Ransomware stoi na czele listy zagrożeń dla systemów IT.

Od początku 2016 roku widzieliśmy ogromny wzrost zarówno różnorodności jak i częstotliwości ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeśli już stałeś się ofiarą tego szkodnika.

Kontynuujemy nasz cykl artykułów na temat Ransomware.

W pierwszej części ogólnie omówiliśmy czym jest ransomware, w drugiej – opisaliśmy jak działa. Ostatnio omówiliśmy metody ochrony przed zagrożeniem. W dzisiejszej części przedstawimy co zrobić, jeśli padliśmy już ofiarą infekcji.

Omówimy kroki, które należy natychmiast podjąć, jeśli firma padła ofiarą ataku ransomware,

Podobnie jak w przypadku każdego incydentu bezpieczeństwa, podstawą jest spokój i systematyczne podejście do problemu. Informacje podane w tym artykule pozwolą na przygotowanie podstawowego planu działania na wypadek infekcji.

Krok 1: Izolacja

Odłącz zainfekowane maszyny od sieci i zablokuj dostęp do dysków sieciowych

W przypadku ransomware, liczy się przede wszystkim czas. O ile inne cyberataki skupiają się na metodach ukrycia się w celu długotrwałego dostępu do przejętych systemów, o tyle ransomware ma na celu zaszyfrowanie jak największej ilości danych w jak najkrótszym czasie.

Z tego powodu, w zależności od tego kiedy odkryłeś infekcję, możesz mieć do czynienia z zarażeniem jednego lub wielu komputerów i użytkowników. Pierwszym krokiem jest odseparowanie wszystkich wykrytych zainfekowanych urządzeń poprzez odpięcie ich od sieci oraz WiFi. Trzeba pamiętać, że niektóre warianty infekcji mają zdolność rozsyłania się poprzez sieciowe zasoby dyskowe, dlatego należy czasowo wyłączyć dostęp do dysków sieciowych i przeprowadzić kontrolę serwerów plikowych.

Niestety, w momencie wykrycia, dane będą najprawdopodobniej już zaszyfrowane. Zanim jednak skupimy się na próbach ich odzyskania powinniśmy jeszcze przeprowadzić analizę sytuacji.

Określenie zakresu infekcji

Większość zagrożeń tego typu dokonuje zmian w zaszyfrowanych plikach (np. zmiana rozszerzenia). Często tworzą również pliki README.txt lub README.html z instrukcją zapłaty okupu. Skanowanie sieci pod kątem tych znaczników pozwoli na określenie zasięgu ataku. Odnalezienie wszystkich zainfekowanych urządzeń jest kluczowe do powodzenia dalszych działań. Pozostawienie chociaż jednego zainfekowanego komputera zwiększa ryzyko dalszego rozprzestrzeniania się infekcji.

 Krok 2: Analiza

Określenie wariantu infekcji

Proces ten jest o tyle istotny, że niektóre zagrożenia zostały przebadane przez specjalistów i opracowane zostały narzędzia deszyfrujące. Niektóre zostały zakwalifikowane jako „fake” (tak naprawdę nie szyfrują danych). Inne, z kolei, nie umożliwiają odzyskania danych pomimo wpłacenia okupu.

Nowe, zmodyfikowane rozszerzenia plików są często podpowiedzią z jakim wariantem zagrożenia mamy do czynienia. Podobnie informacje umieszczone na ekranie z okupem – szczególnie linki lub metoda płatności. Na stronie Michaela Gillespie można przesłać te informacje lub przykładowy zainfekowany plik, a w wyniku otrzymamy informację o typie infekcji.

Ostatnią metodą jest pytanie do „wujka Google”. Warto poszukać komunikatu o okupie, rozszerzenia lub innych objawów, z jakimi mamy do czynienia.

Określenie źródła i powodu infekcji

Aby zrozumieć, jak doszło do ataku, musisz poznać „pacjenta ZERO” – pierwszą osobę w firmie, która uległa zainfekowaniu. Musisz pamiętać, że nie zawsze będzie to użytkownik, który zgłosił problem. W niektórych przypadkach, możliwe jest określenie pierwszej osoby poprzez sprawdzenie właściciela zainfekowanego pliku.

W związku z tym, że zazwyczaj ransomware przechodzi do działania wkrótce po pojawieniu się na komputerze, możliwe będzie również określenie co wywołało atak. Wystarczy dowiedzieć się, co użytkownik robił na krótko przed infekcją.

Pytania, które należy zadać użytkownikowi, to:

  • Czy otwierał jakieś dokumenty?
  • Czy otwierał załączniki w mailu lub klikał w zawarte w mailu linki?
  • Czy odwiedzał strony, których zazwyczaj nie odwiedza?

Po rozpoznaniu sytuacji, dobrym rozwiązaniem jest powiadomienie pozostałych użytkowników, na co powinni zwracać uwagę i czego bezwzględnie nie powinni robić. Zastanów się, kogo jeszcze powinno się powiadomić i to zrób.

Krok 3: Odzyskanie

Spróbuj odzyskać zaszyfrowane dane

Niestety, w większości przypadków, po zaszyfrowaniu plików, nie da się ich odzyskać bez klucza deszyfrującego. Wspominaliśmy już, że czasami badacze są w stanie znaleźć usterkę w kodzie malware i stworzyć narzędzie do odszyfrowania danych. Dzięki naszemu zestawieniu, można znaleźć deszyfratory do wielu rodzajów zagrożeń.

Jeśli narzędzie deszyfrujące jest niedostępne, jedynym wyjściem jest przywrócenie danych z backupu. Oczywiście tylko w przypadku, gdy taka kopia zapasowa istnieje. Z badań wynika, że jedynie w 42% wypadków możliwe było pełne odzyskanie danych. Główne powody, dla których przywrócenie nie może zostać wykonane lub kończy się połowicznym sukcesem, to:

  • Brak regularnych testów systemu backupu (np. testowe odtworzenia)
  • Pliki kopii zapasowych również zostały zaszyfrowane
  • Część danych od ostatniego backupu została utracona

Zdecyduj, czy zapłata okupu jest konieczna

Jeśli nie udało się odszyfrować plików ani odzyskać danych z kopii zapasowej, stajemy przed ciężką decyzją. Chociaż niezalecane jest płacenie okupu, to decyzja podyktowana musi być sytuacją konkretnej firmy.

Musisz mieć świadomość tego, na ile istotny dla firmy jest niezakłócony dostęp do danych i powinieneś mieć opracowane scenariusze działań na różne okazje. Dzięki temu nie będziesz zmuszony podejmować decyzji w zdenerwowaniu.

Przeinstaluj zainfekowane maszyny

Najbezpieczniejszym rozwiązaniem jest całkowite wyczyszczenie zainfekowanych urządzeń. Sformatuj dyski i zainstaluj ponownie system „od zera”. Następnie przywróć dane z backupu. Jeśli nie dysponujesz kopią zapasową, możesz skorzystać z narzędzi do usuwania malware (np. MSRT Microsoftu). Musisz jednak zdawać sobie sprawę, że operacja ta, może pominąć część niebezpiecznych plików i infekcja rozpocznie się na nowo.

Krok 4: Wzmocnienie zabezpieczeń

Przeprowadź analizę po ataku

W momencie, gdy atak został powstrzymany i wszystkie dane, możliwe do odzyskania, przywrócone, biznes powoli wraca do normy. Teraz ważnym jest, aby spokojnie przeprowadzić pełną ocenę incydentu: co się stało, jaka była reakcja, czy pojawiły się jakieś nieprzewidziane problemy lub wykryte dodatkowe podatności.

Rozpoczynając od momentu skutecznego ataku, staraj się odtworzyć dlaczego do niego doszło. Zidentyfikuj jakie podatności zostały wykorzystane i zastanów się jakie kroki należy podjąć, aby je wyeliminować lub ograniczyć.

Jako przykładem posłużymy sie infekcją za pomocą maila typu phishing. Co spowodowało, że atak się powiódł?

Pierwsze co się nasuwa na myśl to fakt, że użytkownik dał się oszukać. Może warto zorganizować dla pracowników szkolenie na temat zagrożeń? Zastanów się jakie działania musisz podjąć, aby ograniczyć skutki pomyłki pracownika. Czy możliwe jest wyłączenie wykonywania makr w MS Office?

Dodatkowo, jeśli wykorzystujesz filtrowanie poczty email i antywirusa najwyraźniej nie jest ono skuteczne. Czy możliwa jest taka zmiana konfiguracji tych rozwiązań, aby stały się skuteczniejsze? Czy możliwe jest zastosowanie dodatkowych metod ochrony urządzeń końcowych?

Jaki był zasięg infekcji? Jakie działania musisz podjąć, aby ograniczyć go na przyszłość?

Czy byłeś w stanie skutecznie odzyskać dane? Czy należy wprowadzić jakieś zmiany do polityki backupów?


Czy wiesz, że?

50% ofiar ransomware staje się obiektem kolejnych ataków

Skuteczny atak podnosi ryzyko kolejnych prób. Dlatego bardzo ważne jest zadanie powyższych pytań. Dzięki temu jesteś w stanie oszacować skuteczność ochrony i wprowadzić zmiany podnoszące bezpieczeństwo.

Dlaczego zapobieganie jest kluczowe?

Stosowanie systemów ochrony antywirusowej oraz systemów backupu ma na celu ochronę firmy przed utratą lub kradzieżą danych oraz ograniczenie czasu przestoju. Skuteczne wykrywanie zagrożeń i możliwość przywrócenia danych z backupu jest kluczowa, ale w przypadku ransomware nie zawsze wystarczająca. Dzieje się tak z kilku powodów:

  1. Na kopiach zapasowych nie zawsze można polegać – nawet posiadając backupy, jedynie 42% firm było w stanie odzyskać dane.
  2. Backup nie chroni przed kradzieżą danych – ogranicza on jedynie rozmiar utraty danych, nie pomoże w przypadku ich kradzieży. Jest to kluczowe przy tworzeniu polityki zabezpieczania danych krytycznych.
  3. Czas pracowników IT kosztuje – zakres działań niezbędnych do usunięcia infekcji zawsze będzie większy (i bardziej kosztowny) od nakładów na właściwe zabezpieczenie.
  4. Skuteczny atak oznacza przestuj – być może wystarczy kilka godzin na przywrócenie do działania systemu, ale te kilka godzin w gorącym okresie dla firmy może doprowadzić do niedotrzymania terminów i strat dla firmy.

Na zakończenie

Na koniec tego obszernego opracowania na temat ransomware, zachęcamy do skorzystania z opracowanej przez nas listy kontrolnej, która pomoże przy opracowywaniu lub aktualizowaniu polityk bezpieczeństwa w firmie.