Восстановление данных после атаки программ-вымогателей: 4 фактора, которые следует учитывать

Атаки программ-вымогателей продолжают угрожать предприятиям, местным органам власти и некоммерческим организациям, и вряд ли эта тенденция изменится в ближайшее время.

Согласно общедоступным данным, с 2014 года более 400 городских и окружных правительств подверглись атакам программ-вымогателей. Частные организации не всегда сообщают об атаках, но Агентство Европейского союза по кибербезопасности (ENISA) сообщило о 150-процентном росте заражений программами-вымогателями в период с апреля 2020 года по июль 2021.

Когда злоумышленники успешно развертывают программы-вымогатели, ваши возможности ограничены: восстановить данные из резервной копии, заплатить выкуп или найти профессиональные варианты восстановления данных программ-вымогателей.

Как ведущий поставщик услуг по восстановлению программ-вымогателей, Datarecovery.com может предоставить рекомендации, необходимые вашей организации для принятия соответствующих мер. Прежде чем приступать к восстановлению после программ-вымогателей, помните об этих советах.

1 Узнайте о масштабах заражения программами-вымогателями.

В случае аварии многие предприятия предпринимают немедленные действия по восстановлению критически важных систем, но быстрое восстановление из резервной копии может иметь непредвиденные последствия.

Многие варианты программ-вымогателей нацелены на устройства резервного копирования. Злоумышленники понимают, что лучшая защита от заражения программами-вымогателями — это надежный план аварийного восстановления, а современные варианты часто имеют «неактивную стадию». Если программа-вымогатель распространяется через резервные копии (а иногда и через архивные системы), попытка восстановления может помешать быстрому решению проблемы.

Лучше всего немедленно оценить все системы хранения данных. Задокументируйте свою оценку и попытайтесь определить дату и источник инфекции. Изолируйте сети и устройства управления данными и никогда не пытайтесь восстанавливать данные (даже если резервные копии хранятся на носителе с воздушным зазором) до завершения оценки.

2 Помните, что некоторые заражения программами-вымогателями можно легко устранить.

Программа-вымогатель работает путем шифрования данных, а некоторые варианты используют методы шифрования, которые можно легко обойти. Белые хакеры создали множество инструментов для борьбы с распространенными инфекциями, и с помощью профессиональной компании по восстановлению данных вы сможете восстановить зашифрованные данные без потери времени безотказной работы.

Распространенные варианты программ-вымогателей с общедоступными расшифровщиками включают:

• Прометей
• LockFile
• Зигги
• Синак
• Аваддон
• Судить
• АтомСило

Это не исчерпывающий список. Бесплатные инструменты дешифрования доступны в No More Ransom Project.

Тем не менее, мы рекомендуем соблюдать осторожность при использовании бесплатных инструментов дешифрования: для систем корпоративного уровня некоторые инструменты могут потребовать расширенных методов восстановления, а в сложных системах у вас может не быть второго шанса на восстановление без потерь. Работайте с опытным партнером по программам-вымогателям, чтобы обеспечить наилучшее возможное восстановление.

3 Целевые атаки программ-вымогателей требуют специальных ресурсов.

Некоторые варианты программ-вымогателей предназначены для определенных архитектур. Как правило, восстановление данных невозможно с помощью общедоступных средств расшифровки.

Группа вымогателей BlackMatter, которая утверждает, что является преемницей печально известных групп Darkside и REvil, нацелена на корпоративные сети с доходом в 100 миллионов долларов и более. Группы «программы-вымогатели как услуга» (RaaS) предлагают компенсацию отдельным лицам в крупных организациях, создавая лазейки, повышающие их шансы на успешное проникновение.

Общие цели для групп программ-вымогателей включают:

• Компании розничной торговли и электронной коммерции
• Университеты и другие учебные заведения
• Поставщики профессиональных и юридических услуг
• Центральные, государственные и местные органы власти
• Поставщики программного обеспечения как услуги (SaaS)

Целевые атаки часто влекут за собой выкуп в размере 100 000 долларов и более. Решения для восстановления данных различаются в зависимости от степени атаки, ИТ-архитектуры организации и сложности шифрования программ-вымогателей.

4 Выплата выкупа не всегда предотвращает потерю данных.

Когда программы-вымогатели нацелены на критически важные системы, очевидное решение — заплатить выкуп. К сожалению, это не надежная стратегия.

Согласно одному отчету за 2021 год, только 9% людей, которые платят злоумышленникам-вымогателям, возвращают все свои данные. Программа-вымогатель не предназначена для восстановления, и процесс шифрования может сделать важные файлы (например, базы данных) непригодными для использования.

Выплата выкупа также дает злоумышленникам мощные стимулы для проведения дополнительных атак. Во многих случаях компании подвергались множественным заражениям программами-вымогателями за короткие промежутки времени — часто от одной и той же группы злоумышленников.

Лучшая защита от программ-вымогателей — это надежная стратегия аварийного восстановления.

Благодаря резервному копированию с воздушным зазором большинство организаций могут избежать значительной потери данных из-за заражения программами-вымогателями. Постоянно отслеживая признаки заражения, вы можете быстро реализовать свою стратегию аварийного восстановления, но даже при наличии надежной защиты атаки могут поставить под угрозу ключевые системы.

Вторая лучшая защита — это опытный партнер по восстановлению данных. Datarecovery.com располагает лабораториями полного цикла с запатентованными инструментами расшифровки, а наши инженеры имеют многолетний опыт работы с корпоративными системами. Являясь ведущим в отрасли поставщиком услуг по восстановлению программ-вымогателей, мы располагаем техническими ресурсами и опытом для быстрого восстановления ваших данных, что сокращает время простоя в случае аварии.