Ransomware stoi na czele listy zagrożeń dla systemów IT.

Od poczÄ…tku 2016 roku widzieliÅ›my ogromny wzrost zarówno różnorodnoÅ›ci jak i czÄ™stotliwoÅ›ci ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeÅ›li już staÅ‚eÅ› siÄ™ ofiarÄ… tego szkodnika.

Kontynuujemy nasz cykl artykułów na temat Ransomware.

W pierwszej części ogólnie omówiliÅ›my czym jest ransomware, w drugiej – opisaliÅ›my jak dziaÅ‚a. Ostatnio omówiliÅ›my metody ochrony przed zagrożeniem. W dzisiejszej części przedstawimy co zrobić, jeÅ›li padliÅ›my już ofiarÄ… infekcji.

Omówimy kroki, które należy natychmiast podjąć, jeśli firma padła ofiarą ataku ransomware,

Podobnie jak w przypadku każdego incydentu bezpieczeństwa, podstawą jest spokój i systematyczne podejście do problemu. Informacje podane w tym artykule pozwolą na przygotowanie podstawowego planu działania na wypadek infekcji.

Krok 1: Izolacja

Odłącz zainfekowane maszyny od sieci i zablokuj dostęp do dysków sieciowych

W przypadku ransomware, liczy się przede wszystkim czas. O ile inne cyberataki skupiają się na metodach ukrycia się w celu długotrwałego dostępu do przejętych systemów, o tyle ransomware ma na celu zaszyfrowanie jak największej ilości danych w jak najkrótszym czasie.

Z tego powodu, w zależności od tego kiedy odkryłeś infekcję, możesz mieć do czynienia z zarażeniem jednego lub wielu komputerów i użytkowników. Pierwszym krokiem jest odseparowanie wszystkich wykrytych zainfekowanych urządzeń poprzez odpięcie ich od sieci oraz WiFi. Trzeba pamiętać, że niektóre warianty infekcji mają zdolność rozsyłania się poprzez sieciowe zasoby dyskowe, dlatego należy czasowo wyłączyć dostęp do dysków sieciowych i przeprowadzić kontrolę serwerów plikowych.

Niestety, w momencie wykrycia, dane będą najprawdopodobniej już zaszyfrowane. Zanim jednak skupimy się na próbach ich odzyskania powinniśmy jeszcze przeprowadzić analizę sytuacji.

Określenie zakresu infekcji

Większość zagrożeń tego typu dokonuje zmian w zaszyfrowanych plikach (np. zmiana rozszerzenia). Często tworzą również pliki README.txt lub README.html z instrukcją zapłaty okupu. Skanowanie sieci pod kątem tych znaczników pozwoli na określenie zasięgu ataku. Odnalezienie wszystkich zainfekowanych urządzeń jest kluczowe do powodzenia dalszych działań. Pozostawienie chociaż jednego zainfekowanego komputera zwiększa ryzyko dalszego rozprzestrzeniania się infekcji.

 Krok 2: Analiza

Określenie wariantu infekcji

Proces ten jest o tyle istotny, że niektóre zagrożenia zostaÅ‚y przebadane przez specjalistów i opracowane zostaÅ‚y narzÄ™dzia deszyfrujÄ…ce. Niektóre zostaÅ‚y zakwalifikowane jako “fake” (tak naprawdÄ™ nie szyfrujÄ… danych). Inne, z kolei, nie umożliwiajÄ… odzyskania danych pomimo wpÅ‚acenia okupu.

Nowe, zmodyfikowane rozszerzenia plików sÄ… czÄ™sto podpowiedziÄ… z jakim wariantem zagrożenia mamy do czynienia. Podobnie informacje umieszczone na ekranie z okupem – szczególnie linki lub metoda pÅ‚atnoÅ›ci. Na stronie Michaela Gillespie można przesÅ‚ać te informacje lub przykÅ‚adowy zainfekowany plik, a w wyniku otrzymamy informacjÄ™ o typie infekcji.

OstatniÄ… metodÄ… jest pytanie do “wujka Google”. Warto poszukać komunikatu o okupie, rozszerzenia lub innych objawów, z jakimi mamy do czynienia.

Określenie źródła i powodu infekcji

Aby zrozumieć, jak doszÅ‚o do ataku, musisz poznać “pacjenta ZERO” – pierwszÄ… osobÄ™ w firmie, która ulegÅ‚a zainfekowaniu. Musisz pamiÄ™tać, że nie zawsze bÄ™dzie to użytkownik, który zgÅ‚osiÅ‚ problem. W niektórych przypadkach, możliwe jest okreÅ›lenie pierwszej osoby poprzez sprawdzenie wÅ‚aÅ›ciciela zainfekowanego pliku.

W związku z tym, że zazwyczaj ransomware przechodzi do działania wkrótce po pojawieniu się na komputerze, możliwe będzie również określenie co wywołało atak. Wystarczy dowiedzieć się, co użytkownik robił na krótko przed infekcją.

Pytania, które należy zadać użytkownikowi, to:

  • Czy otwieraÅ‚ jakieÅ› dokumenty?
  • Czy otwieraÅ‚ zaÅ‚Ä…czniki w mailu lub klikaÅ‚ w zawarte w mailu linki?
  • Czy odwiedzaÅ‚ strony, których zazwyczaj nie odwiedza?

Po rozpoznaniu sytuacji, dobrym rozwiązaniem jest powiadomienie pozostałych użytkowników, na co powinni zwracać uwagę i czego bezwzględnie nie powinni robić. Zastanów się, kogo jeszcze powinno się powiadomić i to zrób.

Krok 3: Odzyskanie

Spróbuj odzyskać zaszyfrowane dane

Niestety, w większości przypadków, po zaszyfrowaniu plików, nie da się ich odzyskać bez klucza deszyfrującego. Wspominaliśmy już, że czasami badacze są w stanie znaleźć usterkę w kodzie malware i stworzyć narzędzie do odszyfrowania danych. Dzięki naszemu zestawieniu, można znaleźć deszyfratory do wielu rodzajów zagrożeń.

Jeśli narzędzie deszyfrujące jest niedostępne, jedynym wyjściem jest przywrócenie danych z backupu. Oczywiście tylko w przypadku, gdy taka kopia zapasowa istnieje. Z badań wynika, że jedynie w 42% wypadków możliwe było pełne odzyskanie danych. Główne powody, dla których przywrócenie nie może zostać wykonane lub kończy się połowicznym sukcesem, to:

  • Brak regularnych testów systemu backupu (np. testowe odtworzenia)
  • Pliki kopii zapasowych również zostaÅ‚y zaszyfrowane
  • Część danych od ostatniego backupu zostaÅ‚a utracona

Zdecyduj, czy zapłata okupu jest konieczna

Jeśli nie udało się odszyfrować plików ani odzyskać danych z kopii zapasowej, stajemy przed ciężką decyzją. Chociaż niezalecane jest płacenie okupu, to decyzja podyktowana musi być sytuacją konkretnej firmy.

Musisz mieć świadomość tego, na ile istotny dla firmy jest niezakłócony dostęp do danych i powinieneś mieć opracowane scenariusze działań na różne okazje. Dzięki temu nie będziesz zmuszony podejmować decyzji w zdenerwowaniu.

Przeinstaluj zainfekowane maszyny

Najbezpieczniejszym rozwiÄ…zaniem jest caÅ‚kowite wyczyszczenie zainfekowanych urzÄ…dzeÅ„. Sformatuj dyski i zainstaluj ponownie system “od zera”. NastÄ™pnie przywróć dane z backupu. JeÅ›li nie dysponujesz kopiÄ… zapasowÄ…, możesz skorzystać z narzÄ™dzi do usuwania malware (np. MSRT Microsoftu). Musisz jednak zdawać sobie sprawÄ™, że operacja ta, może pominąć część niebezpiecznych plików i infekcja rozpocznie siÄ™ na nowo.

Krok 4: Wzmocnienie zabezpieczeń

Przeprowadź analizę po ataku

W momencie, gdy atak został powstrzymany i wszystkie dane, możliwe do odzyskania, przywrócone, biznes powoli wraca do normy. Teraz ważnym jest, aby spokojnie przeprowadzić pełną ocenę incydentu: co się stało, jaka była reakcja, czy pojawiły się jakieś nieprzewidziane problemy lub wykryte dodatkowe podatności.

Rozpoczynając od momentu skutecznego ataku, staraj się odtworzyć dlaczego do niego doszło. Zidentyfikuj jakie podatności zostały wykorzystane i zastanów się jakie kroki należy podjąć, aby je wyeliminować lub ograniczyć.

Jako przykładem posłużymy sie infekcją za pomocą maila typu phishing. Co spowodowało, że atak się powiódł?

Pierwsze co siÄ™ nasuwa na myÅ›l to fakt, że użytkownik daÅ‚ siÄ™ oszukać. Może warto zorganizować dla pracowników szkolenie na temat zagrożeÅ„? Zastanów siÄ™ jakie dziaÅ‚ania musisz podjąć, aby ograniczyć skutki pomyÅ‚ki pracownika. Czy możliwe jest wyÅ‚Ä…czenie wykonywania makr w MS Office?

Dodatkowo, jeÅ›li wykorzystujesz filtrowanie poczty email i antywirusa najwyraźniej nie jest ono skuteczne. Czy możliwa jest taka zmiana konfiguracji tych rozwiÄ…zaÅ„, aby staÅ‚y siÄ™ skuteczniejsze? Czy możliwe jest zastosowanie dodatkowych metod ochrony urzÄ…dzeÅ„ koÅ„cowych?

Jaki był zasięg infekcji? Jakie działania musisz podjąć, aby ograniczyć go na przyszłość?

Czy byłeś w stanie skutecznie odzyskać dane? Czy należy wprowadzić jakieś zmiany do polityki backupów?


Czy wiesz, że?

50% ofiar ransomware staje się obiektem kolejnych ataków

Skuteczny atak podnosi ryzyko kolejnych prób. Dlatego bardzo ważne jest zadanie powyższych pytań. Dzięki temu jesteś w stanie oszacować skuteczność ochrony i wprowadzić zmiany podnoszące bezpieczeństwo.

Dlaczego zapobieganie jest kluczowe?

Stosowanie systemów ochrony antywirusowej oraz systemów backupu ma na celu ochronę firmy przed utratą lub kradzieżą danych oraz ograniczenie czasu przestoju. Skuteczne wykrywanie zagrożeń i możliwość przywrócenia danych z backupu jest kluczowa, ale w przypadku ransomware nie zawsze wystarczająca. Dzieje się tak z kilku powodów:

  1. Na kopiach zapasowych nie zawsze można polegać – nawet posiadajÄ…c backupy, jedynie 42% firm byÅ‚o w stanie odzyskać dane.
  2. Backup nie chroni przed kradzieżą danych – ogranicza on jedynie rozmiar utraty danych, nie pomoże w przypadku ich kradzieży. Jest to kluczowe przy tworzeniu polityki zabezpieczania danych krytycznych.
  3. Czas pracowników IT kosztuje – zakres dziaÅ‚aÅ„ niezbÄ™dnych do usuniÄ™cia infekcji zawsze bÄ™dzie wiÄ™kszy (i bardziej kosztowny) od nakÅ‚adów na wÅ‚aÅ›ciwe zabezpieczenie.
  4. Skuteczny atak oznacza przestuj – być może wystarczy kilka godzin na przywrócenie do dziaÅ‚ania systemu, ale te kilka godzin w gorÄ…cym okresie dla firmy może doprowadzić do niedotrzymania terminów i strat dla firmy.

Na zakończenie

Na koniec tego obszernego opracowania na temat ransomware, zachęcamy do skorzystania z opracowanej przez nas listy kontrolnej, która pomoże przy opracowywaniu lub aktualizowaniu polityk bezpieczeństwa w firmie.