Ransomware: как обнаружить шифровальщика и что делать, если он обнаружен

Время чтения 3 мин.Опубликовано

Атаки, связанные с программами-вымогателями, можно отследить на ранней стадии, но чаще всего их выявление происходит только на этапе шифрования. Его скорость в большинстве случаев крайне высока: от нескольких минут до пары часов. Но тем не менее, если застать шифровальщика врасплох, есть шансы минимизировать ущерб.

Программа-вымогатель, она же шифровальщик, или Ransomware, шифрует данные в компьютерах компании, а за их дешифровку ее операторы запрашивают выкуп. При этом его выплата  не гарантирует возврат данных: иногда шифровальщик работает с ошибками, иногда обратный процесс вообще не предусмотрен, а иногда злоумышленники, получив деньги, скрываются, не прислав пароля. Кроме того, сейчас активно используются схемы Double/Triple Extortion. Они подразумевают, что ваши данные будут зашифрованы, а информация — выгружена для использования в целях шантажа. Денежные выплаты в данном случае не смогут гарантировать, что данные не опубликуют.


Признаки присутствия шифровальщика

Столкнувшись с программой-вымогателем, в моменте сложно утверждать, каким именно способом происходит его развертывание в сети. Но подозрительные сигналы может заметить каждый пользователь. Среди них выделяется:

  • Потеря доступа к файлам и папкам, некоторые из которых внезапно стали недоступны и/или требуют пароля, который вы не устанавливали.
  • Многие файлы начали получать новые расширения, например .locked или .encrypted, не открывающиеся стандартными приложениями.
  • В папках появляются файлы с инструкциями о том, как расшифровать ваши данные и сколько придется заплатить за дешифровку.
  • На рабочем столе вместо установленного вами изображения отображается текст с информацией о том, что данные зашифрованы и за их расшифровку требуется выкуп.
  • Антивирус сигнализирует о подозрительной активности.

Какие действия нужно предпринять

Чтобы минимизировать ущерб, который может нанести шифровальщик, попав внутрь ИТ-инфраструктуры, нужно срочно предпринять несколько довольно простых действий:

  1. Спасайте бэкапы и «зеркала»! Отключайте серверы резервного копирования, останавливайте фоновые процессы бэкапирования и синхронизации данных и на отдельных рабочих местах, и на серверах.
  2. Изолируйте отдельные сегменты сети, насколько это возможно. В некоторых случаях для этого требуется физическое выключение компьютеров с критически важными данными. Ведь на обесточенной системе ни один зловред работать не сможет.
  3. Отключите C$, IPC$, ADMIN$ и другие административные ресурсы.
  4. Отмонтируйте имеющиеся сетевые диски.

А дальше уже следует прибегнуть к помощи безопасников и компьютерных криминалистов. Они помогут выгнать злоумышленников из сети, по возможности спасут данные и выяснят, как шифровальщик попал внутрь и какой еще вред хакеры нанесли вашей ИТ-инфраструктуре. Кроме того, специалисты предоставят вам практические рекомендации для оптимизации защитных решений вашей системы.

Secute.ru - информационная безопасность
Вам также может понравиться
Мои средства списали мошенники. Что делать?
Что такое VPN и так ли это безопасно
Потерял телефон: что нужно сделать в первую очередь?
5 способов, как не потерять деньги, продавая вещи в интернете
Как BlueSmack превращает устройства в «овощи»
Как сдать устройство в ремонт, защитив при этом свои данные
© 2023 Secute.ru - информационная безопасность
Политика конфиденциальности | Соглашение | Карта сайта
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 83966, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 30.09.2022 г. При цитирование материалов сайта, обратная ссылка обязательна. По всем вопросам: info@secute.ru
ограничение