Итак, произошло несчастье. Вы стали жертвой атаки ransomware. Вирус-вымогатель зашифровал ваши данные и документы, и злоумышленники требуют деньги за разблокирование. Как только ваши данные зашифрованы то перед вами встает проблема выбора: платить или не платить. Но если даже вы оплатите, то каковы гарантии что вы вернете ваши данные? И не станет ли это началом целой череды подобных атак? Ведь вас выгодно атаковать. Вы платите. В данной заметке мы с вами попробуем понять, что же все-таки делать.
Первая проблема
Первая проблема состоит в том, а действительно ли злоумышленники удовлетворятся указанной суммой платежа в биткойнах (чаще всего злоумышленники предпочитают эту валюту). А что если они потребуют денег еще и еще? Или и того хуже. Вы заплатите, а потом выяснится, что у них ключей для расшифровки нет вообще или ваши данные просто невозможно расшифровать? Думаете это маловероятно? А что если вы заплатите и не получите ничего вообще?
Вторая проблема. Сумма выкупа
Сумма выкупа всегда будет зависеть от размера вашей организации, от того сколько компьютеров и данных затронуто. Естественно, что с большей и более богатой организации запросят больше чем с маленькой и бедной. Но скорее всего эта сумма будет не заоблачной, иначе вы точно не будете платить.
Проблема третья. Время.
Чаще всего злоумышленники будут ограничивать вас во времени принятия решения. А значит продумать стратегию поведения нужно заранее. Заранее понять будете ли вы платить вообще. Или определить максимальную сумму выкупа, которую вы готовы заплатить, а также кто будет принимать решение о возможном выкупе.
Проблема четвертая. Влияние атаки на ваш бизнес
После объединения компонента KillDisk с вирусом-вымогателем вопросы встали куда острее. Теперь вы можете получить не только заблокированные данные, но фактически полностью зашифрованный жесткий диск. Если у вас таким вредоносным ПО затронут один компьютер, то это плохо, но ведь возможно, что у вас поражена вся внутренняя сеть.
Проблема пятая. Какова политика вашей организации?
Надеюсь в вашей организации существует план восстановления после аварии? А может стоило бы в перечень возможных аварий добавить и возможное заражение ransomware? Если у вас по какой-то причине до сих пор нет подобной политики, рекомендуется как можно быстрее продумать этот вопрос. Сегодня существует масса шаблонов подобной политики и воспользоваться одним из них проблем не составляет.
Проблема шестая. Качество резервных копий
Никто не задумывался о том, а насколько хороши ваши резервные копии? Как быстро и качественно вы сможете все восстановить? Когда в последний раз вы проверяли качество копий? Существует ли у вас подробная инструкция по восстановлению?
Если у вас качественные копии и ваш персонал обучен восстановлению, то вы можете вздохнуть свободнее. Но с другой стороны, если вы восстанавливаете данные из облака или по сети, то падение канала может привести к полной невозможности восстановления. Может проще все же иметь не только облачную копию, но и набор для восстановления оффлайн?
Когда речь заходит о восстановлении данных, то первый вопрос, который задаю я, звучит приблизительно так. А есть ли у вашей ночной охраны телефоны тех, кого нужно вызвать в случае чрезвычайной ситуации. И второй вопрос. Может это будет звучать глупо, но кто оплатит вызов такси? У охраны есть на это деньги? В каком-то сейфе? И последнее. Просмотрите внимательно инструкцию по восстановлению. Она написана в комиксах? Для уровня наименее подготовленного сотрудника ИТ? Если нет – перепишите! Наиболее подготовленного может просто не быть на месте. Аварии всегда происходят неожиданно!
Проблема седьмая. Очередность восстановления
Самый главный вопрос, возникающий при создании плана восстановления – а какие данные для вас реально важны. А что можно восстановить позднее.
Но этот же вопрос возникает и при организации доступа, то есть чем важнее и критичнее данные, тем сложнее должен быть доступ к ним, а значит менее вероятно их шифрование ransomware.
Проблема восьмая и наиболее важная. Фишинг
Как правило, заражение ransomware начинается с получения фишингового электронного письма. Это своеобразная точка входа для вредоноса. Несмотря на то что обучение пользователей упрощает определение фишинговых писем, стоит признать, что чаще всего, особенно в небольших и средних компаниях обучение отсутствует как таковое.
Поэтому стоит понимать, что пока ransomware выгодно, этот вид вредоносов будет процветать. Мы с вами можем уменьшить вероятность заражения, однако исключит его полностью нельзя.
А на вопрос платить или не платить отвечать вам самим. По мне – не платить. Как решите вы, я не знаю!
