Найгірший сценарій: програма-вимагач може успішно поширюватися в компанії та шифрувати дані на ПК та дисках. Після цього на екрані з'являється вимога викупу. Як компанія повинна приймати рішення після атаки програм-вимагачів? Експерти з безпеки дають поради. Коментарі від Kaspersky, G Data, Sophos, Trend Micro, Bitdefender, AV-TEST, Bitglass, Digital Guardian, Fore Nova, Radar Cyber Security, Barracuda Networks.
Зазвичай це займає лічені секунди: відкривається файл, іноді виконується сценарій, програма-вимагач запускається і відразу починає поширюватися в корпоративній мережі. Зараз у багатьох компаніях для цього найгіршого сценарію часто існує протокол надзвичайних ситуацій, який ініціює відповідні кроки та обмежує шкоду. Ці журнали також не передбачають виплату викупу, що добре.
Однак багато компаній вважають, що вони добре підготовлені до атаки програм-вимагачів; але насправді це не так. Оскільки існуючі системи безпеки часто переоцінюються або не можуть бути належним чином оцінені внутрішнім ноу-хау. Ця проблема стосується не тільки малих і середніх компаній, а й великих. Популярні атаки програм-вимагачів останніх років показують, що це так. У травні 2017 року вся країна була свідком такої атаки, коли запит на оплату програми-вимагача WannaCry відображався майже на всіх нових дисплеях Deutsche Bahn. Далі в цій статті ми перерахуємо найвідоміші атаки.
Звичайно, більшість атак відбувається під меншою аудиторією. Але завдяки GDPR та зобов’язанню повідомляти про атаку, у якій, ймовірно, стався витік даних, повідомлення стають майже щоденним явищем.
Програми-вимагачі: Zero Hour
Незалежно від того, добре чи погано підготовлена: кожна компанія є ціллю атак програм-вимагачів і може стати жертвою. Після успішної атаки компанії продовжують задавати собі ті самі питання: що ми можемо зробити зараз? Зараз заплатимо? Найпізніше, коли менеджери та фінансові експерти сядуть за стіл разом із експертами з безпеки, питання про виплату викупу стає економічним рішенням. Так сталося, наприклад, під час атаки на американського трубопровідного оператора Colonial у травні цього року. Багато систем керування трубопроводом були зашифровані, і їх довелося вимкнути. Офіційна заява: неможливо оцінити завдану системі шкоду. Тому не можна з упевненістю сказати, коли трубопровід знову буде підключено до мережі. З цієї причини Colonial Pipeline заплатив викуп у розмірі 4,4 мільйона доларів у біткойнах. Однак наступний шок стався негайно: інструменти дешифрування, надані шантажистами, лише частково усунули шкоду. В результаті компанія могла лише перезапустити трубопровід в аварійному режимі та знизити продуктивність. Подальші витрати на ремонт систем керування все ще очікуються.
Платити чи не платити?
Як і у випадку з Colonial Pipeline, компанії-вимагачі за лаштунками вирішили заплатити викуп, вважаючи, що це менше з двох зол. Особливо сміливі калькулятори в компаніях часто обчислюють гострим олівцем шкоду, яка виникає, коли певні дані втрачаються, їх потрібно вводити повторно або частини поточного бізнесу не можуть бути оброблені. Тоді сума викупу встановлюється проти цього. Деяким – неназваним – компаніям уже довелося боляче відчути, що такі розрахунки – здебільшого нісенітниця. Тому що у своєму рахунку вони забули, що заплатили за виправлення скомпрометованої системи, а невдовзі з’ясували, що зловмисники все ще мали повний доступ до систем. Перетворення та нова структура всієї корпоративної мережі була неминучою.
Відповідальні за ірландську службу охорони здоров'я HSE показали, що є інший шлях. Після потужної хакерської атаки в травні цього року важливі дані були зашифровані, тому лікарням країни довелося скасувати численні призначення на лікування. Постраждала навіть система електронних рецептів для аптек. Відповідальні особи HSE вимкнули системи та негайно взялися за відновлення систем і даних. Одразу було оприлюднено, що HSE не платитиме викуп здирникам-вимагачам, а витратить гроші на відновлення та перебудову системи. Експерти також кажуть, що це рішення значно зменшує ймовірність наступної атаки програм-вимагачів. Зловмисники в першу чергу обирають цілі, за які відомо або підозрюється, що також буде сплачено викуп.
Політичний заклик до стратегії без викупу
Тим часом проблема програм-вимагачів також прийшла в політику. Зрозуміло, що кожен сплачений долар, євро чи біткойн фінансує нові атаки. Хтось посилює атаки за допомогою програм-вимагачів і опиняється в спіралі, що постійно зростає. Тому політики вимагають покласти цьому край. Президент США Байден нещодавно зробив перший крок до стратегії нульової викупи. Було визначено, що повідомлена атака програм-вимагачів буде прирівняна до терористичної атаки. Таке збільшення важливості злочину дає змогу отримати більший доступ до ресурсів національної безпеки в Сполучених Штатах. У випадку Colonial Pipeline, наприклад, ФБР та інші установи США втрутились і відстежили платежі біткойнів шантажистам. Тоді йому вдалося повернути 2,7 із 4,4 мільйона доларів викупу у групи Darkside і зруйнувати інфраструктуру їхніх платіжних систем.
Крім того, групи APT Darkside і REvil/Sodinokibi намагалися дистанціюватися від наслідків атак Colonial Pipeline і JBS (американські м’ясопереробники) безпрецедентними заявами. За словами спеціаліста з безпеки Avast, дії уряду США навіть спричинили зникнення реклами програм-вимагачів з великих підпільних форумів. І: кажуть, що так звані ділові партнери притягнули Дарксайд до хакерського суду, щоб поскаржитися на свої збитки, де б не збирався цей суд злочинного світу.
У Великій Британії також чути голоси, які радять стратегію нульової викупи. Представники центру кібербезпеки секретної служби GCHQ навіть закликають законодавчо заборонити виплату викупу хакерам. Це єдиний спосіб знищити бізнес-модель угруповань APT, оскільки організована злочинність фінансується за рахунок викупу.
У Німеччині ведуться політичні розмови на тему кіберзахисту та програм-вимагачів, але жодних кроків, подібних до тих, що здійснюються США або частково плануються Великою Британією. Це було б необхідно, як показує цьогорічна стаття в Zeit Online: щонайменше 100 німецьких офісів, державних установ, державних клінік, міських адміністрацій і судів зазнали нападів банд програм-вимагачів за останні шість років.
Що радять компанії експерти
Ми запитали велику групу експертів з безпеки, як компаніям найкраще реагувати в разі атаки програм-вимагачів. Відгукнулися деякі так звані євангелісти від виробників безпеки, а також експерти випробувальної лабораторії АВ-ТЕСТ. Крім того, ми зібрали коментарі від виробників, які пропонують спеціальні рішення для виявлення та реагування або класичний захист мережі. Найцікавіше: деякі експерти категорично відмовляються платити в разі атаки програм-вимагачів. Інші стверджують, що прибутковість може бути вирішальним фактором, наприклад, коли існування компанії під загрозою. Нижче наведені коментарі.
Касперський-Крістіан Фанк
Крістіан Функ, керівник дослідницької та аналітичної групи в регіоні DACH компанії Kaspersky (Зображення: Kaspersky).
Коментар Крістіана Функа, керівника дослідницької та аналітичної групи Kaspersky. «За даними Bitkom, за останні два роки збиток від програм-вимагачів зріс більш ніж у чотири рази. Наш аналіз показує, що близько 20 кіберзлочинців націлені, зокрема, на високопоставлені організації та погрожували опублікувати дані як додатковий засіб тиску з 2019 року, якщо вимоги про викуп не будуть виконані. Зараз це розуміється як «полювання на велику дичину». З 767 по 2019 рік кількість таких цілеспрямованих атак зросла на 2020 відсотків. Пандемія підштовхнула багато компаній до швидкого створення та розширення адекватного доступу для домашніх офісів. Це часто призводило до слабко захищених або неправильно налаштованих систем, які зловмисники можуть використовувати як шлюзи, і є рушійною силою для значного зростання цього наступу програм-вимагачів.
«Організації високого рівня все частіше атакують цілеспрямовано»
Постраждалі не повинні платити викуп. Немає жодної гарантії, що зашифровані дані будуть відновлені, однак кіберзлочинці підтверджують свою злочинну діяльність. Щоб запобігти потенційній втраті даних, слід проводити регулярні оновлення безпеки, щоб якомога швидше усунути вразливості. Ефективне програмне забезпечення безпеки для всіх кінцевих пристроїв також захищає комп’ютери та сервери від програм-вимагачів і шкідливих програм, запобігає використанню експлойтів і ідеально сумісно з уже встановленими рішеннями безпеки. Крім того, резервні копії завжди слід робити через розумні проміжки часу». Kaspersky.de
G Data - Тім Бергхофф
Тім Бергхофф, проповідник безпеки в G DATA CyberDefense (Зображення: G Data).
Коментар Тіма Берггофа, евангеліста безпеки G DATA CyberDefense: «Є чіткі ідеї щодо того, як компанії мають боротися з програмами-вимагачами: відновити резервні копії, за потреби повідомити про випадок органу із захисту даних, подати скаргу і, головне, ніколи не платити викуп. І справді, без винятку здійснити оплату – це найгірший варіант.
«Здійснити оплату — без винятку найгірший варіант»
Однак є й причини, які можуть говорити на користь виплати в окремих випадках. Одна з таких причин — суто економічна. Коли вартість втрати виробництва, потенційних штрафів і відновлення даних значно перевищує викуп, рішення приймається швидко. Якщо збій стався, а резервної копії немає, ідея оплати очевидна. Особливо, коли компанії загрожує фінансовий крах. І це незважаючи на те, що лише з 2020 по 2021 рік вимоги про викуп зросли в середньому на 500 відсотків. Водночас різко зросла і кількість фактично здійснених платежів. Крім того, багатьох жертв кілька разів шантажують, коли злочинці шифрують дані та погрожують їх опублікувати, і роблять це, незважаючи на оплату. Підвищення стійкості – це порядок дня, особливо коли критично важливі програми, такі як Microsoft Exchange, або програмне забезпечення для керування, що використовується MSP, такими як Kaseya, стають об’єктами атак, як це сталося в останні місяці». GData.de
Софос-Майкл Вейт
Майкл Вейт, експерт із безпеки в Sophos (Зображення: Sophos).
Коментар Майкла Вейта, експерта з безпеки в Sophos «Вирішальне питання після атаки програм-вимагачів: платити чи не платити. Знову і знову компанії схильні платити великі суми викупу зловмисникам програм-вимагачів у надзвичайних ситуаціях. Є багато прикладів, коли менеджери були змушені виконувати вимоги через те, що нібито рятувальні резервні копії були зашифровані або пошкоджені. Вони хочуть відновити роботу своєї ІТ-інфраструктури якомога швидше, або вирішують платити, оскільки це здається дешевшим, ніж вартість її відновлення. Ще одна поширена причина — запобігти продажу або оприлюдненню викрадених даних. Компанія Colonial Pipeline також назвала одну з цих причин як виправдання платежу.
«Той, хто платить, повинен знати, що це не дає жодних гарантій відновлення даних»
Однак виплату викупу слід розглядати не тільки критично з юридичної точки зору. Слід знати, що це не дає жодних гарантій відновлення даних. У звіті про стан програм-вимагачів за 2021 рік Sophos виявила, що компанії змогли відновити в середньому лише 65 відсотків своїх даних після сплати викупу. Лише 8 відсотків компаній повернули всі свої дані, а 29 відсотків змогли заощадити менше половини завдяки оплаті. На додаток до викупу слід враховувати високі супутні та непрямі збитки. Середня вартість простого відновлення після атаки програм-вимагачів зросла більш ніж удвічі лише за один рік, з приблизно 390.000 970.000 євро в Німеччині до 2021 XNUMX євро в XNUMX році.
Зростання кримінальної активності, креативності та інтелекту зловмисників неможливо стримати, події останніх кількох років описують протилежне. Однак існує багато і часто невикористаних можливостей для зменшення потенціалу ризику.
Компанії чи організації не потрібно спочатку атакувати, щоб зайняти сильніші позиції в сфері кібербезпеки. Тепер вам слід витратити час і ресурси на оцінку ситуації з безпекою, щоб потім негайно та з найвищим рівнем компетентності – як внутрішні, так і за допомогою зовнішніх спеціалістів – створити кращий і ранній захист, де це можливо. Sophos.com
Trend Micro – Удо Шнайдер,
Удо Шнайдер, європейський проповідник безпеки Інтернету речей у Trend Micro (Зображення: Trend Micro).
Коментар Удо Шнайдера, європейського проповідника безпеки Інтернету речей у Trend Micro: «Ефективний захист від програм-вимагачів має починатися як на рівні мережі, так і на кінцевій точці та виконувати три основні функції: превентивний захист від атак, швидке виявлення підозрілих інцидентів і постійну роботу.
Крім ІТ, Інтернет речей також стає жертвою програм для шантажу. Дослідження Trend Micro показує, що варіанти сімейств зловмисних програм Ryuk, Nefilim і Sodinokibi відповідальні за майже половину заражень програмами-вимагачами систем управління промисловістю у 2020 році. Тому надзвичайно важливо, щоб команди ІТ-безпеки та OT тісніше співпрацювали, щоб визначити ключові системи та залежності, такі як сумісність операційної системи та вимоги до середовища виконання, щоб розробити більш ефективні стратегії безпеки.
«На додаток до ІТ, Інтернет речей також все частіше стає жертвою програм для шантажу».
Першочерговим завданням є негайне усунення вразливостей. Якщо такої опції немає, компаніям слід використовувати сегментацію мережі та віртуальні виправлення. Крім того, необхідно обмежити спільний доступ до мережі та застосувати надійні комбінації імені користувача та пароля. Це запобігає несанкціонованому доступу шляхом підбіру облікових даних. Крім того, компанії повинні покладатися на принцип найменших привілеїв для мережевих адміністраторів і операторів. На жаль, панацеї від атак програм-вимагачів немає. Ось чому концепція безпеки, яка охоплює кілька рівнів, є надзвичайно важливою». TrendMicro.com
Bitdefender – Деніел Клейтон
Деніел Клейтон, віце-президент із глобальних операцій безпеки та підтримки Bitdefender (Зображення: Bitdefender).
Коментар Деніела Клейтона, віце-президента з операцій глобальної безпеки та підтримки в Bitdefender: «Дивлячись на заголовки, здається, що атаки програм-вимагачів є звичайною справою. Проаналізовані телеметричні дані Bitdefender у нашому Звіті про загрози для споживачів від середини квітня 2021 року підтверджують це: у 2020 році кількість атак зі зловмисним програмним забезпеченням-вимагачем зросла на 2019 відсотків порівняно з 715 роком. Злочинці все частіше погрожують не тільки зашифрувати дані, але й продати та розкрити їх. Останнє є реальною загрозою просто через зобов’язання звітувати на основі GDPR та інших нормативних актів. Тому ІТ-менеджери повинні усвідомлювати той факт, що рано чи пізно їхня компанія може стати жертвою атаки здирників. Атаки програм-вимагачів можуть бути досить простими за своєю природою, але часто складними. В останньому випадку існує високий ризик того, що хакери вже влаштувалися в мережу після того, як заплатили викуп, і фактично готуються до наступної атаки.
«Сплата викупу робить атаку успішною, а нові атаки більш імовірними»
Ви повинні платити викуп? Чітка відповідь: ні. Тому що оплата викупу робить таку атаку успішною, а нові атаки більш імовірними. Поки компанії будуть платити викупи, хакери почнуть нові побори. Ось чому профілактика, MDR і мінімізація потенційної шкоди за допомогою резервного копіювання та відновлення є критично важливими. Крім того, хакери запам’ятовують компанії, які заплатили один раз, як хороші цілі на майбутнє. Імовірність повторного злочину значно нижча для жертви, яка не платить. Bitdefender.com
AV ТЕСТ – Майк Моргенштерн
Майк Моргенштерн, технічний директор AV-TEST GmbH (Зображення: AV-TEST).
Коментар Майка Моргенштерна, технічного директора AV-TEST GmbH: AV-TEST реєструє понад 400.000 XNUMX нових зразків шкідливого програмного забезпечення щодня, і кожна компанія знає це з власного досвіду: їх постійно атакують. Програмне забезпечення-вимагач протягом кількох років було однією з «найуспішніших» бізнес-моделей для злочинців. З одного боку, атаки порівняно легко здійснити. Зловмисники купують готове програмне забезпечення-вимагач як послугу, використовують постачальників спам-послуг і атакують багато компаній одним махом без жодних зусиль.
«Неможливо переоцінити потребу в профілактиці»
Крім того, існує високий рівень страждань, які зазнають жертви, і пряме перетворення успішного зараження в номінальну вартість. Навіть якщо неодноразово дають поради не платити, деякі компанії не мають вибору. Тому тут неможливо переоцінити необхідність профілактики. Окрім стандартних заходів, таких як регулярне та повне резервне копіювання та завжди актуальні продукти захисту на клієнті та шлюзі, також слід враховувати фактор соціальної інженерії. Усі користувачі повинні пройти регулярні навчальні курси про типи атак і правильну реакцію на потенційний спам і зловмисне програмне забезпечення. AV-TEST.org
Bitglass—Анураг Кахол
Анураг Кахол, технічний директор Bitglass (Зображення: Bitglass).
Коментар Анурага Кахола, технічного директора Bitglass: «У своєму захисті від програм-вимагачів організації в першу чергу зосереджуються на припиненні будь-яких векторів атак. Для цього вони використовують інтелектуальні рішення безпеки, які позначають і блокують підозрілі електронні листи, захищають зловмисне програмне забезпечення на кінцевих точках і в хмарі та захищають несанкціонований доступ до ресурсів компанії. Однак для комплексної стратегії боротьби з програмами-вимагачами запобігання зараженню — це лише одна сторона медалі.План дій для наступного рівня ескалації — успішної атаки — рідко існує.
«Рідко існує план дій для наступного рівня ескалації – успішна атака»
Пріоритети для цього очевидні: перш за все, йдеться про збереження або якнайшвидше відновлення бізнес-операцій. Щоб підготуватися до цього, компанії повинні оцінити відповідність окремих компонентів своїх ІТ-систем для бізнес-операцій, проаналізувати різні сценарії збоїв і вжити відповідних запобіжних заходів для екстрених операцій. Захист конфіденційних даних компанії також важливий, оскільки існує ризик, що кіберзлочинці викрадуть їх і зловживатимуть ними у власних цілях. Компанії можуть запобігти цьому сценарію, постійно шифруючи конфіденційні дані. Коли всі рівні заходів працюють разом – захист від зараження програмами-вимагачами, забезпечення безперервності бізнесу та постійний захист найцінніших даних компанії – компанії можуть значно підвищити свою стійкість проти атак програм-вимагачів». Bitglass.com
Digital Guardian — Тім Бандос
Тім Бандос, керівник інформаційної безпеки Digital Guardian (Зображення: Digital Guardian).
Коментар Тіма Бандоса, директора з інформаційної безпеки Digital Guardian: «Щороку оператори та розробники програм-вимагачів вдосконалюють свої навички та технології. Група DarkSide, яка стоїть за зломом Colonial Pipeline, має професійну бізнес-модель, яка це чітко пояснює: злочинці надають технічну підтримку своїм жертвам, застосовують «етичний» підхід до вибору цілей, викрадають дані з метою вимагання тощо.
«Існує безліч рішень, які можуть допомогти запобігти зараженню програмами-вимагачами»
Існує безліч рішень, які можуть допомогти запобігти зараженню програмами-вимагачами. Антивірусне програмне забезпечення та брандмауери можуть принаймні допомогти блокувати відомі, поширені штами шкідливих програм. Для додаткового захисту організаціям слід розглянути рішення Advanced Threat Protection (ATP) і Endpoint Detection and Response (EDR), щоб оптимізувати виявлення та блокування програм-вимагачів. Кероване виявлення та реагування (MDR) також може бути хорошою альтернативою для компаній, яким важко самостійно впровадити EDR через обмежені внутрішні ресурси.
Щоб запобігти запуску зловмисного коду, слід також використовувати рішення білого списку програм. Також слід звернути увагу на правильне відстеження дозволів. Будь-який співробітник, який отримує доступ до систем, створює потенційну вразливість для програм-вимагачів. Завдяки багаторівневому підходу до безпеки, який включає навчання співробітників, безперервне оновлення та резервне копіювання, а також технології безпеки, ризик атаки програм-вимагачів може бути значно зменшений». DigitalGuardian.com
ForeNova — Пол Сміт
Пол Сміт, директор із професійних послуг ForeNova (Зображення: ForeNova).
Коментар Пола Сміта, директора з професійних послуг у ForeNova: «Це вже не зупинка окремих нападів, а боротьба з організованими бандами. Програмне забезпечення-вимагач стало організованою злочинністю. Для цього потрібен відповідний захист. Перед обличчям загроз програм-вимагачів профілактика є важливою.
«Це вже не про відбиття окремих нападів, а про боротьбу з організованими бандами»
Резервне копіювання захищає дані та може запобігти втраті даних, але не розголошенню та продажу інформації. Для захисту вкрай важливо розпізнати напад якомога раніше. Однак для цього необхідно спостерігати за всім трафіком даних у мережі, як зсередини, так і ззовні. Можна помітити шаблони поведінки, що підтримуються штучним інтелектом, як-от підозрілі бічні рухи, атаки на прогалини в системі безпеки або встановлення зловмисного програмного забезпечення, а також зловмисне вторгнення, явний витік даних або негайну підготовку до шифрування. Уражені системи можна заблокувати, а атаки швидко стримати, перш ніж вони завдадуть шкоди.
Чи варто платити за атаки програм-вимагачів? Нічого не говорить про сплату викупу. Тому що ніхто не гарантує, що дані будуть розшифровані знову. У будь-якому випадку збитки, спричинені простоєм, поки системи не запрацюють знову, залишаються. Інформацію, яка просочилася, все ще можна продати або привласнити з метою отримання прибутку. І задні двері для наступної атаки вже можуть бути знову відкритими. ForeNova.com
Radar Cyber Security – Алі Карл Гюлерман
Алі Карл Гюлерман, генеральний директор і генеральний директор Radar Cyber Security (Зображення: Radar Cyber Security).
Коментар Алі Карла Гюлермана, генерального директора та генерального директора Radar Cyber Security: «Сьогодні підприємства постійно борються проти проникнення. Таким чином, кібербезпека повинна вийти з тіні ІТ і стати стратегічним шаблоном для прийняття рішень для ради директорів - подібно до людських ресурсів або досліджень і розробок. Кібербезпека вже давно стала частиною ланцюжка створення вартості.
«Сьогодні компанії постійно борються проти проникнення»
Для комплексної профілактики кібератак, у тому числі програм-вимагачів, компаніям слід розглянути власний Центр кіберзахисту або CDC як послугу, оскільки це може значно посилити їх кіберстійкість. Це допомагає організаціям аналізувати величезну кількість сповіщень, нових загроз і аномалій, які виявляє технічна інфраструктура безпеки.
Центр кіберзахисту, також відомий як Центр безпеки (SOC), об’єднує експертів, процеси та технології з ІТ-безпеки. У CDC навчені фахівці постійно перевіряють Інтернет-трафік, мережі, настільні комп’ютери, сервери, кінцеві пристрої, бази даних, програми та інші ІТ-системи на наявність ознак інциденту безпеки. Будучи командним центром безпеки компанії, CDC відповідає за безперервний моніторинг ситуації з безпекою, щоб запобігти атакам і вжити відповідних контрзаходів у разі порушення безпеки». RadarCS.com
Мережі Barracuda — Клаус Гері
Клаус Гері, генеральний менеджер з мережевої безпеки Barracuda Networks (Зображення: Barracuda).
Коментар Клауса Гері, генерального менеджера з безпеки мережі Barracuda Networks: «Платити викуп чи не платити? Політкоректна відповідь: не платіть, тому що це зменшить вашу бажаність як майбутньої повторної мішені. На практиці, звичайно, справа йде інакше. Коли важливі дані більше не доступні або їх не можна відновити, доклавши розумних зусиль, у компанії залишається небагато варіантів. Тому це не так моральне, як комерційне рішення. Звичайно, оплата не звільняє вас від необхідності проведення судово-медичного дослідження та подальшого очищення на додаток до нових захисних заходів, які необхідно вжити для захисту від повторення. Тим більше доцільно інвестувати в профілактику, поки ви ще можете.
«Якщо атака програми-вимагача успішна, зазвичай допомагає лише радикальне лікування»
Якщо атака програм-вимагачів успішна, єдине, що зазвичай може допомогти, — це радикальне лікування: вимкніть системи, перевстановіть їх та імпортуйте резервну копію — завжди з надією, що пакет програм-вимагачів ще не був частиною резервної копії. Але перш ніж можна буде знову імпортувати резервну копію, необхідно знати шлюз і очистити мережу цифровими пароструменями. Найпростіше і найшвидше це зробити за допомогою готового плану на випадок надзвичайних ситуацій. На жаль, суть справи полягає в тому, що таких планів на випадок надзвичайних ситуацій часто не існує, тому що необхідність і ризик для власних систем не визнаються або недооцінюються. Часто поспіхом вирішується одна проблема і виникають дві нові. Стратегією може бути лише: швидкі, але скоординовані дії. Навіть якщо організація вирішить заплатити, очищення все одно має бути зроблено, інакше ви повернетеся на те саме місце через деякий час». Barracuda.com