Журнал "Information Security/ Информационная безопасность" #5, 2020

Какие ваши дальнейшие дей- ствия? Реакция пользователя или админи- стратора чаще всего напоминает реак- цию страуса: если я скажу, что "оно само" , меня никто не накажет. Пользо- ватели пробуют разобраться сами: пере- запускают рабочую станцию, пытаются самостоятельно удалить шифроваль- щика и т.д. Если вымогаемые суммы небольшие, то пользователи или адми- нистраторы пробуют заплатить выкуп в надежде, что им удастся восстановить данные. Такие действия, как правило, приводят к еще большим проблемам при после- дующих действиях по анализу и восста- новлению после заражения. Рассмотрим основные этапы, которые необходимо пройти после выявления шифровальщика. 1. Обнаружение шифровальщика. Сотрудник организации или админи- стратор сервера сообщает о проблеме в техническую поддержку. 2. Расследование. Необходимо опре- делить вид шифровальщика, способ заражения и границы заражения, а также скорость и способ его распространения внутри сети. 3. Предотвращение последующего заражения других серверов и рабочих станций, изоляция и блокировка зара- женных узлов. 4. Восстановление серверов и данных после заражения. 5. Постоянная коммуникация с бизне- сом и внешним миром в случае, если проблема действительно оказалось серь- езной, угрожает непрерывности бизнеса или данным пользователей. Что должен делать пользова- тель при выявлении шифроваль- щика? 1. Не паниковать и делать все макси- мально быстро! 2. Не выключая компьютер, как можно быстрее отключить его от сетевой инфраструктуры. 3. Сфотографировать экран с исполь- зованием телефона, зафиксировать предупреждение вымогателей, инфор- мацию по зашифрованным файлам. 4. Зафиксировать все действия, которые могли привести к заражению, в том числе ответив на нижеследующие вопросы: l Какие странности в поведении ком- пьютера или программ вы заметили? l Что вы делали перед тем, как обнару- жили заражение (работали с файлами, внешними носителями, сетевыми пап- ками, открывали письма в почте, рабо- тали в Интернете)? l Как часто, и каким образом про- являются признаки заражения? l К какой сети вы были подключены в момент заражения (домашняя сеть, публичный Wi-Fi, Интернет, VPN и т.д.)? l Какая операционная система исполь- зуется на компьютере, как давно она обновлялась? l Сетевое имя вашего компьютера? l Из какой учетной записи вы работали в этот момент? l К каким данным у вас есть доступ? l Кому вы сообщили об инциденте и в какой форме? 3. Свяжитесь с технической поддерж- кой и уточните, кому передать данные по инциденту. 4. Помогайте команде технической поддержки оперативными и, главное, максимально честными ответами на вопросы. Это позволит сэкономить время и усилия по блокировке вредоносной программы и, возможно, упростит вос- становление данных и систем. Расследование Вначале необходимо идентифициро- вать тип шифровальщика, для этого нужно собрать максимальное количество информации: l скриншоты экрана и графические интерфейсы вредоносного ПО; l список текстовых файлов и HTML- страниц, которые открываются после шифрования данных, графические файлы, которые в ряде случаев уста- навливаются шифровальщиком фоном на рабочий стол; l всплывающие сообщения при попытке открытия зашифрованных файлов; l адреса электронной почты или другие контактные данные в зашифрованных файлах и сообщениях; l используемые цифровые валюты и адреса оплаты; l язык, используемый в сообщениях шифровальщика; l схема переименования файлов (.crypt, .cry, .locked и т. д.); 28 • СПЕЦПРОЕКТ В сети обнаружен шифровальщик. Как планировать реагирование? последние несколько лет существенно увеличилось количество и сложность вредоносных программ класса Ransomware (вымогатели). За примерами далеко ходить не надо, достаточно вспомнить CryptoWall, нашумевшие в 2017 г. WannaCry, NotPetya или более современные Ryuk, REvil/Sodinokibi, Maze/ChaCha, Phobos, Dharma и др. Вымогатели получили широкое распространение одновременно с развитием цифровых валют, позволяющих злоумышленникам оставаться полностью анонимными и минимизировать риски быть пойманными при получении выкупа. Давайте представим себе ситуацию: возникла проблема с критичным сервером, вы заходите в консоль управления и видите: “Attention! All your files have been encrypted!” В Алексей Юдин, директор центра мониторинга компании “Инфосекьюрити” (ГК Софтлайн) Действия технической поддержки в данном случае заключаются в сборе максимально достоверной информации по всем пользователям, а также в правильном и положительном отношении к пользователю, так как пользователь в такой ситуации, скорее всего, оказался впервые, он напуган, растерян, не знает, что делать, и своими неправильными действиями в ряде случаев может усугубить ситуацию.