Обзор атак программ-вымогателей и восстановления данных

Для бизнеса в любой отрасли атаки вымогательского программного обеспечения являются опасной угрозой из-за потери данных и простоев. Согласно Sophos, средняя сумма выкупа в 2023 году достигла 1,54 миллиона долларов. К сожалению, интенсивность атак вымогательского программного обеспечения увеличивается из года в год. Все находятся под угрозой. После установки на компьютер вымогательское программное обеспечение удаляет или портит данные с помощью сильных алгоритмов шифрования.

Злоумышленники, стоящие за вымогательским программным обеспечением, обычно требуют определенную сумму денег (выкуп), чтобы вернуть данные и снова сделать их доступными. Однако, помимо поощрения преступников, эти выплаты не гарантируют полного доступа к пригодным для использования данным. В этом блоге объясняется, как эффективно восстановиться после атаки вымогательского программного обеспечения, избегая транзакций с злоумышленниками.

Что делать после атаки вымогательского программного обеспечения

Несмотря на множество доступных профилактических мер, всё равно существует вероятность того, что ваша организация станет жертвой атаки вымогательского программного обеспечения. Следующие практики могут помочь вам минимизировать последствия атаки вымогательского программного обеспечения, если это произойдет. Если ваши машины заразились вымогательским программным обеспечением, следуйте этим рекомендациям перед восстановлением файлов от вымогательского программного обеспечения.

• Отключите зараженное устройство. Как только вы обнаружите, что устройство заражено вредоносным ПО, немедленно отключите его от сети и внешних носителей данных. Таким образом, вы можете гарантировать, что другие машины и системы в вашей инфраструктуре также не заражаются. Этот шаг позволяет сохранить неповрежденные данные и сократить количество работы, необходимой для восстановления файлов от вымогательского ПО.

  После этого определите количество машин, которые действительно были затронуты атакой вымогательского ПО, и ищите подозрительную активность в вашей инфраструктуре.

• Определите тип вымогателя. Поговорите с человеком, который впервые обнаружил проблему. Спросите, что они делали перед инцидентом, получали ли они электронные письма с подозрительными вложениями и какие файлы они недавно загружали. Определение типа вымогателя предоставляет ценную информацию, которая может быть использована для выявления уязвимостей в вашей системе защиты данных и соответствующей ее модификации.

  Кроме того, если вам удастся определить тип вымогателя, вы сможете точно узнать, как ваши файлы затронуты (то есть, зашифрованы или заблокированы). Затем вы сможете понять потенциальные последствия отказа от уплаты выкупа и какую стратегию следует использовать для успешного восстановления после атаки вымогателя.

• Сообщите о проблеме. При проведении обучения сотрудников объясните им, что важно уведомлять службу поддержки ИТ о любой подозрительной активности на их компьютерах. Таким образом, специалисты по ИТ смогут своевременно отреагировать на атаку вымогательского программного обеспечения, прежде чем будет нанесен серьезный ущерб. После этого сообщите о атаке вымогательского программного обеспечения в соответствующие органы (например, ФБР, если вы находитесь в Соединенных Штатах) и предоставьте им всю необходимую информацию о происшествии. Сообщение в компетентные органы может помочь предотвратить будущие атаки от тех же вымогателей.

• Не платите выкуп. Представители правоохранительных органов рекомендуют не соглашаться на требования злоумышленников, потому что это стимулирует еще больше атак вымогательского программного обеспечения в будущем. Хакеры, стремящиеся быстро заработать деньги, будут видеть вас как легкую мишень для своих будущих атак. Более того, в большинстве случаев выплата выкупа не гарантирует, что злоумышленники разблокируют или расшифруют данные, как обещано. Помните, что вы имеете дело с преступниками, которые заинтересованы только в прибыли.

• Определите воздействие атаки вымогательского программного обеспечения. Вы должны определить, сколько данных было повреждено, сколько компьютеров было заражено в результате атаки, и сколько времени потребуется для восстановления после атаки. Более того, оцените критичность данных, ставших недоступными, и определите, можно ли восстановить их без выплаты выкупа.

• Восстановите вашу систему после атаки вымогательского программного обеспечения. После удаления вымогательского программного обеспечения с ваших компьютеров вы можете начать процесс восстановления после атаки вымогательского программного обеспечения.

Варианты восстановления зашифрованных файлов после атаки вымогательского программного обеспечения

Есть несколько методов восстановления данных после атаки вымогательского вируса. Эффективность этих методов зависит от ситуации.

Использование встроенных инструментов в вашей операционной системе

Если вы используете Windows 10, вы можете попробовать воспользоваться утилитой системного восстановления Windows, чтобы восстановить настройки системы и программы из точки восстановления, которая была создана автоматически. Не всю информацию можно восстановить этим методом. Современные вымогательские вирусы могут отключить системное восстановление и удалить или повредить точки восстановления Windows. В этом случае этот метод неэффективен.

Использование инструмента расшифровки вымогательского вируса

Если вы определили тип и версию вымогательского вируса, попробуйте найти инструмент расшифровки, предоставленный исследователями по безопасности. Инструменты расшифровки не доступны для каждой версии вымогательского вируса. Также всё реже встречаются инструменты расшифровки в настоящее время.

Использование программного обеспечения для восстановления удаленных файлов

Если вымогательский вирус не перезаписал файлы на диске и не заполнил поверхность диска нулями или случайными данными, есть шанс восстановить некоторые критические данные. Сканирование поверхности диска занимает много времени. Имена файлов после восстановления могут быть потеряны, и их названия могут быть вроде RECOVER0001.JPG, RECOVER0002.JPG и т.д.

Восстановление данных из резервной копии

Основная идея этого метода заключается в том, что вы должны заранее подготовиться и не ждать, пока рэнсомвар заразит ваши машины. Если вы не создали резервную копию до атаки рэнсомвара, этот метод не подойдет. Вам нужно заранее подготовиться и регулярно создавать резервные копии данных. Рекомендации по созданию резервных копий рекомендуют следовать правилу резервного копирования 3-2-1 и хранить резервные копии вне офиса и/или в автономном режиме для восстановления после атаки рэнсомвара. Вы можете использовать облако, ленты и/или несменяемое резервное копирование для этой цели.

Лучший способ создания резервных копий – использовать специализированные решения по защите данных, которые поддерживают различные типы нагрузок и инфраструктуры и позволяют реализовать правило резервного копирования 3-2-1.

Одним из таких решений является NAKIVO Backup & Replication. Решение NAKIVO позволяет увеличить производительность резервного копирования, обеспечить возможность восстановления данных и улучшить восстановление после атак рэнсомвара. Решение поддерживает защиту данных для физических серверов, виртуальных машин (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), экземпляров Amazon EC2 и Microsoft 365. С его помощью вы можете:

• Выполнять образное, приложение-осведомленное, инкрементное резервное копирование и репликацию.

• Легко создавать резервные копии без участия исходных хостов или виртуальных машин (VMs).Хранить резервные копии на удаленном сайте, в общедоступном облаке или на ленте.

• Хранить резервные копии на удаленном сайте, в публичном облаке или на ленте.

• Включить неприкосновенность для локальных репозиториев на базе Linux или в облаке Amazon S3.

• Выбирать из различных гибких вариантов восстановления, включая мгновенный запуск виртуальной машины, восстановление с точностью до объекта и восстановление физических машин в качестве виртуальных машин VMware vSphere.

• Создавать рабочие процессы восстановления после катастроф, организуя различные действия и условия в автоматизированную последовательность.

Сколько времени занимает восстановление после атаки вредоносного ПО-вымогателя?

Время, необходимое для восстановления зашифрованных файлов вредоносным ПО-вымогателя, зависит от количества поврежденных данных на зараженных компьютерах и метода, используемого для восстановления после атаки вредоносного ПО-вымогателя. При оценке времени, необходимого для восстановления после атаки вредоносного ПО-вымогателя, мы имеем в виду восстановление данных и возврат всех систем в сеть с восстановленными рабочими нагрузками.

Время восстановления данных и восстановления рабочих нагрузок может варьироваться от нескольких дней до нескольких месяцев. Давайте рассмотрим основные факторы, которые влияют на время восстановления.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• Восстановление с использованием инструмента для дешифрования (если вы найдете один для конкретной версии вредоносного ПО-вымогателя) может занять много времени. Если имена файлов также были изменены после шифрования (например, sLc6-fAl26m.nSeB2 вместо image001.jpg), то потребуется еще больше времени, чтобы поместить их в правильные каталоги после восстановления. Необходимо соблюдать правильную структуру файлов и каталогов, особенно если эти файлы необходимы для работы приложений.

• Резервное копирование данных сокращает время восстановления файлов и сервера после атаки вымогательского вируса. Преимущество восстановления файлов из резервной копии после атаки вымогательского вируса заключается в том, что вы восстанавливаете структурированные данные, включая имена файлов и папок с их правильным путем. Вам нужно выбрать резервную копию для соответствующей даты/времени и выбрать местоположение назначения, куда восстанавливать данные. Затем просто дождитесь копирования и восстановления данных.
  Более того, резервные решения, такие как NAKIVO Backup & Replication, полагаются на технологию на основе изображений для создания резервных копий ВМ и физических машин. Это означает, что резервная копия захватывает операционную систему и другие файлы, связанные с ОС, такие как файлы конфигурации приложений и системное состояние, помогая вам сэкономить время на восстановлении систем.

• Недостаточное тестирование плана восстановления после атаки вымогательского вируса может привести к более длительному времени восстановления данных, чем ожидалось. По этой причине всегда старайтесь протестировать ваш план восстановления, чтобы убедиться, что вы можете восстановить все необходимое в соответствующий временной интервал.

Обратите внимание, что при создании стратегии аварийного восстановления, которая включает план аварийного восстановления после атаки вымогательского вируса, вы должны учитывать метрики RTO и RPO.

Заключение

Восстановление после атаки вымогательского вируса – это сложный процесс, включающий восстановление данных и восстановление нагрузок. Стоимость и время восстановления после атаки вымогательского вируса зависят от того, как много времени ушло на подготовку стратегии резервного копирования и восстановления данных после атаки вымогательского вируса.

Основной подход к смягчению проблем, вызванных атаками вымогательского программного обеспечения, заключается в следовании профилактическим мерам и регулярному резервному копированию данных. Следуйте правилу резервного копирования 3-2-1, используйте неподвижное хранилище резервных копий и надежное решение по защите данных, которое может автоматизировать задачи.