СПЕЦПРОЕКТ
В сети обнаружен шифровальщик. Как планировать реагирование? Алексей Юдин, директор центра мониторинга компании “Инфосекьюрити” (ГК Софтлайн)
В Какие ваши дальнейшие действия? Реакция пользователя или администратора чаще всего напоминает реакцию страуса: если я скажу, что "оно само" , меня никто не накажет. Пользователи пробуют разобраться сами: перезапускают рабочую станцию, пытаются самостоятельно удалить шифровальщика и т.д. Если вымогаемые суммы небольшие, то пользователи или администраторы пробуют заплатить выкуп в надежде, что им удастся восстановить данные. Такие действия, как правило, приводят к еще большим проблемам при последующих действиях по анализу и восстановлению после заражения. Рассмотрим основные этапы, которые необходимо пройти после выявления шифровальщика. 1. Обнаружение шифровальщика. Сотрудник организации или администратор сервера сообщает о проблеме в техническую поддержку. 2. Расследование. Необходимо определить вид шифровальщика, способ заражения и границы заражения, а также скорость и способ его распространения внутри сети. 3. Предотвращение последующего заражения других серверов и рабочих станций, изоляция и блокировка зараженных узлов. 4. Восстановление серверов и данных после заражения. 5. Постоянная коммуникация с бизнесом и внешним миром в случае, если проблема действительно оказалось серьезной, угрожает непрерывности бизнеса или данным пользователей.
28 •
последние несколько лет существенно увеличилось количество и сложность вредоносных программ класса Ransomware (вымогатели). За примерами далеко ходить не надо, достаточно вспомнить CryptoWall, нашумевшие в 2017 г. WannaCry, NotPetya или более современные Ryuk, REvil/Sodinokibi, Maze/ChaCha, Phobos, Dharma и др. Вымогатели получили широкое распространение одновременно с развитием цифровых валют, позволяющих злоумышленникам оставаться полностью анонимными и минимизировать риски быть пойманными при получении выкупа. Давайте представим себе ситуацию: возникла проблема с критичным сервером, вы заходите в консоль управления и видите: “Attention! All your files have been encrypted!”
Что должен делать пользователь при выявлении шифровальщика? 1. Не паниковать и делать все максимально быстро! 2. Не выключая компьютер, как можно быстрее отключить его от сетевой инфраструктуры. 3. Сфотографировать экран с использованием телефона, зафиксировать предупреждение вымогателей, информацию по зашифрованным файлам. 4. Зафиксировать все действия, которые могли привести к заражению, в том числе ответив на нижеследующие вопросы: l Какие странности в поведении компьютера или программ вы заметили? l Что вы делали перед тем, как обнаружили заражение (работали с файлами, внешними носителями, сетевыми папками, открывали письма в почте, работали в Интернете)? l Как часто, и каким образом проявляются признаки заражения? l К какой сети вы были подключены в момент заражения (домашняя сеть, публичный Wi-Fi, Интернет, VPN и т.д.)? l Какая операционная система используется на компьютере, как давно она обновлялась? l Сетевое имя вашего компьютера? l Из какой учетной записи вы работали в этот момент? l К каким данным у вас есть доступ? l Кому вы сообщили об инциденте и в какой форме? 3. Свяжитесь с технической поддержкой и уточните, кому передать данные по инциденту. 4. Помогайте команде технической поддержки оперативными и, главное, максимально честными ответами на
Действия технической поддержки в данном случае заключаются в сборе максимально достоверной информации по всем пользователям, а также в правильном и положительном отношении к пользователю, так как пользователь в такой ситуации, скорее всего, оказался впервые, он напуган, растерян, не знает, что делать, и своими неправильными действиями в ряде случаев может усугубить ситуацию.
вопросы. Это позволит сэкономить время и усилия по блокировке вредоносной программы и, возможно, упростит восстановление данных и систем.
Расследование Вначале необходимо идентифицировать тип шифровальщика, для этого нужно собрать максимальное количество информации: l скриншоты экрана и графические интерфейсы вредоносного ПО; l список текстовых файлов и HTMLстраниц, которые открываются после шифрования данных, графические файлы, которые в ряде случаев устанавливаются шифровальщиком фоном на рабочий стол; l всплывающие сообщения при попытке открытия зашифрованных файлов; l адреса электронной почты или другие контактные данные в зашифрованных файлах и сообщениях; l используемые цифровые валюты и адреса оплаты; l язык, используемый в сообщениях шифровальщика; l схема переименования файлов (.crypt, .cry, .locked и т. д.);
