В сети обнаружен шифровальщик. Как планировать реагирование?


В сети обнаружен шифровальщик. Как планировать реагирование?

В последние несколько лет существенно увеличилось количество и сложность вредоносных программ класса Ransomware (вымогатели). За примерами далеко ходить не надо, достаточно вспомнить CryptoWall, нашумевшие в 2017 г. WannaCry, NotPetya или более современные Ryuk, REvil/Sodinokibi, Maze/ChaCha, Phobos, Dharma и др. Вымогатели получили широкое распространение одновременно с развитием цифровых валют, позволяющих злоумышленникам оставаться полностью анонимными и минимизировать риски быть пойманными при получении выкупа.

Давайте представим себе ситуацию: возникла проблема с критичным сервером, вы заходите в консоль управления и видите: “Attention! All your files have been encrypted!”

Какие ваши дальнейшие действия?

Реакция пользователя или администратора чаще всего напоминает реакцию страуса: если я скажу, что “оно само” , меня никто не накажет. Пользователи пробуют разобраться сами: перезапускают рабочую станцию, пытаются самостоятельно удалить шифровальщика и т.д. Если вымогаемые суммы небольшие, то пользователи или администраторы пробуют заплатить выкуп в надежде, что им удастся восстановить данные.

Такие действия, как правило, приводят к еще большим проблемам при последующих действиях по анализу и восстановлению после заражения.

Рассмотрим основные этапы, которые необходимо пройти после выявления шифровальщика.

  1. Обнаружение шифровальщика. Сотрудник организации или администратор сервера сообщает о проблеме в техническую поддержку.
  2. Расследование. Необходимо определить вид шифровальщика, способ заражения и границы заражения, а также скорость и способ его распространения внутри сети.
  3. Предотвращение последующего заражения других серверов и рабочих станций, изоляция и блокировка зараженных узлов.
  4. Восстановление серверов и данных после заражения.
  5. Постоянная коммуникация с бизнесом и внешним миром в случае, если проблема действительно оказалось серьезной, угрожает непрерывности бизнеса или данным пользователей.

Что должен делать пользователь при выявлении шифровальщика?

  1. Не паниковать и делать все максимально быстро!
  2. Не выключая компьютер, как можно быстрее отключить его от сетевой инфраструктуры.
  3. Сфотографировать экран с использованием телефона, зафиксировать предупреждение вымогателей, информацию по зашифрованным файлам.
  4. Зафиксировать все действия, которые могли привести к заражению, в том числе ответив на нижеследующие вопросы:
  • Какие странности в поведении компьютера или программ вы заметили?
  • Что вы делали перед тем, как обнаружили заражение (работали с файлами, внешними носителями, сетевыми папками, открывали письма в почте, работали в Интернете)?
  • Как часто, и каким образом проявляются признаки заражения?
  • К какой сети вы были подключены в момент заражения (домашняя сеть, публичный Wi-Fi, Интернет, VPN и т.д.)?
  • Какая операционная система используется на компьютере, как давно она обновлялась?
  • Скриншоты экрана и графические интерфейсы вредоносного ПО;
  • Список текстовых файлов и HTML-страниц, которые открываются после шифрования данных, графические файлы, которые в ряде случаев устанавливаются шифровальщиком фоном на рабочий стол;
  • Сетевое имя вашего компьютера?
  • Из какой учетной записи вы работали в этот момент?
  • К каким данным у вас есть доступ?
  • Кому вы сообщили об инциденте и в какой форме?
  1. Свяжитесь с технической поддержкой и уточните, кому передать данные по инциденту.
  2. Помогайте команде технической поддержки оперативными и, главное, максимально честными ответами на вопросы. Это позволит сэкономить время и усилия по блокировке вредоносной программы и, возможно, упростит восстановление данных и систем.
Действия технической поддержки в данном случае заключаются в сборе максимально достоверной информации по всем пользователям, а также в правильном и положительном отношении к пользователю, так как пользователь в такой ситуации, скорее всего, оказался впервые, он напуган, растерян, не знает, что делать, и своими неправильными действиями в ряде случаев может усугубить ситуацию.

Расследование

Вначале необходимо идентифицировать тип шифровальщика, для этого нужно собрать максимальное количество информации:

  • скриншоты экрана и графические интерфейсы вредоносного ПО;
  • список текстовых файлов и HTMLстраниц, которые открываются после шифрования данных, графические файлы, которые в ряде случаев устанавливаются шифровальщиком фоном на рабочий стол;
  • всплывающие сообщения при попытке открытия зашифрованных файлов;
  • адреса электронной почты или другие контактные данные в зашифрованных файлах и сообщениях;
  • используемые цифровые валюты и адреса оплаты;
  • язык, используемый в сообщениях шифровальщика;
  • схема переименования файлов (.crypt, .cry, .locked и т. д.);
  • типы зашифрованных файлов;
  • под какой учетной записью производилось шифрование файлов (системная, пользовательская, сервисная).

Для помощи в анализе типа ВПО могут помочь специализированные сервисы, например id-ransomware.malwarehunterteam.com.

После выявления типа вредоносного ПО необходимо собрать по нему все возможные технические признаки компрометации (имена процессов, устанавливаемые сетевые соединения, названия и хеши файлов, учетные записи, адреса почты, с которых производилась рассылка писем, и т.д.). Данную информацию можно получить либо из описания шифровальщика, либо при более глубоком анализе его образца. Можно отправить образец для анализа в VirusTotal (www.virustotal.com), в HybridAnalysis (www.hybrid-analysis.com) либо в антивирусную лабораторию, с которой сотрудничает ваша организация.

В процессе анализа следует также определить векторы заражения и “нулевого пациента” для того, чтобы оперативно ограничить дальнейшее распространение шифровальщика. Основными векторами распространения могут быть:

  • эксплуатация уязвимостей по сети (аналогично сетевым червям и вирусам);
  • протоколы удаленного доступа (RDP и другие);
  • вложения в электронной почте;
  • заражение через файлы и документы (внешние устройства, сетевые папки);
  • распространение в качестве дополнительной нагрузки к другому вредоносному ПО, например через загрузчики.

Распространение вымогателей-шифровальщиков в основном происходит автоматически, но бывают и ситуации полуручного шифрования данных и последующего вымогательства, когда злоумышленник осуществляет проникновение в сеть и запускает соответствующую программу для шифрования вручную.

Дальше необходимо определить границы заражения, для этого можно использовать сетевые средства защиты, антивирусные средства или средства мониторинга серверов и рабочих станций, чтобы определить, на каких узлах были обнаружены признаки компрометации.

На межсетевых экранах, в DNS и прокси-серверах можно посмотреть, кто обращался к командным центрам вредоносного ПО или осуществлял попытку массового заражения внутри сети. В этом случае очень полезными бывают системы класса SIEM, которые позволяют быстро проанализировать большой объем событий и сформировать правила мониторинга и выявления новых зараженных узлов.

На рабочих станциях и серверах нужно использовать антивирусные средства. Большая часть современных решений позволяет достаточно оперативно добавлять правила поиска процессов и хешей запускаемых исполняемых файлов по заданным параметрам.

Необходимо также выяснить, какие данные пострадали от заражения — пользовательские, данные в СУБД, конфигурационные файлы в технологических системах. Для этого можно проанализировать события массовых изменений файлов на узлах или в сетевых папках одним процессом или одной группой учетных записей с использованием специальных утилит для работы с метаданными файлов или механизмов контроля целостности операционных систем.

Для того чтобы владельцы бизнеса могли принять решение о дальнейших действиях, необходимо определить степень влияния заражения на бизнес-процессы и данные.

Сдерживание и предотвращение дальнейшего заражения

Действия по сдерживанию заражения важно начинать параллельно с расследованием, чтобы снизить возможные последствия. Однако стоит иметь в виду, что неправильный порядок действий может усугубить ситуацию. Поэтому желательно иметь готовый план действий для всех сотрудников организации в случае массового заражения инфраструктуры. Ближайшая аналогия — тестирование пожарной сигнализации в бизнес-центре, когда все сотрудники знают, что им делать и куда бежать.

Все задачи, связанные с ограничением распространения вредоносного ПО, должны обрабатываться в режиме максимальной приоритизации, так как именно эта часть работ позволяет снизить количество ресурсов и потери при восстановлении данных и работоспособности инфраструктуры.

Основным механизмом защиты в данном случае является изоляция зараженных систем и пользователей от основной части критичных систем и инфраструктуры.

Зачистка и восстановление инфраструктуры

Перед проведением операций по восстановлению инфраструктуры необходимо убедиться, что дальнейшее распространение вредоносного ПО невозможно.

Для данного этапа важно заранее удостовериться, что в организации существуют эффективные механизмы восстановления данных, разворачивания серверов и рабочих станций, копий конфигурационных файлов и задокументированные настройки бизнес-систем.

Для эффективного восстановления работоспособности организации также нужно проверить, насколько сотрудники знают, где находятся правильные резервные копии, умеют их правильно восстанавливать и обладают всеми необходимыми знаниями и инструментами для восстановления. При восстановлении данных и систем из резервных копий стоит убедиться, что они не заражены.

В случае, когда восстановление данных из резервных копий по ряду причин невозможно, можно попробовать восстановить работу системы другими способами:

  • провести поиск специализированных утилит, декрипторов;
  • провести анализ ВПО в антивирусной лаборатории, возможно специалисты смогут написать программу для восстановления специально для этого вымогателя;
  • в исключительных случаях заплатить вымогателям за критичные данные; однако стоит учитывать, что это не гарантирует результата, по ряду причин: злоумышленник уже не контролирует конкретный экземпляр вымогателя, шифрование могло произойти с ошибками и в итоге даже при получении ключа восстановление может быть невозможно или злоумышленник даже при получении денег может повысить цену на восстановление информации.

Итоги

Что можно сделать, чтобы предотвратить или снизить риски заражения шифровальщиком, уменьшить время на реагирование и восстановление работы организации после заражения?

  1. Проводить регулярное резервное копирование пользовательских данных и данных критичных бизнес-систем с хранением на внешнем носителе или максимально изолированном от инфраструктуры сервере или СХД.
  2. Сформировать перечень ответственных за эксплуатацию инфраструктуры и средств защиты.
  3. Разработать и протестировать инструкции по оперативному выявлению, идентификации и предотвращению распространения вредоносного ПО.
  4. Сформировать инструкции и провести обучение специалистов технической поддержки для оперативного сбора информации по заражению.
  5. Провести обучение пользователей (инструкция/видеоролики/курсы повышения грамотности в области информационной безопасности).
  6. Регулярно устанавливать критичные обновления безопасности на рабочие станции и серверы.
  7. Использовать антивирусное ПО, которое может предотвратить заражение от типового вредоноса.
  8. Организовать взаимодействие с антивирусными лабораториями и компаниями, занимающимися расследованием инцидентов.
  9. Провести учения, имитировав заражение шифровальщиком на одном из узлов в сети организации.