Тема не новая, известны методы защиты, но целые компании снова и снова становятся жертвами этого вируса.

🔎Шифровальщики попадают в инфраструктуру компании через почту, песочницы, со слабо защищенных точек сети, по RDP, при  установке дополнительного обработчика от «доверенной» компании и даже из подарочных USB-носителей.

❓Какие есть методы защиты от воздействия шифровальщиков?

🎯Правильная организация системы резервного копирования. Она:

   🔸находится в отдельном контуре;

   🔸имеет отдельные учетные записи для доступа;

   🔸имеет backupы локальные, сетевые и съемные;

🎯Ограничение прав доступа;

🎯Запрет на запуск стороннего кода в системе;

🎯Наличие белого листа разрешенных приложений;

🎯На постоянной основе нужно напоминать сотрудникам о возможности рассылки фишинговых писем.

☝️Обратите внимание на время хранения и частоту backupов. Возможно перезатирание данных уже зашифрованными. Чтобы избежать этого,  делаются долгие копии на внешних носителях (запись каждого месяца, года должна храниться вне системы). Это поможет и при расследованиях полугодовой давности, и при восстановлении незараженных и незашифрованных данных.

❓Что делать, если данные уже зашифрованы?

✅Если в компании есть специалисты ИБ и регламент, в котором четко прописан порядок действий, следовать ему. 

Если это компания без специалистов ИБ:

⚔️По возможности выключить всё, что можно не от сети, а физически, особенно если на устройствах хранится важная информация. Предварительно сделать дамп памяти, чтобы потом провести Forensic-анализ;

⚔️Подключиться к системе, которая не заражена, начиная с данных, которые нужны сейчас. Подключаться физически с диска, подсоединив его как второй.

⚔️Проверить, что на компьютере находится, есть ли на нем вирусы, сделать backup.

⚔️Определить, какая часть инфраструктуры может быть задета еще, потому что шифровальщики чаще всего возвращаются.

⚔️Если есть резервные копии, то систему нужно обезопасить(снести ОС), восстановить и запускать в работу по одному компьютеру, проверяя их.