Наибольшую ценность для любого бизнеса представляет информация: бухгалтерия, налоговые отчеты, электронный документооборот и другие базы данных. Чем этой информации больше, и чем сильнее на ней завязаны какие-либо бизнес-процессы, тем «больнее» ее потеря скажется на жизни компании. Бывает и так, что потеря доступа к каким-либо данным полностью блокирует бизнес. То есть доступ к информации — это потенциальная уязвимость, а там, где есть уязвимость, всегда найдутся люди, которые попробуют ей воспользоваться.
По данным за 2018 год, 60% казахстанских компаний испытали хотя бы одну серьезную кибератаку за последние два года. Одной из самых распространенных методов кибератак на сегодняшний день являются вирусы-шифровальщики — вредоносные программы, проникающие в систему через спам или другие уязвимости (чаще всего, к сожалению, решающую роль играет человеческий фактор) и зашифровывающие все критичные данные компании.
За то, чтобы предоставить код, с помощью которого данные можно расшифровать, злоумышленники просят выкуп — речь идет о суммах от 5 000 $. Но даже если компания решает заплатить, совершенно не факт, что хакеры выполнят свою часть сделки. По нашему опыту, это всегда лотерея 50/50. То есть деньги вы платите точно, а вот получите ли доступ к своим данным — большой вопрос.
Что такое шифровальщики и как происходит атака?
Принцип заражения вирусом-шифровальщиком прост — пользователь скачивает и запускает вредоносный файл, вирус распространяется на устройстве, на котором был «распакован», шифрует основные данные (файлы с расширениями .jpg, .png, .doc, .xls, .dbf), затем зеркало, а дальше, если бэкапирование настроено неправильно, распространяется по сети на все рабочие станции, до которых может «дотянуться».
После шифрования на рабочем столе или в каждой папке с зашифрованными файлами создается текстовый файл (например, READ_ME!!!!!!.TXT) с информацией о том, что файлы зашифрованы, а все попытки самостоятельно расшифровать их приведут к безвозвратной потере данных. В этом же файле пользователь находит контакты хакеров, обычно почту, на которую необходимо написать, чтобы выяснить детали выкупа данных. Чаще всего деньги хакеры требуют перечислить в биткоинах (отследить такую транзакцию практически невозможно), и только после получения нужной суммы обещают выслать код дешифровки.
В правоохранительные органы в большинстве случаев обращаться бесполезно. Силовые структуры просто-напросто не готовы к угрозам такого типа. Согласно статистике антивирусных компаний, подобрать ключ можно, но только если речь идет о шифровальщиках 2-3-летней давности.
Что делать, если система «поймала» шифровальщика?
· Не пытайтесь переименовывать файлы или менять расширения. Этим вы только усугубите положение. Если очень хочется попытаться исправить ситуацию самостоятельно (не надо), можно сделать копию зашифрованного файла и попытаться поэкспериментировать с ней.
· Попытайтесь восстановить файлы из теневых копий. Для этого в вашей системе должны быть созданы точки восстановления данных. Тут важно оговориться, что совсем свежие версии шифровальщиков добираются и до теневых копий.
· Проверьте бэкапы данных. Если бэкапирование настроено правильно, то есть шанс, что вы вообще не потеряли данные.
· Обратитесь в антивирусные компании за кодами расшифровки. Проблема существует не первый год, и у антивирусных компаний могут быть рабочие ключи именно к вашей версии шифровальщика. Кроме того, ведущие антивирусные компании предоставляют программы дешифраторы (например, RectorDecryptor от «Лаборатории Касперского»). В Казахстане в этом вопросе эффективнее всего сотрудничать с Doctor Web.
Как защититься от шифровальщиков?
У нас не бывает и месяца, чтобы специалисты в своей работе не сталкивались с шифровальщиками. Чаще всего уязвимость системы — это сотрудники с наименьшей компьютерной грамотностью. Шифровальщик может содержаться в письме с темой «Резюме», которое придет в отдел кадров, или «Срочно сдать налоговый отчет», которое упадет на почту бухгалтеру. Прежде всего важно повысить общую компьютерную грамотность всех сотрудников во всех отделах компании, объяснять, какие письма открывать можно, а какие — категорически нельзя. Также необходимо установить антивирусное программное обеспечение и регулярно его обновлять.
Важно: для того, чтобы обезопасить себя от таких сюрпризов и не перегружать сотрудников непрофильных отделов новой информацией, на всех компьютерах с человеческой уязвимостью можно ограничить возможность запуска некоторых потенциально опасных файлов. К примеру, с расширениями .js, .cmd, .bat, .vba, .ps1. Для этого нужно выполнить команду — gpedit.msc, далее перейти в раздел
Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики управления приложениями — AppLocker — Правила сценариев
и с помощью мастера создать новое правило на запрет запуска всех сценариев для всех пользователей, например, на системном диске.
Кроме того, спасти ситуацию может правильный бэкап (о том, что такое зеркалирование и бэкапирование мы говорили в отдельной статье). Ведь если последние данные к моменту атаки сохранены на другом устройстве с другой операционной системой (а еще лучше — под отдельным пользователем, пароль к которому знают один или два человека), которое находится вне офиса и не подключено к локальной сети предприятия, то атака не страшна. Компьютеры и операционная система работают, вы можете создавать новые файлы, просто не имея доступа к старым, а вирус-шифровальщик, выполнив свою функцию, автоматически деактивируется.
Да, доменная зона kz маленькая, нас практически не видно, и мы не участвуем в глобальных войнах за данные. Мы никому неинтересны, и поэтому никогда не сталкивались с серьезными угрозами, а это, в свою очередь, позволяет бизнесу не слишком беспокоиться о безопасности. Прямо сейчас потеря данных для казахстанского бизнеса не является большой проблемой, но мы растем. Все может измениться, и довольно скоро. Поэтому нужно иметь протестированную и отработанную возможность быстро восстановить данные, нежели чем применять дорогую (частенько неоправданно дорогую) технологию дешифровки.
