Компьютер требует выкуп: что делать. Инструкция для малого бизнеса
Шифровальщики (ransomware) — это уже не сюжет из новостей про взлом крупных банков и корпораций, а реалии, с которыми может столкнуться даже небольшая фирма с парой десятков сотрудников.
Раньше вредоносы чаще всего выглядели как раздражающие баннеры или программы, которые мешали работе. Но их можно было убрать самостоятельно или антивирусом.
Сейчас атакующие используют шифрование, не подверженное дешифровке. Такое ВПО не просто мешает: оно превращает документы, фотографии, клиентские базы и резервные копии в нечитаемый набор символов. Злоумышленники требуют выкуп за восстановление данных, а зачастую и крадут их. Тогда риски становятся не только техническими, но и репутационными, а также юридическими.
У небольших компаний часто нет IT‑отдела или тем более собственного специалиста по кибербезопасности. Администрированием инфраструктуры занимается один человек, часто это внештатный сотрудник. Бывает и так, что локальные права администратора есть у всех сотрудников.
Резервное копирование используется не для кибербезопасности, а чтобы восстановить данные при их случайном уничтожении или поломке оборудования. Некоторые сотрудники могут работать на домашних компьютерах, где может не быть даже антивирусного ПО.
В случае атаки бизнес‑процессы останавливаются: невозможно выставлять счета, вести продажи, работать с клиентами, платить зарплаты. Каждый час простоя приносит финансовые потери.
Злоумышленникам выгодно атаковать малый бизнес: легче и быстрее провести серию атак по многим небольшим целям, чем пытаться пробиться в одну защищенную известную компанию. Есть и еще одна опасная деталь: зачастую небольшие компании выступают подрядчиками у более крупных. А значит, атаковав одну маленькую цель, злоумышленники получат доступ к более крупным.
В папках могут оказаться текстовые файлы с запиской от злоумышленников, где они требуют выкуп за дешифровку. Вот что еще укажет на атаку:
- Документы, таблицы, базы данных не открываются.
- Принтеры печатают листы с запиской о шифровании.
- Расширения файлов изменены на неизвестные.
- На электронную почту пришло письмо с требованием выкупа или инструкцией по оплате.
- В некоторых случаях одновременно оказываются недоступны системные сервисы, электронная почта и CRM.
1. Платить.
Многие злоумышленники, промышляющие шифрованием данных, делают это из политических убеждений. Так что после выкупа хактивисты лишь поблагодарят сговорчивую жертву в своих телеграм-каналах и обвинят ее в финансировании запрещенных организаций. Бывают случаи, когда атакующие действуют «порядочно» и расшифровывают данные после оплаты. Но это спасает пострадавшую компанию лишь на время, так как ее заносят в список приоритетных целей и шифруют снова.
2. Искать «дешифратор» в интернете.
Современные шифровальщики используют криптостойкие алгоритмы, поэтому восстановить данные без ключа, который есть только у злоумышленников, невозможно. Дешифраторы, которые предлагают в интернете, зачастую делают другие мошенники, чтобы нажиться на доверчивых жертвах. Эти предложения оказываются фейковыми или вредоносными.
Если вы обнаружили, что файлы зашифрованы, важно действовать быстро и правильно. Вот что нужно сделать в первую очередь:
- Отключите от сети пораженные устройства, а также точки централизованного администрирования DC, Ansible, ESXi. Это минимизирует риск, что ВПО распространится на другие компьютеры, серверы или облачные сервисы компании.
- Зафиксируйте инцидент. Сделайте скриншоты с требованиями выкупа, сохраните письма и заметки атакующих. Это понадобится для анализа, отчетности и при необходимости — обращения в правоохранительные органы. Не пытайтесь связаться со злоумышленниками и тем более не платите выкуп: так вы только потеряете время и деньги, а также подвергнете инфраструктуру дополнительным рискам.
- Проверьте наличие актуальной резервной копии. Убедитесь, что она хранится в изолированной среде, недоступной для пораженных систем. Это позволит быстро восстановить работу и уменьшить ущерб.
- По возможности обратитесь к специалистам по реагированию на киберинциденты. Они знают, как безопасно восстановить данные, оценить масштаб ущерба и исключить повторное проникновение.
При инциденте некоторые руководители малого бизнеса пробуют восстановить данные самостоятельно. На практике попытки действовать без специалистов по кибербезопасности часто приводят к тому, что ситуация усугубляется: зашифрованные данные могут быть потеряны безвозвратно.
Эксперты по кибербезопасности находят источник заражения, а также способы закрепления ВПО, через которые злоумышленники могут вернуться, и закрывают бэкдоры. Без этого шифровальщик может распространиться снова, и восстановление окажется напрасным.
Также специалисты проверяют, были ли скопированы или украдены данные. Без такого контроля можно и не заподозрить, что злоумышленники не только зашифровали системы, но и похитили клиентские базы, договоры или финансовые документы. Это, в свою очередь, может привести к штрафам от регуляторов, а также потере репутации в глазах партнеров и заказчиков.
Помимо того, что эксперты реагируют на текущий инцидент, они еще и предотвращают будущие проблемы. Малый бизнес получает рекомендации по исправлению уязвимостей, настройке прав доступа и резервного копирования, чтобы снизить риск повторного шифрования.
Так что обращение к профессионалам — это инвестиция в безопасность и стабильность компании. Эффект от профессиональной помощи может многократно превысить потенциальные затраты из‑за инцидента: компания сохраняет работоспособность, данные, доверие клиентов, а также минимизирует финансовые и репутационные риски в будущем.
1. Изоляция — первая и самая важная задача
- Отключите пострадавшие компьютеры от сети (Ethernet, Wi‑Fi) и от VPN.
- Отключите USB‑накопители и внешние диски.
- Оставьте компьютер включенным: полезная информация (например, ВПО в оперативной памяти) теряется при перезагрузке или выключении.
- Если поражен сервер, отключите сетевой кабель и оставьте питание.
Почему не стоит сразу выключать устройства: в оперативной памяти могут быть ключи или процессы, которые помогут специалистам по кибербезопасности. Выключайте, только если уверены, что устройство нужно срочно физически отсоединить, например с него шифруется инфраструктура.
2. Сбор первичных артефактов
- Сохраните или скопируйте все файлы с запиской от злоумышленников (ransom note), имена и содержимое: это поможет идентифицировать тип шифровальщика.
- Соберите список активных процессов, активных подключений и удаленных хостов, если есть возможность сохранить логи.
3. Создание триажей и образов
- Не проводите работы с рабочим диском: сделайте полную побитовую копию и анализируйте только ее. Инструменты: FTK Imager, dd (для Linux).
- Соберите триажи из основных критических систем: DC, Exchange, Bitrix-сервера и др. Инструменты: KapeFiles, UAC, Fastir_Collector.
- Храните образы на отдельном диске, не подключенном к сети зараженной инфраструктуры.
Соберите все возможные журналы и системную информацию, чтобы определить вектор вторжения и масштаб:
- Соберите логи антивируса и EDR, если установлены.
- Сохраните список установленных программ и недавно измененных исполняемых файлов.
- Экспортируйте список запущенных задач и служб, если система еще работает. Команды:
tasklist,sc query. - Соберите сетевую информацию: открытые порты, текущие подключения (
netstat).Если не уверены в командах, сделайте полную копию диска и передайте ее специалистам.
4. Проверка резервных копий хостов, приложений, баз данных
- Убедитесь, что резервные копии действительно изолированы. Бэкап, расположенный в той же сети или доступный по сетевому пути, тоже, скорее всего, зашифрован.
- Если есть чистые недавние офлайн‑копии, планируйте восстановление в изолированной тестовой среде, а не в рабочей.
- Никогда не подключайте подозрительные бэкапы к производственной сети без проверки.
5. Пробное восстановление в изолированной среде
- Разверните тестовую среду, физически или логически отделенную от рабочей сети.
- Попробуйте восстановить копии в тестовой среде и проверить работоспособность приложений. Это поможет понять, какие данные действительно пригодны и не содержат активного ВПО.
- Просканируйте антивирусом восстановленный сервер.
- Не перемещайте в рабочую сеть восстановленные хосты до подтверждения их чистоты.
6. Восстановление и очистка
- Никогда не стирайте оригинальный диск: сохраните его.
- Переустановите ОС и приложения на пораженных машинах. Желательно с нуля, с применением последних обновлений безопасности.
- Дважды сбросьте пароль учетной записи
krbtgtпо инструкции. Между сбросами паролей необходимо подождать 10 часов. - Сбросьте и обновите все пароли, особенно административные и сервисные. Введите многофакторную аутентификацию там, где это возможно.
- Восстановите из чистых бэкапов данные приложений.
- После восстановления проведите мониторинг: усиленно следите за сетью и логами 2–3 недели.
7. Поиск точки проникновения, чтобы злоумышленники не смогли повторно попасть в инфраструктуру
- Проверьте внешний периметр компании и запретите подключения к управляющим портам (SSH, RDP, SNMP и т. п.) из интернета. Можно воспользоваться онлайн-сервисами: Shodan, Censys — для проверки по доменным именам и IP‑адресам.
- Проверьте, есть ли в недавно полученных письмах вредоносные вложения. Можно воспользоваться онлайн-сервисом VirusTotal для проверки хешей от всех исполняемых файлов.
8. Оповещение и отчетность
- Уведомите руководство, сотрудников и клиентов о случившемся.
- При необходимости уведомите Роскомнадзор и правоохранительные органы. В некоторых случаях это обязательный шаг, чтобы избежать штрафов.
С шифровальщиками сталкиваются не только крупные корпорации, но и малый бизнес. Это удобная цель для атакующих, потому что системы небольших компаний часто менее защищены, а последствия инцидента могут быть такими же критическими, как и у крупных.
В случае шифрования данных важно не паниковать и действовать пошагово: изолировать устройства, проверить резервные копии, зафиксировать инцидент и правильно восстановить данные. Важно привлечь специалистов, которые знают, как ликвидировать источник заражения, безопасно восстановить данные и закрыть уязвимости, чтобы злоумышленники не повторили атаку. Попытки самостоятельно разобраться с шифровальщиками могут быть опасны: неправильные действия часто усугубляют ситуацию и могут обойтись дороже, чем профессиональная помощь.
BI.ZONE Compromise Assessment дает возможность пройти через кризис с минимальными потерями и снизить риск того, что инцидент повторится. Это не просто расходы, а инвестиция в сохранность данных, доверие клиентов и стабильную работу компании.
Чтобы в будущем минимизировать риски шифрования данных, нужно закрыть основные точки, через которые вредоносные файлы попадают в инфраструктуру. Самый распространенный канал — электронная почта, поэтому с этим вектором нужно работать комплексно:
- Обучать сотрудников и повышать их уровень киберграмотности. Злоумышленники часто используют методы социальной инженерии и эксплуатируют особенности психологии человека, поэтому важно обучать персонал распознавать мошеннические действия, а также тренировать навыки с помощью учебных атак. Если нет времени и ресурсов заниматься инструктажем самостоятельно, подойдут решения класса security awareness, например BI.ZONE Security Fitness.
- Применять средства для фильтрации почты. Они минимизируют риск того, что письмо с вредоносным вложением дойдет до получателя. Например, BI.ZONE Mail Security защитит электронную почту от фишинга, вредоносного ПО, спама и ботнет-активности.