Восстановление данных после атаки программы-вымогателя
Согласно исследованию Sophos*, посвященному ситуации с программами-вымогателями, после их атак удается восстановить лишь 65% данных. Сегодня мы подробно рассмотрим самые частые вопросы о восстановлении данных после атаки программы- вымогателя, а также расскажем, что необходимо знать до атаки.
В чем заключается восстановление данных после атаки программы-вымогателя?
Восстановление данных после атаки — это процесс, направленный на возобновление работы ИТ-систем после атаки программы-вымогателя. Восстановление может быть простым, оно может следовать одному из процессов послеаварийного восстановления, при условии, что ваши планы послеаварийного восстановления хорошо задокументированы, а также тщательно (и недавно) протестированы*.
В вопросе защиты данных ведущую роль играет восстановление, особенно восстановление зашифрованных ВМ из резервных копий. Оно не только помогает восстановить системы после атаки программы-вымогателя, но также оказывает более широкое влияние на всю ИТ-среду.
В ходе реагирования на инцидент в области кибербезопасности выполняется ретроспективная экспертиза, которая позволяет определить, каким путем программа-вымогатель проникла в среду и какие системы подверглись ее воздействию. После этого можно принять меры для ликвидации программы-вымогателя, устранения уязвимостей, которые привели к ее проникновению, а также восстановления поврежденных систем.
Можно ли удалить программу-вымогатель?
В ходе реагирования на инцидент в области кибербезопасности принимаются меры для выявления того, как программа-вымогатель проникла в среду и какие системы подверглись воздействию, помимо шифрования данных.
Вредоносный код должен быть удален с зашифрованных машин, но также необходимо выявить пути его проникновения в среду и устранить эти факторы риска. После атаки программы-вымогателя вы сможете обеспечить антивредоносные системы соответствующими дефинициями, которые позволят выявлять вредоносный код, атаке которого вы подверглись.
Можно ли восстановить системы, подвергшиеся атаке программы-вымогателя?
Самый насущный вопрос для ИТ-организаций сегодня — это “Можно ли восстановить данные после атаки программы-вымогателя?” Восстановление возможно почти всегда. К сожалению, многие организации совсем в этом не уверены, поэтому важно принять меры, которые обеспечат восстановление среды после атаки программы-вымогателя.
Важнейшая мера защиты данных от программ-вымогателей ― наличие резервной копии, успешно созданной совсем недавно. В случае шифрования машин эта резервная копия станет критически важной, так как именно из нее вы будете восстанавливать данные.
В зависимости от того, как долго вредоносный код находился в вашей системе, может быть необходимо просканировать восстановленную систему, чтобы убедиться, что в ней не содержится инфекция.
Как выглядит восстановление данных после атаки программы-вымогателя?
Часто возникает вопрос ― что именно происходит после атаки программы-вымогателя? Первым делом необходимо задействовать команду ИТ-безопасности, чтобы она начала процесс реагирования на инцидент. Этот процесс может отличаться от процесса, которым администраторы резервного копирования пользуются для восстановления данных.
Перед тем, как восстановить данные, необходимо выполнить ряд других шагов, которые входят в план реагирования на инцидент. Это такие шаги, как выявление и анализ, локализация, и только затем ликвидация вредоносного кода и восстановление данных. МЕТОД восстановления данных после атаки программы-вымогателя зависит от того, что будет обнаружено на стадии выявления и анализа. Поэтому важно иметь в запасе несколько стратегий восстановления, причем каждая из них должна быть тщательно протестирована.
Вы ничего не знаете о реагировании на инциденты в области кибербезопасности? Тогда вам необходимо ознакомиться со сценариями реагирования на инциденты в области кибербезопасности и уязвимостей, недавно изданными CISA*.
Какие бывают типы атак программ-вымогателей?
Существует несколько разных типов атак, из них самым классическим является шифрование данных. Бывают атаки с двойным и тройным вымогательством. При двойном вымогательстве данные не только шифруются, но и похищаются. При тройном вымогательстве шифруются машины, а данные похищаются. Злоумышленники предпринимают дополнительные шаги, чтобы обнаружить данные о заказчиках и поставщиках компании, а найдя эти данные, направляют на них атаку.
Похищают ли программы-вымогатели данные?
Обычно при атаке программы-вымогателя данные шифруются. Другим типом атаки, который приобретает все большее распространение, является эксфильтрация. При этом злоумышленники похищают ваши данные и обещают вернуть их только после уплаты выкупа.
Как распространяются программы-вымогатели?
Программы-вымогатели могут распространяться различными способами. Чаще всего это происходит с помощью фишинговых электронных сообщений. Проникнув в вашу среду, вредоносный агент получает безграничные возможности. Помните, что точка входа ― это единственное, что требуется злоумышленникам для выведения вашей среды из строя.
Какое решение лучше всего поможет защитить важные файлы от атак программ-вымогателей?
Многие хотели бы полностью защититься от атак программ-вымогателей, но правда заключается в том, что необходимо приготовиться к их воздействию. Есть несколько групп, управляющих программами-вымогателями, которые постоянно ищут новые способы проникновения в вашу среду и размещения в ней своего ПО. Хотя надежная стратегия ИТ-безопасности поможет защитить вашу среду от программ-вымогателей, ничто не может гарантированно предотвратить атаку.
Лучшее решение ― надежная стратегия резервного копирования с использованием неизменных резервных копий, которые не могут быть зашифрованы или удалены злоумышленниками.
Сколько существует типов программ-вымогателей?
Существует много разных типов программ-вымогателей, при этом постоянно появляются новые. Чаще всего в новостях упоминаются такие типы программ-вымогателей, как: REvil, Conti и DarkSide.
Важно знать, что операторы разных типов программ-вымогателей работают так же, как любая другая ИТ-организация. У них есть собственные разработчики, которые постоянно совершенствуют программы-вымогатели, делая их более опасными для ИТ-систем.
Сколько времени занимает восстановление данных после атаки программы-вымогателя?
Существует много ужасных рассказов о том, как много времени занимает восстановление данных после атаки (если оно вообще возможно). Периодически можно слышать о восстановлении, которое длится несколько недель или месяцев, но так не должно быть.
Восстановление после атаки программы-вымогателя ― это процесс, для которого требуется регулярное тестирование, так же, как и для плана послеаварийного восстановления. Когда речь заходит о восстановлении данных после атаки программы-вымогателя, отличное место, с которого можно начать ― это план послеаварийного восстановления. Конечно, при условии, что такой план актуален и тщательно протестирован.
Протестировав восстановление, вы сможете принять меры для повышения его скорости согласно требованиям бизнеса. Для этого, например, можно установить дополнительную инфраструктуру в вашей среде.
Восстановление после атаки программы-вымогателя не должно занимать много времени, но тестирование процессов восстановления критически важно для обеспечения соответствия показателям RTO.
Как быстро происходит шифрование данных при атаке программы-вымогателя?
Скорость шифрования данных при атаке программы-вымогателя зависит от того, какой именно вредоносный код проник в вашу среду. Помните, что операторы программ-вымогателей постоянно улучшают свое ПО, максимально повышая его быстродействие. Это позволяет ему нанести максимальный ущерб, прежде чем ИТ-специалисты на местах поймут, что происходит.
Например, программа-вымогатель REvil использует многопоточные процессы, чтобы задействовать все ресурсы целевой системы для ее шифрования.
Можно ли расшифровать данные, зашифрованные программой-вымогателем?
Хотя операторы программ-вымогателей утверждают, что они могут расшифровать зашифрованные данные после уплаты выкупа, на самом деле не все данные могут быть успешно расшифрованы. Что еще хуже, после такой расшифровки полностью отсутствует целостность данных. Даже если вы расшифруете сервер после атаки программы-вымогателя, все равно его необходимо будет восстанавливать из резервной копии.
Поможет ли переустановка Windows избавиться от программы-вымогателя?
Простая переустановка Windows на инфицированной машине не поможет удалить программу-вымогателя. Полное удаление всех данных и переустановка Windows гарантирует удаление программы-вымогателя, но вы также потеряете все свои данные, если предварительно не создали их резервную копию.
Могут ли программы-вымогатели похищать персональные данные?
Программы-вымогатели умеют находить уязвимости для проникновения в среду. Это позволяет им атаковать самые важные данные, которые они могут найти в среде. К таким данным относятся персональные данные сотрудников и заказчиков, финансовые сведения и проприетарная информация. Помните, что операторы программы-вымогателя сделают все возможное, чтобы заставить вас уплатить выкуп.
Перед тем, как приступить к восстановлению данных после атаки программы-вымогателя, необходимо продумать несколько вопросов. Самое важное ― убедиться в том, что вы делаете все необходимое для обеспечения безопасности вашей среды. Это включает не только повышение уровня защищенности среды, которое позволяет устранить уязвимости, но также информирование пользователей о киберугрозах. Необходимо, чтобы сотрудники не переходили по подозрительным ссылкам, которые могут открыть доступ в среду вредоносному коду.
И последняя линия обороны — это надежное резервное копирование данных. Обеспечив неизменность резервных копий, вы защищаете их от шифрования или удаления программой-вымогателем. Кроме того, важно протестировать возможность восстановления. Тестирование возможности восстановления позволяет убедиться не только в работоспособности резервных копий, но также в соответствии показателям допустимого времени восстановления (RTO) в случае атаки.
Автор:
Мелисса Палмер