Ransomware: программа-вымогатель (шифровальщик)

Ransomware (от ransom — выкуп) — это вредоносная программа-вымогатель, которая шифрует файлы на компьютерах и серверах жертвы, а затем требует выкуп за ключ расшифровки. В русскоязычной практике её называют «шифровальщик». Для бизнеса ransomware — один из самых разрушительных классов угроз: за несколько часов он способен остановить работу всей компании, заблокировав доступ к базам, документам и сервисам.

Как работает

Современная атака шифровальщика — это, как правило, не единичный вирус, а целевая операция в несколько этапов:

• Проникновение. Злоумышленник получает первичный доступ в сеть (через фишинг, открытый RDP или уязвимость).
• Закрепление и разведка. Атакующий неделями может находиться внутри: изучает сеть, повышает привилегии, находит ценные данные и резервные копии.
• Отключение защиты. Перед запуском шифрования он старается отключить антивирус и удалить или повредить доступные бэкапы, чтобы лишить жертву пути к восстановлению.
• Шифрование. Запускается одновременно на максимуме машин. Файлы становятся нечитаемыми, на экранах появляется записка с требованием выкупа в криптовалюте.
• Двойное вымогательство. Многие группировки перед шифрованием выгружают данные и угрожают опубликовать их, если не заплатить, — дополнительное давление помимо самой блокировки.

Векторы заражения

Подавляющее большинство атак заходит одним из трёх путей:

• Фишинг. Письмо с вредоносным вложением или ссылкой, которое открыл сотрудник. Самый массовый вектор.
• Открытый RDP (Remote Desktop Protocol — протокол удалённого рабочего стола). Порт удалённого доступа, выставленный в интернет со слабым или подобранным паролем.
• Эксплуатация уязвимостей. Непропатченные ОС, серверы, VPN-шлюзы и сетевое оборудование с известными уязвимостями.

Реже — заражённые съёмные носители и компрометация через подрядчика, имеющего доступ в сеть.

Защита

Защита от ransomware строится как многослойная оборона — ни один продукт сам по себе не закрывает риск полностью:

• Резервное копирование по схеме 3-2-1 с хотя бы одной изолированной (офлайн или иммутабельной) копией — главный и последний рубеж.
• Сегментация сети — ограничивает распространение шифрования между зонами.
• Своевременные обновления ОС, ПО и прошивок — закрывают известные уязвимости.
• Многофакторная аутентификация (MFA) — обесценивает украденный пароль на VPN, почте и админских учётках.
• Корпоративный антивирус с поведенческим анализом — см. корпоративный антивирус и межсетевой экран NGFW на периметре.
• Ограничение RDP — удалённый доступ только через VPN с MFA, без прямого выхода в интернет.
• Обучение сотрудников распознаванию фишинга.

Восстановление

Если атака состоялась, восстановление зависит от готовности заранее. Ключевые шаги: изолировать заражённые машины от сети, отрезать доступ к резервным копиям, зафиксировать инцидент, найти чистый бэкап, закрыть точку входа атакующего и только после этого восстанавливаться — иначе зашифруют повторно.

Скорость и полнота возврата к работе описываются двумя метриками — RPO и RTO: сколько данных потеряно (на какой момент есть чистая копия) и за какое время сервисы поднимутся. Если изолированной проверенной копии нет, выбор сводится к плохому и очень плохому, поэтому бэкап 3-2-1 — основа всей стратегии защиты от шифровальщиков.

По теме

Развёрнутый практический разбор — профилактика, действия при атаке и роль IT-аутсорсера — в статье блога: Шифровальщики (ransomware): как защитить бизнес и что делать при атаке.