5 июля 2016

Шифровальщики: чрезвычайные меры по спасению бизнес-данных

Бизнес

Мы уже неоднократно говорили о программах-вымогателях за последнее время. Теоретически уже в каждой фирме должны были уяснить, как защищаться от подобного рода угроз. Однако мы продолжаем видеть, как то и дело появляются новые дискуссии на специализированных сайтах, где люди просят помочь с расшифровкой файлов, пострадавших от какой-нибудь очередной программы-вымогателя. Причем количество людей и компаний, пострадавших от этих вредоносных программ, также продолжает расти.

Более того, под угрозой оказались главным образом предприятия малого и среднего бизнеса. Преступники хорошо понимают, что вопросы кибербезопасности редко являются приоритетными для руководителей малых компаний. В то же время такие предприятия обладают денежными средствами в достаточных объемах, чтобы заинтересовать киберпреступников.

main2

Итак, давайте предположим, что ваша компания имела несчастье столкнуться с программой-вымогателем. Какие срочные меры надо принять, чтобы минимизировать ущерб для вашего бизнеса, ничего при этом не упустив?

  1. Диагностика чрезвычайной ситуации

Заражению программой-вымогателем сопутствуют несколько очевидных симптомов. После инфицирования системы наиболее популярные файлы перестают открываться: документы, изображения и т.п. Все или почти все папки кишат файлами в форматах txt/html/hta/bmp/png под такими красноречивыми названиями, как help_decrypt, recover и т.д. Эти файлы содержат требования преступников — записку с требованием выкупа.

Некоторые шифровальщики меняют расширения файлов (vvv, xxx, abc и т.п.), но другие обходятся без этого.

Иногда обои рабочего стола Windows заменяются изображением, содержащим требования преступников. Порой вредоносная программа полностью блокирует доступ к системе, и на экране отображается дозагрузочное сообщение с требованием выкупа.

Если сильно повезет, вы застанете вредоносный код «за работой», и тогда вы можете остановить шифрование до завершения. В этом случае вам понадобится…

  1. Карантин и анестезия

Немедленно изолируйте атакованную систему: отключите ее от локальной сети и обесточьте компьютер. Существует вероятность того, что вредоносное ПО еще не распространилось на другие машины. Тем не менее вам, возможно, придется сразу отключить от сети и обесточить все рабочие станции и серверы.

Зачем обесточивать? А это единственный верный способ предотвратить действия шифратора, грозящие угробить все файлы на вашем компьютере.

Стоит отметить, что в новую версию Kaspersky Security for Windows Server входит компонент под названием «Защита от шифрования». Он использует эвристический метод обнаружения, для того чтобы пресечь сетевые попытки шифрования данных на сервере. Как только такая попытка выявлена, зараженному компьютеру мгновенно блокируется доступ к общим папкам на сервере.

  1. Хирургическое вмешательство

Итак, вы отключили пострадавшую систему, теперь встала задача получения доступа к ее диску без ущерба для других машин.

Процедура проста. Извлеките накопитель и приготовьтесь подключить его к другой машине, но сначала вырубите автозапуск на компьютере, к которому вы собираетесь подключить диск. Кроме того, взамен стандартного проводника Windows вам понадобится другой файловый менеджер, для того чтобы просматривать содержимое диска.

Разумеется, запускать что-либо на зараженной системе нельзя. Хорошим выбором также может стать использование виртуальной машины как дополнительной меры предосторожности.

Скопируйте все необходимые файлы с зараженного диска, но не спешите сносить оттуда операционную систему и форматировать диск. В ряде случаев оставшиеся артефакты помогали расшифровать файлы.

В качестве другого варианта можно запустить зараженную систему с помощью Kaspersky Rescue Disk.

В любом случае на следующем этапе вам следует связаться с экспертами, которые выяснят, с чем конкретно вы столкнулись.

  1. Диагностика

В конце концов, анализировать вредоносную программу должны эксперты. Служба поддержки «Лаборатории Касперского» уже определила наиболее распространенные разновидности программ-вымогателей. Что-либо более экзотическое отправится на исследование к нашим вирусным аналитикам.

main-2
  1. Лечение

Вероятность восстановления доступа к зашифрованным данным сильно зависит от постановки точного диагноза. Многие вредоносные программы в наши дни используют сильные криптосистемы, поэтому их расшифровка маловероятна без получения ключа от киберпреступников.

Тем не менее некоторые программные вымогатели используют не столь мощные алгоритмы или содержат ошибки, которые позволяют восстанавливать зашифрованные файлы без необходимости платить выкуп. Если это вообще возможно, для восстановления исходных данных «Лаборатория Касперского» предоставляет такие утилиты, как ScatterDecryptor и RannohDecryptor.

Даже когда дешифровка невозможна, остается еще шанс вернуть ваши данные. Например, файлы, пострадавшие от третьей и четвертой версий TeslaCrypt, вовсе не поддавались декодированию, но затем по какой-то причине создатели вредоносного ПО внезапно прекратили свою деятельность и опубликовали мастер-ключ, который можно использовать для расшифровки всех файлов, закодированных TeslaCrypt. Это уникальный случай, конечно. Не стоит рассчитывать на то, что у преступников вдруг проснется совесть.

Если уже существует «лекарство», позволяющее восстановить данные, то это очень хорошая новость. Если же нет, то остаются два варианта:

  1. «Переливание крови», или восстановление данных из резервного хранилища. При условии, что у вас есть резервная копия.
  2. «Крионика», или консервация зашифрованных данных на неопределенно долгое время. Всегда есть крошечный, но реальный шанс, что найдется техническое средство для взлома шифрования или злоумышленников найдут и посадят, а их мастер-ключи опубликуют.

В последнем случае, к сожалению, об оперативном восстановлении доступа к данным речи быть не может.

  1. Профилактические меры

Оптимальный modus vivendi, конечно же, заключается в использовании решений безопасности, которые защитят рабочие станции и серверы вашей компании от всех видов киберугроз, включая программы-вымогатели. И мы опять-таки не можем не подчеркнуть еще раз важность регулярного резервного копирования данных.

В следующий раз мы поговорим об этом более подробно.