Відновлення даних від атаки програм-вимагачів: 4 фактори, які слід враховувати

Атаки програм-вимагачів продовжують загрожувати підприємствам, місцевим органам влади та некомерційним організаціям — і ця тенденція навряд чи зміниться найближчим часом.

Згідно з відкритими даними, з 2014 року уряди понад 400 міст і округів зазнали атак програм-вимагачів. Приватні організації не завжди повідомляють про атаки, але Агентство Європейського Союзу з кібербезпеки (ENISA) повідомило про зростання кількості заражень програмами-вимагачами на 150% з квітня 2020 року до Липень 2021.

Коли зловмисники успішно розгортають програми-вимагачі, ваші можливості обмежені: відновіть дані з резервної копії, сплатіть викуп або шукайте професійні варіанти відновлення даних програм-вимагачів.

Як провідний постачальник послуг з відновлення програм-вимагачів, Datarecovery.com може надати вказівки, необхідні вашій організації для вжиття відповідних заходів. Перш ніж намагатися відновити програму-вимагач, запам’ятайте ці поради.

1 Зрозумійте ступінь зараження програмою-вимагачем.

У разі аварії багато підприємств негайно вживають заходів для відновлення критично важливих систем, але швидке відновлення з резервної системи може мати непередбачені наслідки.

Багато варіантів програм-вимагачів націлені на резервні пристрої. Зловмисники розуміють, що найкращим захистом від зараження програмами-вимагачами є потужний план аварійного відновлення, а сучасні варіанти часто мають «сплячу стадію». Якщо програма-вимагач поширюється через резервні копії (а іноді й архівні системи), спроба відновлення може перешкодити швидкому вирішенню.

Найкраще – негайно оцінити всі системи зберігання даних. Задокументуйте свою оцінку та спробуйте визначити дату та джерело зараження. Ізолюйте мережі та пристрої керування даними та ніколи не намагайтеся відновити дані (навіть якщо резервні копії зберігаються на носії з повітряним проміжком), доки оцінка не завершиться.

2 Пам’ятайте, що деякі зараження програмами-вимагачами можна легко усунути.

Програмне забезпечення-вимагач працює шляхом шифрування даних, а деякі варіанти використовують методи шифрування, які можна легко обійти. Хакери створили численні інструменти для вирішення поширених інфекцій, і за допомогою професійної компанії з відновлення даних ви зможете відновити зашифровані дані без втрати тривалої роботи.

Серед поширених варіантів програм-вимагачів із загальнодоступними дешифраторами:

• Прометей
• LockFile
• Зіггі
• Синак
• Аваддон
• Суддя
• AtomSilo

Це неповний список. Безкоштовні інструменти дешифрування доступні на No More Ransom Project.

Однак ми рекомендуємо бути обережними під час використання безкоштовних інструментів дешифрування: для систем корпоративного рівня деякі інструменти можуть вимагати вдосконалених методів відновлення, а на складних системах ви можете не отримати другого шансу на відновлення без втрат. Працюйте з досвідченим партнером-вимагачем, щоб забезпечити найкраще відновлення.

3 Цільові атаки програм-вимагачів потребують спеціальних ресурсів.

Деякі варіанти програм-вимагачів призначені для націлювання на певні архітектури. Як правило, відновлення даних неможливо за допомогою загальнодоступних інструментів дешифрування.

Група програм-вимагачів BlackMatter, яка стверджує, що є спадкоємицею сумнозвісних груп Darkside і REvil, націлена на корпоративні мережі з прибутком від 100 мільйонів доларів США. Групи «вимагачів як послуги» (RaaS) пропонують компенсацію окремим особам у великих організаціях, створюючи бекдори, які збільшують їхні шанси на успішне проникнення.

Загальні цілі груп програм-вимагачів включають:

• Компанії роздрібної торгівлі та електронної комерції
• Університети та інші навчальні заклади
• Провайдери професійних та юридичних послуг
• Центральні, державні та місцеві органи влади
• Постачальники програмного забезпечення як послуги (SaaS).

Цілеспрямовані атаки часто призводять до отримання викупу в розмірі 100 000 доларів США або більше. Рішення для відновлення даних відрізняються залежно від масштабу атаки, ІТ-архітектури організації та складності шифрування програм-вимагачів.

4 Сплата викупу не завжди запобігає втраті даних.

Коли програми-вимагачі націлені на критично важливі системи, очевидним рішенням є сплата викупу. На жаль, це не надійна стратегія.

Згідно з одним звітом за 2021 рік, лише 9% людей, які платять зловмисникам програм-вимагачів, отримують назад усі свої дані. Програми-вимагачі не призначені для відновлення, і процес шифрування може зробити важливі файли (наприклад, бази даних) непридатними для використання.

Виплата викупу також дає злим акторам сильні стимули для подальших атак. У багатьох випадках компанії заражалися кількома програмами-вимагачами протягом короткого періоду часу — часто від однієї групи зловмисників.

Найкращим захистом від програм-вимагачів є ефективна стратегія аварійного відновлення.

За допомогою резервного копіювання з розривом повітря більшість організацій можуть уникнути значної втрати даних через зараження програмами-вимагачами. Постійно відстежуючи ознаки зараження, ви можете швидко реалізувати свою стратегію аварійного відновлення, але навіть за наявності надійного захисту атаки можуть скомпрометувати ключові системи.

Другим найкращим захистом є досвідчений партнер із відновлення даних. Datarecovery.com керує лабораторіями з повним набором послуг із запатентованими інструментами дешифрування, а наші інженери мають десятиліття спільного досвіду роботи з корпоративними системами. Як провідний у галузі постачальник відновлення програм-вимагачів, ми маємо технічні ресурси та досвід, щоб швидко повернути ваші дані, обмеживши час простою в разі катастрофи.