Как справиться с атакой программы-вымогателя – Блог IBM

Это новость, которую не хочет слышать ни одна организация: вы стали жертвой вымогателей атаковать, и теперь вы задаетесь вопросом, что делать дальше. 

Первое, что нужно иметь в виду: вы не одиноки. Более 17 процентов всех кибератак связаны с программами-вымогателями.-тип вредоносных программ который сохраняет данные или устройство жертвы заблокированными, если только жертва не заплатит хакеру выкуп. Из 1,350 организаций, опрошенных в ходе недавнего исследования, 78 процентов пострадали от успешной атаки программы-вымогателя (ссылка находится за пределами сайта ibm.com).

Атаки программ-вымогателей используют несколько методов или векторов заражения сетей или устройств, в том числе заставляют людей переходить по вредоносным ссылкам с помощью фишинг электронной почты и использование уязвимостей в программном обеспечении и операционных системах, таких как удаленный доступ. Киберпреступники обычно запрашивают выкуп в биткойнах и других трудно отслеживаемых криптовалютах, предоставляя жертвам ключи дешифрования при оплате для разблокировки своих устройств.

Хорошей новостью является то, что в случае атаки программы-вымогателя любая организация может предпринять базовые шаги, которые помогут сдержать атаку, защитить конфиденциальную информацию и обеспечить непрерывность бизнеса за счет минимизации времени простоя.

Первоначальный ответ

Изолировать затронутые системы 

Поскольку наиболее распространенные варианты программ-вымогателей сканируют сети на наличие уязвимостей с возможностью горизонтального распространения, крайне важно, чтобы затронутые системы были изолированы как можно быстрее. Отключите Ethernet и отключите Wi-Fi, Bluetooth и любые другие сетевые возможности для любого зараженного или потенциально зараженного устройства.

Еще два шага, которые следует учитывать: 

• Отключение задач обслуживания. Немедленно отключите автоматические задачи, например, удаление временных файлов или ротацию журналов, которые затронули системы. Эти задачи могут помешать работе файлов и затруднить расследование и восстановление программ-вымогателей. 
• Отключение резервных копий. Поскольку многие новые типы программ-вымогателей нацелены на резервное копирование, чтобы затруднить восстановление, храните резервные копии данных в автономном режиме. Ограничьте доступ к системам резервного копирования до тех пор, пока вы не удалите заражение.

Сфотографируйте записку о выкупе

Прежде чем переходить к чему-либо еще, сфотографируйте записку о выкупе — в идеале, сфотографировав экран затронутого устройства с помощью отдельного устройства, такого как смартфон или камера. Фотография ускорит процесс восстановления и поможет при подаче заявления в полицию или возможной претензии в страховую компанию.

Сообщите службе безопасности

После отключения затронутых систем сообщите об этом своему ИТ-безопасность команда нападения. В большинстве случаев специалисты по ИТ-безопасности могут посоветовать дальнейшие действия и активировать вашу организацию. реакция на инцидент план, то есть процессы и технологии вашей организации для обнаружения и реагирования на кибератаки.

Не перезапускать затронутые устройства

При борьбе с программами-вымогателями избегайте перезапуска зараженных устройств. Хакеры знают, что это может быть вашим первым инстинктом, а некоторые типы программ-вымогателей замечают попытки перезагрузки и причиняют дополнительный вред, например повреждение Windows или удаление зашифрованных файлов. Перезагрузка также может затруднить расследование атак программ-вымогателей — ценные данные хранятся в памяти компьютера, которая стирается во время перезагрузки. 

Вместо этого переведите затронутые системы в спящий режим. Это позволит сохранить все данные в памяти в справочном файле на жестком диске устройства и сохранить его для будущего анализа.

искоренение 

Теперь, когда вы изолировали затронутые устройства, вы, вероятно, захотите разблокировать свои устройства и восстановить данные. Хотя искоренить заражение программами-вымогателями может быть сложно, особенно с более продвинутыми штаммами, следующие шаги могут помочь вам на пути к выздоровлению. 

Определить вариант атаки

Несколько бесплатных инструментов помогут определить тип программы-вымогателя, заразившей ваши устройства. Знание конкретного штамма может помочь вам понять несколько ключевых факторов, в том числе то, как он распространяется, какие файлы он блокирует и как его можно удалить. Просто загрузите образец зашифрованного файла и, если они у вас есть, записку о выкупе и контактную информацию злоумышленника. 

Двумя наиболее распространенными типами программ-вымогателей являются программы блокировки экрана и шифраторы. Шкафчики экрана блокируют вашу систему, но сохраняют ваши файлы в безопасности до тех пор, пока вы не заплатите, тогда как со шифровальщиками сложнее справиться, поскольку они находят и шифруют все ваши конфиденциальные данные и расшифровывают их только после того, как вы заплатите выкуп. 

Поиск инструментов расшифровки

После того как вы определили разновидность программы-вымогателя, подумайте о поиске инструментов расшифровки. Существуют также бесплатные инструменты, которые помогут на этом этапе, в том числе такие сайты, как Нет Больше Ransom. Просто введите название штамма программы-вымогателя и найдите подходящую расшифровку. 

Загрузите полное руководство по программам-вымогателям

Восстановление 

Если вам посчастливилось удалить вирус-вымогатель, пришло время начать процесс восстановления.

Начните с обновления системных паролей, а затем восстановите данные из резервных копий. Вы всегда должны стремиться иметь три копии ваших данных в двух разных форматах, причем одна копия хранится вне офиса. Этот подход, известный как правило 3-2-1, позволяет быстро восстановить данные и избежать выкупа. 

После атаки вам также следует рассмотреть возможность проведения аудита безопасности и обновления всех систем. Поддержание актуальности систем помогает предотвратить использование хакерами уязвимостей, обнаруженных в старом программном обеспечении, а регулярные обновления обеспечивают актуальность, стабильность и устойчивость ваших компьютеров к угрозам вредоносного ПО. Вы также можете уточнить свой план реагирования на инциденты с учетом извлеченных уроков и убедиться, что вы в достаточной степени сообщили об инциденте всем необходимым заинтересованным сторонам. 

Уведомляющие органы 

Поскольку программы-вымогатели являются вымогательством и преступлением, вам всегда следует сообщать об атаках программ-вымогателей сотрудникам правоохранительных органов или ФБР. 

Власти могут помочь расшифровать ваши файлы, если ваши усилия по восстановлению не сработают. Но даже если они не смогут сохранить ваши данные, им крайне важно составить каталог киберпреступной деятельности и, надеюсь, помочь другим избежать подобной участи. 

Некоторые жертвы атак программ-вымогателей также могут быть обязаны по закону сообщать о заражении программами-вымогателями. Например, соблюдение HIPAA обычно требует от медицинских учреждений сообщать о любых утечках данных, включая атаки программ-вымогателей, в Министерство здравоохранения и социальных служб.

Решение о том, платить ли 

Решение стоит ли платить выкуп это сложное решение. Большинство экспертов полагают, что вам следует рассматривать возможность оплаты только в том случае, если вы испробовали все другие варианты и потеря данных будет значительно более вредной, чем оплата.

Независимо от вашего решения, вам всегда следует проконсультироваться с представителями правоохранительных органов и специалистами по кибербезопасности, прежде чем двигаться дальше.

Уплата выкупа не гарантирует, что вы восстановите доступ к своим данным или что злоумышленники сдержат свои обещания — жертвы часто платят выкуп только для того, чтобы так и не получить ключ дешифрования. Более того, выплата выкупа увековечивает деятельность киберпреступников и может способствовать дальнейшему финансированию киберпреступлений.

Предотвращение будущих атак программ-вымогателей

Инструменты безопасности электронной почты, а также антивирусное и вредоносное ПО — это критически важные первые линии защиты от атак программ-вымогателей.

Организации также полагаются на передовые инструменты безопасности конечных точек, такие как межсетевые экраны, VPN и многофакторная аутентификация как часть более широкой стратегии защиты данных от утечек данных.

Однако ни одна система кибербезопасности не является полной без современных возможностей обнаружения угроз и реагирования на инциденты, позволяющих ловить киберпреступников в режиме реального времени и смягчать последствия успешных кибератак.

IBM Security® QRadar® SIEM применяет машинное обучение и аналитику поведения пользователей (UBA) к сетевому трафику наряду с традиционными журналами для более эффективного обнаружения угроз и быстрого устранения. В недавнем исследовании Forrester QRadar SIEM помог аналитикам безопасности сэкономить более 14,000 90 часов за три года за счет выявления ложных срабатываний, сокращения времени, затрачиваемого на расследование инцидентов, на 60 % и снижения риска серьезного нарушения безопасности на XNUMX %.* С помощью QRadar SIEM, группы безопасности с ограниченными ресурсами, имеют видимость и аналитику, необходимые для быстрого обнаружения угроз и принятия немедленных и обоснованных действий для минимизации последствий атаки.

Узнайте больше о IBM QRadar SIEM

* The Общий экономический эффект IBM Security QRadar SIEM — это исследование, проведенное по заказу Forrester Consulting от имени IBM в апреле 2023 года. Оно основано на прогнозируемых результатах составной организации, смоделированной на основе четырех опрошенных клиентов IBM. Фактические результаты будут различаться в зависимости от конфигурации и условий клиента, поэтому ожидаемые результаты не могут быть предоставлены.