Отдел продаж
8-800-250-16-03
Бесплатный звонок
01.03.2021

Как расшифровать компьютер

Как расшифровать компьютер

Любое заражение вирусами устройства – это стрессовая ситуация, как для пользователя, так и для системного администратора. Как известно, в стрессовой ситуации сохранять трезвый рассудок и действовать максимально быстро, а главное – осознанно. Ваши первые действия определят станет ли заражение огромной проблемой для организации или еще одной из успешно решенных задач. Переходим от слов к практике, на примере заражения шифровальщиком.

1. Найдите и изолируйте угрозу

Итак, вирус шифровальщик проник в сеть организации, и Вам об этом известно. Но он может быть далеко не на одной машине и даже не в одном офисе. Первым делом найдите зараженные устройства и сети компании и изолируйте от остальной сети, чтобы заражение не распространялось дальше.

Как искать? Если машин мало, то посмотрите в логи антвирусов, в EDR и файрволы. Если есть возможность, то обойдите все устройства и проверьте, как обстоят дела с их работоспособностью. Если устройств много, то проще и удобнее анализировать события и логи в SIEM-системе. Пройтись от одного ПК к другому все равно придется, но лучше сначала получить общее представление о ситуации.

Берите логи и прочие следы зловредов, они еще пригодятся! Не забывайте, что уничтожать следы заражения нельзя, иначе потом будет сложно отследить источник. 
После изоляции зараженных устройств от общей сети, снимите образы дисков и больше не трогайте их до окончания расследования. Если работоспособностью устройства критически важна, все равно сделайте образы и сохраните дамп памяти, что может помочь в расследовании. Записывайте все свои действия: это позволит не только не запутаться самому, но и рассказать сотрудникам как трудно лечить их желание кликнуть по первой приходящей ссылке в почте. Причем тут почта? Читайте наши предыдущие статьи и узнайте о способах заражения корпоративных устройств, и, конечно, о способах защиты.

2. Зачистите и действуйте

После проверки всех устройств, Вы получите список машин с дисками, полных зашифрованных файлов, а также образы дисков. Все устройства уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу взяться за восстановление информации, но пока что не торопитесь, лучше заняться безопасностью остального парка устройств.

Советуем, для начала проанализировать вирус, разберитесь как он попал в сеть. Скорее всего, шифровальщик появился не самостоятельно, а его что-то или кто-то скачал – дроппер, троян-загрузчик, RAT или что-то в этом духе. Это «что-то нужно локализовать в рамках сети и удалить все следы.

Для этого проведите внутреннее расследования: покопайтесь в логах и постарайтесь понять на каком устройстве вирус появился впервые и почему его ничто не остановило. После расследования, в-первую очередь, зачистите сеть от сложных и скрытных зловредов, и если возможно, то запустите работу бизнеса. Во-вторых, узнайте, чего не хватило в плане программных средств обеспечения безопасности, и устраните эти проблемы. В-третьих, обучите сотрудников не нажимать на первые попавшиеся файлы из всемирной сети. В-четвертых, своевременно устанавливайте патчи и обновления ВСЕХ приложений и программ. Ведь именно уязвимости в старых версиях могут быть причиной проникновения

3. Разберитесь с последствиями

На этом этапе угрозы в сети больше нет, и той дыры, через которую пролез шифровальщик тоже. Самое время вспомнить, что после инцидента остались неработающие компьютеры. Если они не нужны для расследования, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного заранее.
Если резервной копии нет, то придется надеяться на лучшее. Зайдите на сайте No Ransom, существует вероятность, то там найдется дешифратор именно для вашего случая. Если такового нет – напишите в поддержку компании, которая предоставляет вам услуги кибербезопасности. Не исключено, что они смогут помочь.

Платить вымогателям не стоит: во-первых, незачем спонсировать криминальную деятельность, а во-вторых, шанс, что все расшифруют, далек от 100%. Еще с большой долей вероятности ваши данные не только заблокировали, но и попытались украсть — и могут угрожать их опубликовать. Это, пожалуй, самая неприятная часть, но платить выкуп все равно не надо, и вот почему. Злоумышленники по умолчанию жадные, и после того как вы заплатите, они могут захотеть еще. И уже были случаи, когда спустя пару месяцев после инцидента взломщики возвращались со словами: «Заплатите-ка побольше, а то все же опубликуем».

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

ыеф.jpg

4. Лучше не доводите

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:

Ставить хорошую защиту на все конечные точки в сети (да, даже на смартфоны!), например Kaspersky Endpoint Security Стандартный..

Сегментировать сеть и иметь в ней хорошо настроенные файрволы, а лучше — NGFW или какие-то аналоги, которые автоматически получают данные о новых угрозах.
Если компания большая, то развернуть SIEM-систему, чтобы быстрее понимать, когда что-то идет не так.

Обучать сотрудников кибербезопасности. Регулярно и, в идеале, интерактивно.

Приобрести решения Лаборатории Касперского можно на нашем сайте. до 31 мая действует акция: -30% на защиту уровня Kaspersky Optimum Security. Купить базовую версию EDR можно по цене базы Расширенного!


Возврат к списку