Poniedziałek rano. Gdzieś w Polsce. Firma średniej wielkości. Telefon do sekretariatu od lekko spóźnionego, ale zmierzającego do biura, właściciela.
– „Trzeba wydrukować kontrakt, w południe mamy spotkanie. Poproszę też
o aktualizację spotkań handlowców na ten tydzień. Zaraz zaakceptuję przelewy.”
– „Szefie, ale komputery nie działają…”
– „Jak to nie działają?! To trzeba wezwać informatyka!”
– „Tu się wyświetla, że trzeba zapłacić … okup! 500 euro”
Brak dostępu do bazy klientów, do wrażliwych danych, do poczty elektronicznej, do systemu.
Paraliż. Stres. Bezsilność.
Powrót do normalności kosztuje! Jest na to coraz mniej czasu… Płacić?
Eksperci mówią zgodnie, że nie, ale firmy zwykle płacą. Ataki ransomware zdarzają się średnio co 10 sekund. Problem jest więc nie tylko poważny, ale i powszechny. Najczęściej na celowniku są firmy małe i średnie. Dlaczego? Zwykle są łatwym celem, ponieważ ich poziom zabezpieczeń ogranicza się często do podstawowego oprogramowania.
Jak to się stało?
Przez nieuwagę. Przez emocje. Przez ciekawość. Bo ktoś otworzył załącznik w korespondencji przychodzącej. Chodziło o niezapłaconą fakturę, informację z urzędu, albo oświadczenie prezesa konkurencyjnej firmy. Wyglądało wiarygodnie, wzbudziło ciekawość, potrzebę działania. Hakerzy wkładają wiele pracy w to, żeby takie było. To jedno kliknięcie dzieli ich od danych i od pieniędzy.
Potem wszystko dzieję się już błyskawicznie. Złośliwe oprogramowanie zostaje aktywowane i zaczyna szyfrować pliki. Blokuje dostęp do systemu i danych, a następnie publikuje żądanie okupu. Na dokonanie płatności jest wyznaczony czas. Kwota podana jest w walucie konwencjonalnej albo kryptowalucie np. bitcoinach.
Brak dostępu i co teraz?
Zapłacić czy nie? Potrzeba szybkiego zaradzenia sytuacji jest ogromna i znakomita część zaatakowanych firm decyduje się wpłacić okup. Większość odzyskuje dostęp do swoich zasobów. Ale nie wszyscy. Takie zdarzenie pociąga za sobą nie tylko koszty finansowe, ale też wizerunkowe. Cyberprzestępcy zyskują dostęp do wrażliwych danych i nie wiadomo jak je wykorzystają. Koszty przestoju firmy i obawa, że ponownie staniemy się celem takiego ataku. nie poprawiają sytuacji.
W takim przypadku najskuteczniej jest skorzystać z kopii zapasowej i w ten sposób przywrócić pliki. Oczywiście wcześniej należy pozbyć się złośliwego oprogramowania. A potem już tylko czerpać satysfakcję z tego, że hakerzy nie osiągnęli swojego celu.
A co jeśli backupu nie mamy?
Lepiej zapobiegać niż leczyć
Ochrona przed atakami ransomware powinna być przede wszystkim konsekwentna. Należy wdrożyć zasadę ograniczonego zaufania do wszystkich nadawców plików, których się nie spodziewaliśmy i pochopnie tej korespondencji nie otwierać. Trzeba też cyklicznie wykonywać backupy. Warto też rozważyć profesjonalną ochronę przed tego typu atakami. Tylko w ten sposób możemy sobie zagwarantować bezpieczeństwo kopii zapasowych przechowanych lokalnie lub w chmurze, szybkie wykrywanie ataku i skuteczne jego powstrzymywanie, a także odzyskiwanie zablokowanych plików.
Jak to działa?
W momencie „kliknięcia w załącznik” rozpoczyna się działanie złośliwego oprogramowania. Może ono wykorzystać sieć firmową i skanować ją w poszukiwaniu dostępnych zasobów danych, może podjąć próbę dotarcia do zastrzeżonych obszarów pamięci operacyjnej, może zająć się zmianą formatu i struktury plików na dysku. Na tym etapie – uznając takie działania za podejrzane – powinna już zareagować aplikacja blokująca tego typu ataki.
Rozwiązania służące ochronie przed programami typu ransomware powinny stale wykrywać wzorce w sposobach, w jakie pliki danych są zmieniane w systemie. W ten sposób mogą odróżnić te typowe, standardowe zmiany od potencjalnie złośliwych i zareagować. Usługa Acronis Active Protection 2.0* właśnie tak działa. Dlaczego to takie istotne? Zdarza się, że nasz system atakuje nowe złośliwe oprogramowanie, nieznane wcześniej. Wykorzystuje nieznane dotąd luki (Day Zero Attack). W takiej sytuacji programy, które bazują na zdefiniowanych wcześniej sygnaturach zwyczajnie okazują się nieskuteczne. Acronis Active Protection 2.0 zareaguje właściwie.
Wykrywa, chroni i odzyskuje
Jeśli dochodzi do szyfrowania plików, aplikacja Acronis – wykrywa i zatrzymuje ten proces. Jest rozwiązaniem do tworzenia kopii zapasowych, więc ma do nich dostęp i potrafi je chronić przed niepowołanym dostępem. Dzięki temu sprawnie może odzyskać dane, które zostały uszkodzone lub zaszyfrowane bez względu na rozmiar plików. W ten sposób przywraca wszystko do normalności.
Płacić?
Tak. Za ochronę.
*Aplikacja Acronis Active Protection 2.0 jest częścią platformy Acronis Cyber Backup oraz Acronis Cyber Protect Cloud
Jeśli chcesz skorzystać z rozwiązań przedstawionych w artykule, zapraszamy do kontaktu z najbliższym partnerem firmy Acronis: https://www.acronis.com/pl-pl/partners/locator/