Иногда, несмотря на все меры предосторожности, происходит заражение. Тогда решающее значение имеют трезвое мышление и быстрые решительные действия. От реакции компании зависит, превратится ли инцидент в страшную неразбериху или пройдёт относительно безболезненно.
В процессе восстановления обязательно документируйте все действия, чтобы продемонстрировать прозрачность – в глазах не только сотрудников, но и всего остального мира. Постарайтесь сохранить любые доказательства присутствия программ-вымогателей, чтобы впоследствии можно было обнаружить все другие вредоносные инструменты, атаковавшие систему.
Так что сохраняйте журналы и другие следы вредоносных программ, так как они могут быть полезны при последующем анализе.
Первый шаг – найдите и изолируйте угрозу
Первый шаг – определить степень вторжения. Распространена ли вредоносная программа по сети? Он присутствует более чем в одном офисе?
Начните с выявления зараженных компьютеров и сетевых сегментов в корпоративной инфраструктуре, а затем немедленно изолируйте их от остальной сети, чтобы ограничить распространение инфекции.
Если в вашей компании не так много компьютеров, начните с просмотра файлов журнала антивируса, EDR и брандмауэра. В случае небольшой инфраструктуры вы можете физически проверять компьютеры один за другим.
Когда компьютеров больше, стоит анализировать события и логи через систему SIEM. Хотя это не исключает дальнейших действий, это будет хороший шаг к получению более широкой картины.
После изоляции зараженных компьютеров от сети создайте их образы дисков, по возможности не перемещайте их до завершения расследования (даже если компания не может позволить себе простой компьютера, сделайте образы и сохраните дамп памяти для анализа).
Второй шаг – анализируйте и действуйте
После проверки схемы у вас будет список компьютеров, диски которых заполнены зашифрованными файлами, а также образы этих дисков. Они отключены от сети и больше не представляют опасности; вы можете запустить процесс восстановления, но сначала проверьте безопасность остальной сети.
Пришло время проанализировать программу-вымогатель: выяснить, как она попала в Интернет и какие группы обычно её используют – другими словами, начать с поиска угроз. Программы-вымогатели появляются не на пустом месте; сначала необходимо установить тип – типа дроппер, RAT, загрузчик и тп.
Проведите внутреннее расследование. Проверьте журналы, чтобы определить, какой компьютер был атакован первым и почему атака была успешной.
По результатам анализа избавьтесь от скрытой вредоносной программы из сети и по возможности возобновите бизнес. Затем узнайте, что могло бы остановить заражение: какое программное обеспечение безопасности отсутствовало? На этом этапе можно устранить выявленные пробелы.
Затем проинформируйте сотрудников о ситуации, дайте им совет, как обнаружить и избежать таких ловушек, и объявите о необходимости участвовать в обучении.
Наконец, установите обновления и патчи. Это ключевая задача для ИТ-администраторов. К сожалению, вредоносные программы часто находят путь через уязвимости системы безопасности, исправления которых уже доступны.
Шаг третий – очистить и возобновить работу
После устранения угрозы для вашей сети и уязвимости, через которую она прошла, сосредоточьтесь на компьютерах, которые вы проанализировали. Если они ещё не протестированы, отформатируйте их диски и восстановите данные из последней чистой резервной копии.
Однако, если у вас нет резервной копии, попробуйте расшифровать содержимое ваших дисков. Сначала зайдите на сайт Kaspersky – No Ransom. Вы можете найти инструмент дешифрования для конкретного вымогателя – в противном случае обратитесь за помощью к своему провайдеру кибербезопасности. Не удаляйте зашифрованные файлы; Время от времени появляются новые инструменты дешифрования, так что завтра они могут оказаться полезными.
Независимо от обстоятельств, не платите выкуп, так как это будет способствовать преступной деятельности, и шансы на восстановление ваших файлов невелики. Помимо блокировки ваших данных, злоумышленники также могут украсть их, чтобы шантажировать вас. Кроме того, платя жадным киберпреступникам, вы побуждаете их повышать свои требования – в некоторых случаях, всего через несколько месяцев после оплаты, злоумышленники возвращались и просили ещё.
Будьте готовы к разглашению украденных данных; учитывайте возможные утечки данных. Рано или поздно о случившемся придётся рассказать сотрудникам, акционерам, госструктурам и, возможно, журналистам. Открытое и честное отношение важно и, безусловно, будет оценено по достоинству.
Четвертый шаг – примите профилактические меры
Большой кибер-инцидент – это всегда большая проблема, и лучшее лекарство – профилактика. Заранее подготовьтесь к неприятным ситуациям:
- установить надежную защиту на всех конечных точках (включая смартфоны), имеющих доступ к сети
- сегментируйте сеть и оборудуйте хорошо настроенными межсетевыми экранами; предпочтительно использовать межсетевой экран нового поколения (NGFW) или аналогичный продукт, который автоматически получает данные о новых угрозах
- не сосредотачивайтесь только на антивирусах: ищите комплексные инструменты для поиска угроз
- крупные компании могут использовать SIEM-систему для получения немедленных предупреждений
- организуйте обучение сотрудников для расширения их знаний в области кибербезопасности посредством регулярных интерактивных занятий
