих местах, и тем более на серверах. 2. Изолируйте отдельные сегменты сети, насколько это возможно. Иногда самый дей- ственный способ – физическое выключение компьютеров с критически важными данны- ми: на обесточенной системе ни один зловред работать не сможет. 3. Отключите C$, IPC$, ADMIN$ и другие администра- тивные ресурсы. 4. Отмонтируйте имеющиеся сетевые диски. Теперь зовите безопасников и компьютерных криминали- стов! Совместными усилиями они помогут выгнать злоумыш- ленников из сети, по возмож- ности спасут данные, которые еще можно спасти, и проведут расследование для понима- ния, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ- инфраструктуры, а также выдадут практические реко- мендации для оптимизации защитных решений вашей системы. l Ransomware и вы: как заметить атаку шифровальщика и что делать (чек-лист) таки, связанные с программами-вымогателями, обладают своей спецификой, из-за чего их, как и любые другие, можно отследить на ранней стадии. Однако наиболее часто обнаружение таких атак происходит как раз на финальном этапе – шифровании. Данный процесс может занимать различное количество времени, в зависимости от семейства запущенной вредоносной программы, тем не менее ошибочно думать, что он сильно затянут. А Лада Антипова, специалист по реагированию на инциденты Angara SOC Ваше мнение и вопросы присылайте по адресу is@groteck.ru