Лада Антипова, 24/10/23
Атаки, связанные с программами-вымогателями, обладают своей спецификой, из-за чего их, как и любые другие, можно отследить на ранней стадии. Однако наиболее часто обнаружение таких атак происходит как раз на финальном этапе – шифровании. Данный процесс может занимать различное количество времени, в зависимости от семейства запущенной вредоносной программы, тем не менее ошибочно думать, что он сильно затянут.
Автор: Лада Антипова, специалист по реагированию на инциденты Angara SOC
Cкорость шифрования (encryption speed) в большинстве случаев крайне высока, от нескольких минут до пары часов. Например, среднее время шифрования у образцов LockBit является одним из самых быстрых – около пяти минут, а это чуть менее 25 тыс. файлов в минуту. Тем не менее, если застать шифровальщика врасплох, еще есть шансы минимизировать ущерб. Что для этого нужно, кроме внимания к деталям? Вот простой, но действенный чек-лист.
Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. Заметим, что выплата выкупа не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен или может отработать некорректно. А иногда злоумышленники, даже получив деньги, скрываются, не выполнив обещание и не прислав пароля, случайно или намеренно – пострадавшей стороне уже неважно. Более того, на данный момент очень распространены схемы Double/Triple Extortion: помимо того, что ваши данные будут зашифрованы, предварительно информация будет еще и выгружена для последующего использования в целях шантажа. Так вот, денежные выплаты никак не гарантируют, что украденные данные не будут опубликованы.
Верные признаки присутствия шифровальщика
Если вы обнаружили работу программы-вымогателя в реальном времени, знание о том, что есть небольшое временное окно в работе вредоноса, может помочь. К тому же, столкнувшись в лоб с данным процессом, в моменте сложно однозначно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить даже обычный пользователь.
Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, хотя парольную защиту на них вы не устанавливали.
Многие файлы начали получать новые расширения, например .locked или .encrypted или совсем непонятные, а стандартные приложения эти файлы не могут открыть.
В папках появляются файлы с инструкциями о том, как расшифровать ваши данные и сколько придется заплатить за дешифровку.
Изменена заставка на рабочем столе у ПК: вместо привычного фона или картинки там текст с информацией о том, что данные ваши зашифрованы, а злоумышленники требуют выкуп.
Антивирус или другой установленный софт для информационной безопасности сигнализирует о подозрительной активности? Всегда нужно разбираться в причинах таких сообщений! Но некоторые игнорируют такую информацию, в том числе явные оповещения (!) о попытках шифрования файлов.
[img]https://www.itsec.ru/hs-fs/hubfs/ris1-Oct-24-2023-07-40-50-9766-AM.png?width=1004&height=602&name=ris1-Oct-24-2023-07-40-50-9766-AM.png[/img]
Что нужно быстро сделать
Заметив характерные признаки работы шифровальщика внутри ИТ-инфраструктуры, нужно срочно предпринять действия для минимизации ущерба. Они достаточно простые, но выполнять их нужно быстро.
Спасайте бэкапы и «зеркала»! Отключайте серверы резервного копирования, немедленно останавливайте фоновые процессы бэкапирования и синхронизации данных, и на отдельных рабочих местах, и тем более на серверах.
Изолируйте отдельные сегменты сети, насколько это возможно. Иногда самый действенный способ – физическое выключение компьютеров с критически важными данными: на обесточенной системе ни один зловред работать не сможет.
Отключите C$, IPC$, ADMIN$ и другие административные ресурсы.
Отмонтируйте имеющиеся сетевые диски.
Теперь зовите безопасников и компьютерных криминалистов! Совместными усилиями они помогут выгнать злоумышленников из сети, по возможности спасут данные, которые еще можно спасти, и проведут расследование для понимания, как шифровальщик попал внутрь и что еще натворили хакеры внутри вашей ИТ-инфраструктуры, а также выдадут практические рекомендации для оптимизации защитных решений вашей системы.