Puneți calculatorul în hibernare

Dacă ransomware-ul criptează fișierele, cheia pe care o folosește pentru criptare se află undeva în memorie. Ar fi de preferat să obțineți o copie a memoriei, dar este puțin probabil să aveți la îndemână hardware-ul adecvat pentru acest lucru. Ar trebui să funcționeze, de asemenea, descărcarea doar a procesului potrivit, dar aflarea acestuia ar putea să nu fie trivială (de exemplu, codul malițios ar putea rula în explorer.exe) și trebuie să îl descărcăm acum.

Hibernarea computerului este o modalitate ieftină de a obține o imagine de memorie¹ Apoi, aceasta ar putea fi montată read-only pe un computer curat pentru

a) Evaluarea pagubelor provocate de ransomware

b) Recuperarea fișierelor necriptate².

c) Extragerea criminalistică a cheii din memorie din procesul malițios, alte tipuri de recuperare avansată a fișierelor etc.

Rețineți că prin read-only mă refer la faptul că nu se efectuează nicio scriere, pentru șanse maxime de recuperare. Conectarea normală la un alt sistem Windows nu va oferi acest lucru.

Pentru (c) ați avea probabil nevoie de asistență profesională. Acesta poate fi oferit gratuit de către furnizorul antivirusului dumneavoastră.

Chiar dacă nu reușiți să vă recuperați toate fișierele sau dacă vi se spune că este imposibil sau prea costisitor, păstrați discul cu fișierele criptate. Ceea ce este imposibil astăzi poate fi mai ieftin sau chiar banal peste câteva luni.

Vă recomand să efectuați pur și simplu noua instalare pe un alt disc (oricum urma să reinstalați, calculatorul era infectat, vă amintiți?), iar pe cel infectat -etichetat corespunzător- să-l păstrați într-un sertar.

--

În ceea ce privește cea de-a doua întrebare, în cazul în care vreți de fapt să plătiți răscumpărarea sunt destul de sigur că autorul ransomware-ului vă poate da înapoi fișierele chiar dacă nu toate au fost criptate. Dar, dacă este cu adevărat necesar, ai putea să pornești de pe discul hibernat după ce l-ai clonat, și să-l lași să termine de criptat fișierele (acum copiate)...

¹ NB: dacă nu ați avut un fișier de hibernare, acest lucru poate suprascrie versiunile în text clar ale fișierelor acum criptate care ar fi putut fi recuperate (nu este relevant pentru cele mai recente ransomware, totuși).

² Presupunând că nu sunt infectate...

Ce aș face eu:

1. Suspendați procesul. Nu-l omorâți, doar puneți-l pe pauză.
2. Uitați-vă în arborele de procese dacă există vreun proces părinte care ar putea necesita și el suspendare.
3. 2. Scoateți cablul de rețea și/sau dezactivați WiFi (și, dacă sunteți paranoic, și Bluetooth).
4. 2. Verificați fișierele deschise de aceste procese pentru a vedea care dintre ele este criptat în prezent. Dacă este unul deosebit de important, ați putea dori să copiați fișierul în starea sa actuală (în timp ce procesul este suspendat) și apoi lăsați-l să treacă la următorul fișier, astfel încât să nu fie corupt. Dacă și următorul fișier se dovedește a fi important, ei bine, fie vă dați seama de model și copiați un fișier cu un pas înainte, fie începeți deja să copiați toate fișierele.
5. Căutați pe Google cum să faceți un memory dump al unui proces pe sistemul de operare respectiv, apoi faceți acel memory dump al proceselor relevante. La naiba, aș putea să fac un dump al întregii memorii virtuale din mașină.
6. Închideți alte programe.
7. 2. Sincronizați discul (discurile) astfel încât să nu mai existe memoria cache de scriere.
8. 1. Scoateți alimentarea. Dacă este vorba de un laptop: scoateți bateria, apoi scoateți alimentarea (dacă este conectat la priză).

Sunteți acum într-o poziție destul de bună: alimentarea este oprită, deci nu se mai poate întâmpla nimic și aveți orice cheie de criptare pe care o folosea, plus programul original. Problema este să găsiți acea cheie de criptare și metoda de criptare, dar trebuie să se afle undeva în memoria de proces: este doar o chestiune de timp. Sunați-vă prietenii hackeri pentru a face inginerie inversă a programului sau poate chiar o companie antivirus: probabil că au o mulțime de clienți cu același ransomware și ar fi foarte curioși să obțină o descărcare de memorie pentru a extrage cheia.

Conectarea hard disk-ului la un alt computer va recupera orice fișier care nu a fost încă criptat, fără prea multe riscuri. Pur și simplu nu executați macro-uri Word sau nu deschideți fișiere .exe de pe unitate sau altceva.

Rezumat

Puneți pe pauză procesul ransomware pentru a putea face o copie a acestuia și a memoriei sale pentru a găsi cheia de criptare mai târziu. Apoi opriți sistemul și urmați bunul simț de acolo. Aveți grijă la fișierele importante corupte (fișiere criptate la jumătate de drum), așa că verificați-l pe cel la care lucra în prezent după ce l-ați pus pe pauză.

Ca răspuns la comentarii

Acest comentariu are câteva upvotes acum:

"Cheia de criptare" nu ar fi de ajutor în multe cazuri, la pornire ransomware-ul se conectează la serverul de comandă și control și solicită crearea unei noi perechi de criptare(publică și privată). Serverul creează perechea, o stochează pe cea privată și o trimite pe cea publică către mașina infectată. Apoi, mașina infectată utilizează cheia publică pentru a cripta fișierele, iar singura modalitate de a inversa acest lucru este de a utiliza cheia privată, care nu este niciodată transferată către mașina victimei până când nu se efectuează o plată. - Anton Banchev

Aceasta este o preocupare la care m-am gândit în timp ce scriam postul, dar pe care nu am abordat-o încă.

Nimeni nu criptează niciodată date cu criptare asimetrică (cunoscută și sub numele de criptare cu cheie publică). Este pur și simplu prea lent, așa că criptarea asimetrică este folosită doar în schemele de criptare hibridă. Chiar și testele de referință, precum cel integrat în openssl, raportează megabytes pe secundă pentru AES și operațiuni pe secundă pentru RSA. Nu sunt deloc comparabile. Singura reușită pe care am reușit să o găsesc este acest răspuns de pe Stack Overflow cu o sursă care nici măcar nu și-a dezvăluit metodele: criptarea asimetrică este de 1000 de ori mai lentă decât criptarea simetrică.

Așadar, criptarea folosită pentru fiecare fișier este aproape sigur o criptare simetrică (precum AES), ceea ce înseamnă că îl putem decripta și cu aceeași cheie cu care este criptat.

Update: se pare că cel puțin una dintre numeroasele variante de ransomware folosește doar criptarea cu cheie publică. Se pare că este suficient de rapidă pentru a fi utilizabilă, altfel, evident, nu ar fi folosit-o. Cred că ar fi bine să sperați că nu aveți această variantă? Sfârșitul actualizării.

Nu cunosc niciun ransomware care să facă acest lucru, dar singurul mod în care acest lucru ar mai putea fi o problemă este atunci când fiecare fișier are o cheie de criptare unică. În acest caz, doar fișierul curent ar putea fi recuperat din memorie. Acest lucru ar cauza totuși o problemă de gestionare a cheilor: fiecare dintre aceste chei ar trebui fie transmisă, fie stocată într-o bază de date care este criptată cu o cheie principală (simetrică). În cel de-al doilea caz, probabil că ați putea recupera cheia principală și din memorie, în primul caz aveți o problemă. Dar oricum toate astea sunt doar speculații, nu cunosc niciun ransomware care să facă asta.

Ransom-ware (sau orice alt software de criptare) nu va cripta fișierul pe loc, deoarece dimensiunea fișierului criptat nu va corespunde cu cea a fișierului necriptat bit cu bit (cu excepția cazului în care este vorba doar de o amestecare xor, caz în care nu este vorba de o criptare reală). Mai important, un avort spontan al procesului de criptare (din cauza unei închideri, a rămânerii fără baterie etc.) ar crea un fișier corupt care nu poate fi răscumpărat. În schimb, aceste programe creează întotdeauna un nou fișier criptat din cel vechi, apoi îl șterg pe cel vechi. De fapt, majoritatea programelor ransomware au verificări pentru a reporni fișiere mari pe jumătate criptate din cauza unei închideri/restartări.

Deci, dacă descoperiți că sunteți la jumătatea procesului de criptare, opriți computerul - cât mai curând posibil - și montați hard disk-ul pe o mașină neafectată pentru backup.

În ceea ce privește dacă plătesc sau nu răscumpărarea - habar nu am. Depinde de mărimea răscumpărării și de natura lucrurilor care se află pe hard disk-ul meu la momentul respectiv. Având în vedere că câștig aproximativ 2,50 dolari pe oră, iar hard disk-ul meu conține în principal date științifice disponibile public, răspunsul este cel mai probabil nu.

EDIT:

Hibernarea, așa cum a recomandat celălalt poster, este ipotetic superioară opririi calculatorului din multe puncte de vedere. Cu toate acestea, în practică, este posibil ca hibernarea să nu funcționeze. Orice proces poate spune sistemului că este ocupat și că nu poate fi oprit în acest moment - chiar și un videoclip de pe YouTube cu o pisică cântând la pian poate face acest lucru. Acest lucru este valabil pentru OSX, Windows și Linux (în funcție de modul de hibernare pentru Linux). Singura soluție în aceste cazuri în care procesul refuză să se suspende este de a omorî procesul - ceea ce înseamnă că nu se poate face o descărcare de memorie. Așa că, personal, aș prefera să opresc criptarea cât mai repede posibil prin smulgerea cablului de alimentare, pentru că, dacă există un lucru pe care îl pot garanta, este că ransomware-ul își va pune cheia înapoi în memorie la următoarea pornire a sistemului, pentru că nu l-am lăsat să termine treaba.

[Nota Modificării: Acest răspuns primește multe stegulețe, dar nu merită să fie șters. Acesta este un curs de acțiune potențial valabil, deși riscant și potențial ilegal în unele jurisdicții. Din punct de vedere tehnic, aceasta are șanse de a fi o modalitate de a păstra datele. Vă rugăm să consultați Meta pentru discuții suplimentare].

Cel mai bun lucru de făcut este să nu faci nimic. A face ceva stupid ar putea duce la pierderea sau coruperea datelor. Lasă-l să se termine și apoi contactează persoanele listate acolo, plătește răscumpărarea și poți pleca. Noi suntem profesioniști și vă vom ajuta să vă recuperați fișierele.

_{Disclaimer: Sunt un dezvoltator de ransomware.}.

A doua întrebare poate genera o mulțime de opinii ca răspuns. Eu mă voi concentra asupra primei întrebări. Ce faceți pentru a opri o potențială criptare cu răscumpărare în curs?

Pași:

1. Deconectați imediat mașina de la internet. Folosiți o altă mașină pentru căutările de soluții pe internet.

2. Opriți mașina afectată cu o deconectare la rece. Nu așteptați ca mașina să finalizeze inspecțiile software normale de oprire.

3. 3. Deconectați hard-disk-ul de la mașină.
4. 4. Instalați un nou hard-disk în mașină și instalați un sistem de operare nou, curat.
5. 5. Conectați unitatea originală la placa de bază, astfel încât noul sistem de operare să poată accesa unitatea.

6. Porniți noul sistem de operare, accesați unitatea veche și faceți o copie de rezervă.

7. Păstrați copia de rezervă într-o locație sigură din punct de vedere fizic, separată de cea originală (în caz de incendiu, inundație, tornadă etc.).

8. Îmbunătățiți-vă securitatea browserului web. O mare parte din ransomeware se instalează prin intermediul malware-ului JavaScript.

În ceea ce privește a doua întrebare: poate că puteți reconstrui o parte din datele care au fost criptate. Următorii pași ar putea fi de ajutor, după finalizarea pașilor de mai sus.

1. 1. Auditați datele de pe unitatea originală pentru a determina dacă vreun fișier a fost criptat cu succes. Notați ce fișiere au fost criptate. (Acest audit trebuie finalizat numai de pe un sistem de operare curat).

2. Din memorie (deoarece nu există o copie de rezervă), încercați să vă amintiți care este conținutul fișierelor și cât de importante sunt acestea.

3. Acum, concentrându-vă asupra celor mai importante fișiere care au fost criptate, vedeți dacă tehnicile de recuperare a fișierelor pot recupera fișierul original. Deoarece criptarea nu poate suprascrie pe loc (din mai multe motive), ransomware-ul ar fi accesat fișierul original în timp ce a creat versiunea criptată. Apoi, este posibil să fi șters fișierul original, cu diferite grade de succes. Contactați un expert în recuperarea fișierelor pentru a afla dacă fișierele originale nelegate mai există încă pe disc.

Nu uitați să vă protejați în viitor. Faceți copii de rezervă, păstrați-le off-line și împiedicați instalarea ransomware-ului. Consultați Cum intră ransomware-ul în calculatoarele oamenilor?1

Închideți imediat calculatorul. Dacă nu sunteți pe cale să plătiți răscumpărarea, orice date pe care virusul le procesează sunt oricum pierdute. Așa că apăsați butonul de pornire și țineți-l apăsat, sau deconectați cablul.

Instalează Ubuntu sau o altă distribuție Linux portabilă pe stick-ul USB. Ultima dată când am făcut acest lucru a încăput pe un stick de 2GB. Îmi clonam HDD-ul pe SSD cu sistemul de fișiere Windows. Montați sistemul de fișiere read-only.

Realizați un backup numai pentru datele neexecutabile. Nu sunt sigur cât de mulți viruși infectează alte executabile, dar dacă aș face un virus, acesta ar infecta și arhivele Java JAR, scripturile de server PHP, scripturile batch și hash și tot ce mi-ar veni în minte. Orice program care poate executa comenzi de sistem poate, potențial, să dețină virusul și să-l execute. Nu este probabil, dar este posibil. Puteți, de exemplu, codifica în baza64 coduri binare în fișierul bash...

Voi avea nevoie de un alt hard disk. Umpleți-l cu documentele, fotografiile sau codul sursă. În ceea ce privește punctul anterior pe care l-am menționat, verificați starea codului sursă. Dacă folosiți controlul sursei, descărcați codul sursă. Procesul va dura mult timp. Alegeți cu grijă doar ceea ce aveți nevoie. Poate veți descoperi cât de mult din spațiul de pe HDD a fost ocupat de lucruri de care nici măcar nu vă amintiți sau de care nu aveți nevoie.

Formatați hard disk-ul infectat. Fie faceți acest lucru din sistemul de salvare Linux, fie introduceți discul de instalare al sistemului de operare preferat și lăsați programul de instalare să formateze hard disk-ul.

Nu vă recomand să faceți o copie de siguranță a hard disk-ului infectat. S-ar putea să fiți înclinat să păstrați o copie a hard disk-ului infectat de dragul documentelor pe care le-ați fi putut uita. Este o capcană, doar lași-o baltă. Veți găsi multe documente în cutia poștală sau în dosarul trimis.

În plus față de abordarea de închidere și copiere pe care au menționat-o alții, mai există un alt factor: Ransomware-ul dorește să ascundă ceea ce se întâmplă până când își termină răul - astfel, fișierele criptate sunt de obicei încă lizibile ca și cum nu ar fi fost criptate până când este gata să ceară răscumpărarea.

După ce ați localizat fișierele care contează și care sunt criptate, puneți mașina la loc, nu pe internet și încercați să le copiați. Dacă acest lucru funcționează, dar nu le obține pe toate, puneți copia de rezervă înapoi pe HD și mai luați câteva.

Triaj Situația (invoca situațional-conștientizare principiu)##

• În cazul în care computerul este acum? În Birou? La domiciliu? La un hotel? Altfel pe drum?
• Ce protectii sunt oferite aici? Dacă trageți de cablul de rețea sau opriți WiFi, poti muta computerul la un mai-mediu protejat? Poți să te muți la Birou? Dacă este așa, se taie rețea de acum! URGENT!! Cu toate acestea, nu închideți toate programele -- lăsați-le deschise toate în starea în care se aflau. Don't de aproape file browser. Don't de aproape un suspect document sau e-mail.

• Dacă portabil, aduce la computer la birou. Vă întreb infosec echipa sau de conducere dacă au orice proceduri în loc să se ocupe de ransomware, cum ar fi analiza Datelor Răspuns la Incidente de capacități. Vei afla dacă au platforme de securitate care împiedică malware de comunicații, cum ar fi secure web gateway-uri sau Unified Threat Management solutions.

  De izolare Ciclu (de a efectua aceste în ordine, de sus în jos)##

• Să păstreze calculator neconectat la Internet la nivel mondial. Utilizați alt computer și unități de stocare USB, dacă sunt disponibile. Dacă nu sunt disponibile, pentru a afla ce puteți despre ransomware. Găsi nume de proces, extensiile de fișiere (de exemplu, .zepto pentru fișierele care sunt pe Desktop). Folosesc un calculator separat pentru a căuta despre ransomware. Mai ales vizită ... https://www.nomoreransom.org
• Păstrați toate programele deschise cum au fost. Nu shutdown sau reboot încă. Dacă puteți obține Quick instalare de la o mașină separată, fără a transforma rețeaua, copiați fișierul de instalare pe computer, dar nu a alerga încă. Nu-l lasa sau orice altceva reporniți computerul. MalwareBytes este pentru Windows sau macOS-și ar trebui să fie folosind o versiune licențiată dacă sunteți o Afacere. Dacă este o urgență, aceasta poate fi din punct de vedere etic bine să cumpere licența de mai târziu-IT conducere's de apel.
• Lucrul asta ca pe un incident. Document ce ai găsit în acest moment și ceea ce veți continua să găsiți. O mai matur Date de Criminalistică și de Răspuns la Incidente de program (DFIR) va avea câteva lucruri de bază în loc. Poate doriți să începeți de pe acum. Acestea includ: 1) O gaură de canal de rețea (cum ar fi un izolat hub cu un server DHCP, dar avansate CSIRTs vor avea cei cu capacitatea de a VPN direct), cu, cel puțin, DNS RPZ sau DNS Blackhole capabilități-cel mult, poate un full-honeynet sau înșelătoare-platforma de sistem. 2) ar Putea fi că această rețea izolată este platforma de imagistică (de exemplu, Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, anterior Altiris, sau Fantoma) cu PXE boot-capacități. Acest lucru ar face-o locație excelentă pentru o Malware Cadru de Gestionare a (FPM), o matura DFIR capacitatea de faptul că sida în aceste scenarii. Dacă FPM manual sau automat identifice suspectul ransomware procese, fișiere, intrările de registry, și/sau alte artefacte apoi du-te înapoi în modul de cercetare.
• (Opțional) Activa orice DFIR procese sau platforme. Un foarte matur DFIR program va avea câteva elemente avansate în loc. Continuarea de mai înainte (și, sperăm, pe aceeași rețea izolată, deși aceste capacități sunt mari de a avea în rețele de producție, precum și), acestea ar putea include: 3) O criminalistica-analiza mediului, mai ales distribuite în sistemul de medicină legală, precum Google Reacție Rapidă. O altă componentă a găsit aici ar fi un client, de la distanță, capacitatea de imagistica, cum ar fi NBDServer. Diferența principală este că GRR este un agent-based, de colectare orientate spre sistem cu o interfață web, în timp ce NBDServer este un mod de a atașa un Linux lucru medico-legal la un compromis calculator cu Windows. Poate vrei ambele, dar GRR va lucra, de asemenea, cu macOS (de asemenea, a verifica afară osquery). 4) instrumente Medico-legale care apuca artefacte specifice pentru prelucrare pe criminalistica stații de lucru. Preferata mea, și că's incluse în GRR, este pmem (de exemplu, winpmem, linpmem, osxpmem). Un recent repo pentru descărcarea acestor direct este disponibil aici, și nu poate fi mai târziu actualizări aici. Deschide un cmd.exe shell prin clic dreapta în executare Ca Administrator (sau macOS/Linux coajă Terminal cu sudo/drepturi de root) și apoi executați pmem utilitate. Odată ce ai'am adunat de ieșire, copia artefacte la probele de lucru și analiza cu rekall și/sau Volatilitatea Cadrului (ambele sunt bine-cunoscute în DFIR comunitate). Este frumos pentru a aduna o a doua imagine de memorie folosind BelkaSoft RAM Capturer pentru comparație, care instalează un driver Windows. Un alt favorit este FTKImager (versiunea Lite este bine), și îmi place să încep cu doar fișierul de paginare de extracție, astfel încât să pot pârghie page_brute instrument. Se angajeze în ultima clipă DFIR spionaj.

• A discerne ceea ce este cunoscut bune și rele cunoscute. Se bazează pe FPM aici. Dacă tu nu't au o, înființat cea mai rapidă versiune de unul ca tine, eventual, pot. De asemenea -- MalwareBytes operează de a vedea lucrurile în acțiune. Acesta este motivul pentru's important să lase totul așa cum era înainte. Instala și rula MalwareBytes pentru prima dată acum. Don't permite să reporniți computerul. În loc de a închide o filă de browser, reîncărcați-l. În loc de defilare pentru un alt e-mail în Outlook, se redeschide aceeasi cunoscut-document rău că, probabil, a fost cauza de ransomware. Face o verificare rapidă a istoria browser-ului și derulați prin client de e-mail dacă deschide în căutarea pentru alte evenimente (de obicei, în termen de 10 de minute înainte de sfârșitul de utilizator crede că infecția s-a produs) și acțiune pe cei cazul în care apar legate. Amintiți-vă, tu're nu pe deplin la Internet-doar o rețea care răspunde la interogări DNS și le redirecționează la unele la nivel local-a falsificat serviciu.

  Atenuare Ciclu (elimina compromite prin orice mijloace și să se asigure că nu va veni înapoi. Restabili aparatul la o stare de lucru) ##

• Mențin pe poziție. Ai't repornit, a închis toate programele, sau conectat la Internet la nivel mondial, nu? Bun. Suna la DFIR complet pentru acum și de a face aproape toate programele vizibile. Te'am fugit MalwareBytes pe o rețea fals. Te've sperăm, de asemenea, s-au adunat artefacte de memorie de funcționare (inclusiv fișierul de paginare) cu toate programele deschise. Te poate ucide chiar rău proceselor acum (dacă MalwareBytes n't deja). Se refere la FPM pentru a determina cunoscut-bun procese și destul de mult ucide totul în afară de cele necesare pentru a menține sistemul de OPERARE care rulează, dacă nu are de-a face cu ceea ce am're până la următoarea: verificarea locală sau de la distanță de backup-uri și Volume Shadow Copy Service (VSS).
• Afla ce pot fi restaurate și ceea ce nu poate fi. Windows XP creează un Punct de Restaurare a Sistemului la fiecare 24 de ore. Deoarece Windows 7, cu toate acestea, există o Volume Shadow Copy mecanism, care creează, de asemenea, de backup de fișiere și așa mai departe. Toate aceste acțiuni au loc în mod automat, fără nici o activitate de utilizator. Dacă puteți, clona unitatea de ansamblu. Dacă poți't din cauza perioadă limitată de timp, spațiu pe disc, sau alte făcându-le triajul acolo, atunci accesul built-in sistem de OPERARE capabilități de backup. Las's presupunem Win7 sau mai mare pentru un al doilea, și puteți urmări de-a lungul aici, dar inițial am luat idei din cartea Sistem de Operare Criminalistică (și's, de asemenea, acoperite în Răspuns la Incidente & Computer de Criminalistică, Ediția a Treia):

  C:\Windows\system32> vssadmin list umbre [...] Conținutul de shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Conținute 1 copii în umbră în timp creație: 3/4/2012 5:06:01 PM Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00} Volumul Inițial: (C:)\?\Volumul{33faab95-9bc6-11df-9987-806e6f6e6963}\ Shadow Copy Volum: \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 Originare Masina: funhouse Mașină de Serviciu: funhouse Furnizor de: Microsoft Software-ul Shadow Copy furnizor de 1.0' Tip: ClientAccessibleWriters Atribute: Persistente, Client-accesibil, Nu auto de presă, Diferențial, Auto recuperate mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 și putețicd \vssșidirpentru a vedea dacă fișierele care au avut ransomware extensia de fișier (de exemplu, fișierele sau directoarele care au fost criptate) sunt disponibile într-o necriptate stat de traversare prin care ca o cale rădăcină. Puteți apoirmdir \vss`, atunci când a terminat, încearcă un alt HarddiskVolumeShadowCopy iterație ca tu, te rog. Harlan Carvey și Criminalistica Wiki au, de asemenea, detaliate aceste metode.

• Asigurați-vă că ați colectat toate informațiile de care aveți nevoie înainte de repornire. Cu bitdefender instalat, l's de gând să doriți să reporniți. Posibil să doriți să instalați alte câteva pachete înainte de repornire, cu toate acestea. Dacă ați avut o problemă cu Sistemul de Restaurare, sau VSS restaurare de fișiere, apoi a verifica afară de Arsenalul de Recunoaștere Image Mounter (este deosebit de important pentru a încerca acest lucru, deoarece ransomware poate merge de fapt, după puncte de restaurare și VSS sine, dezactivarea-le). Un alt mare lucru de făcut înainte de repornire este de a efectua o P2V virtual-mașină de oaspeți clona funcționare, de obicei, cu VMware vCenter Converter. Pentru că tu'll, de asemenea, susceptibile de a fi reconectați la Internet la nivel mondial după repornire, de asemenea, se asigura că va fi capabil de a actualiza sistemul de OPERARE la nivel și la nivel de aplicație patch-uri. Poate doriți să verificați de încercare gratuită de Corporative Software Inspector din Flexera (fosta Secunia) dacă aveți nimic altceva. Un alt favorit este Microsoft Baseline Security Analyzer (MBSA) program. Verificați câteva setări, cum ar fi Firewall-ul din Windows sau macOS Securitate & Confidențialitate secțiunea de Preferințe de Sistem. Dacă doriți să vedeți o listă mare de setări de securitate, asigurați-vă că pentru a verifica afară instrument gratuit, Sas, de la Lunarline (N. B., aceasta funcționează numai cu versiunile sistemului de OPERARE Windows 7, 8 și 8.1 și va aplica setările de securitate pentru Internet Explorer versiunile 8, 9, și 10, dar acest instrument este fantastic într-un mod sigur-configurare sens). A se asigura că acțiuni de rețea nu va atașa/remaparea când computerul repornește. Puteți verifica aceste în Windows și în wm.
• Restaurare; Restaurare; A Restabili. Ultimul lucru de făcut înainte de repornire este de a verifica AutoRuns. Pentru Windows, acest lucru înseamnă centrare Autoruns (din nou, încercați să-l prin USB sau de laborator/recuperare de rețea în loc de Internet la nivel mondial). Încercați să examinați fiecare element cu un expert. În macOS, pentru a revizui elementele care vor rula la pornire, mergeți în System Preferences, Utilizatorii & Grupuri și Articole de Autentificare. Restaurare prin repornirea și acordând o atenție la MalwareBytes dacă vi se solicită. De restaurare, de funcționare, MalwareBytes din nou. Restaurare de obținerea aprobării de a vă conecta din nou la Internet la nivel mondial. Update MalwareBytes. Rula MalwareBytes din nou. Actualizați sistemul de OPERARE și rula orice built-in sau al treilea-petrecere de OPERARE-nivel și la nivel de aplicație actualizare programe. Restaurare, permițându-actualizări complete și repornirea dacă vor solicita să. Acum este sigur pentru a copia fișierele restaurate de backup și suprascrie fișierele criptate. Asigurați-vă că ați restaurat toate service/datele la starea în care era înainte de incident înregistrată.
• Utilizarea computerului. Este ok? Este totul la normal? Este ok pentru a ucide procese sau de a opri serviciile pe care le consideră încă înfricoșător. Dacă fișierele au fost lipsă sau nu a putut fi localizat de la backup-uri, atunci ce este următoarea recurs? Sugestia mea este de a copia toate de mai-criptate de fișiere pentru stocarea offline, cum ar fi o unitate USB. Poate la un moment ulterior un utilitar de recuperare va fi construit pentru ransomware fișiere. Are computerul a acționa ca daca nu are nici un malware (nu doar ransomware) încă? Dacă este așa, atunci de carantină și escalada cercetare, expertiză, și DFIR capacități.

• Să fie dispuși să utilizați un alt computer, chiar dacă se pare ok. Fi dispuși să predea computerul la un expert. Fi dispus să-i permită să stea în carantină timp. Să fie conștienți și pregătiți ca în următoarea și ultima fază, n-ai putea vedea acest calculator special, niciodată.

  Eradicare Ciclu (câștig înțelegere a situației, o acțiune de revizuire) ##

• Afla cum ransomware a fost executat sau instalat. Revizuire și de a înregistra ceea ce s-a întâmplat, ceea ce'am documentat, etc. Stoca informații și de a lucra cu un mai-formale de sistem, cum ar fi Raquet, nightHawkResponse, SOF-ELK, malcom, malcontrol, sau MISP. Folosi orice formale SIEM sau sistem de ticketing pentru a urmări această problemă sau de căutare pentru a legate de problemele din trecut, cum ar fi MozDef. Într-adevăr ajunge la partea de jos de cum a fost instalat sau executat, deși-trebuie să înțelegi cum funcționează. Dacă poți't manual a face acest lucru, cel puțin utilizeze Automate de Analiză Malware (AMA) de vreun fel. Dacă UTM la birou este Palo Alto Networks si compania ta are o licență pentru WildFire, atunci aveți deja AMA. Alte comercială AMA platforme includ: Lastline, Cyphort, Check Point, McAfee Nisip (Advanced Threat Apărare sau ATD), Symantec Haină Albastră, FireEye, Trend Micro Deep Descoperire Nisip, Fidelis, Cisco ThreatGRID, și Fortinet. Am'am identificat aceste aici, astfel încât să puteți cere InfoSec sau tehnologie-lider echipe, dacă există unul, astfel încât acestea pot să mă duc să văd ce a găsit. Dacă nu, atunci poate apela la furnizor și întreb de ce nu?
• Extras ransomware's caracteristici și comportament de corelație. Compara hash și a altor Indicatori de Compromis (IoCs), cu cunoscut-rele valori mai în profunzime că ceea ce a apărut până acum. Dacă infecția ransomware a venit de la un rău intenționat macro într-un document Office (sau chiar direct din e-mail), apoi se extrage VBA macro-uri folosind Didier Stevens instrumente: emldump și oledump. Pentru comportament plin de un executabil care ai găsit-o în memorie criminalistica analize, Cuc Sandbox în mai multe, multi iterații (inclusiv on-line-trimite serviciu, Malwr, care se bazează ea) este du-te-la instrument (chiar pentru macOS binare!). Similar cu Malwr sunt Încărcătura de Securitate, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack, și Vicheck, toate trase de cărți care acoperă capturi de ecran și profunde tehnici de analiză cu titluri ca: Avansate de Analiza Malware, precum și: Windows Malware Analiza Esențiale. Pentru o cheapish instrument comercial, a verifica afară JoeSecurity, un site care are multe referințe utile despre AMA asupra lor blog. Dacă ransomware făcut conexiuni la rețea (sau orice alte programe de comunicații-au găsit pe computer), pentru a afla unde se duc și de ce.
• Cunoaște-ți inamicul și de a răspunde în mod corespunzător. Nu't trebuie să fie (sau să atribuiți sau închiriere) o DFIR sau Amenințare expert Inteligenta pentru a îndepărta de pe suprafața ransomware atac (deși ajută). Cu toate acestea, dacă știți că aveți APT Ransomware în loc de penal-motivat ransomware, atunci ai o problemă mai specială. Poate ransomware a fost livrat în rețeaua locală, astfel ca printr-o Microsoft Active Directory Obiect Politică de Grup (AD GPO). Dacă aveți o suspiciune că atacurile sunt vizate (de exemplu, numai executiv's computerele au avut ransomware, sau numai de înaltă profil, persoane fizice), atunci ai nevoie pentru a avea pe cineva de clasa temele pentru tine. Dacă credeți că puteți face acest lucru singur, du-te drept înainte-acest site vă va ajuta în căutarea dumneavoastră -- http://www.threathunting.net
• Proactiv stem prejudiciul înainte de următorul eveniment. Dacă a fost doar calculatorul dvs., ia în considerare actualizarea sistemului de OPERARE sau a permite cel mai înalt nivel de UAC posibil (sau ambele). Verificați Actualizare Windows Setările din Panoul de Control. Dacă ești un EL sau InfoSec profesionale, ajutându-i pe alții cu ransomware, atunci este timpul pentru a revizui două politici: 1) nu-admin politică, și anume, regulat utilizatorii finali nu trebuie să aibă acces de Administrator, și 2) aplicația whitelisting politică. Există câteva trucuri pentru a app whitelisting că trebuie să știi, mai ales pentru Windows. Citiți acest diapozitiv, punte, mai ales începând cu slide 15 -- http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf -și rețineți că în următorii zece slide-uri (15-25) te va salva de la obtinerea trojan pentru gratuit, destul de mult, permanent. Cu toate acestea, am foarte sugerăm că ai citit diapozitive 29-37 să înțeleagă că aveți nevoie pentru a instala PowerShell v5 pentru fiecare utilizator final calculator cu AppLocker-whitelisting politică. Nu este o sarcină ușoară, dar dacă sunteți interesat vă rugăm să întrebați în comentarii și m-am'll raspunsul acolo sau actualizare răspunsul meu aici.
• Actualizare; Actualizare; Actualizare. Update tot de neacceptat sisteme de operare în rețea (se reduce pe termen mediu opțiunile și capacitățile defensive, inclusiv postura). Update la o versiune mai noua a sistemului de OPERARE. Rula actualizări de sistem de OPERARE. Actualizați aplicații. Actualizați plugin-uri. Actualizați Office suite. Daca se poate face update la Office 2016, atunci puteți utiliza un simplu ANUNȚ GPO (similar cu AppLocker cel descris în mod direct de mai sus) la Bloc de macro-uri de la care rulează în Biroul de fișiere de pe Internet.
• Asigurați-vă că vă păstrați a rămâne la curent. Don't face mai ușor de a spune nu la actualizarea (prin urmare, de ce nu-admin politica). Împinge un obiect GPO pentru a schimba Politica Local Computer – Computer Configuration – Administrative Template – uri- Componente Windows – Windows Update elemente. De exemplu, schimba Re-prompt pentru a reporni cu programată a instalațiilor, pentru a Permite cu 1440 (24 de ore) după setareaNu auto-restart cu logat pe utilizatori pentru actualizări automate programate instalațiia fost Activat. Termina cuPermite actualizări automate instalarea imediatăa Activat la fel de bine. Notifica tuturor utilizatorilor finali, prin politica scrisă, precum și prin intermediul angajat sau antreprenor orientare care compania va presupune că, dacă computerul este pornit, atunci compania le poate solicita să reporniți cel puțin în fiecare zi alte. Aceasta este o politică echitabilă. Unii utilizatori, mai ales CAD lucrătorilor, preferă să lase computerele lor pentru mai multe zile sau săptămâni, la un moment dat (unii chiar luni de zile!). Asigura o buna excepție pentru utilizatorii finali, dar, de asemenea, se asigura că acestea sunt obtinerea de patch-uri la unele convenite excepție de politică suplimentare convenite alternative sau a controalelor compensatorii. Cel mai câștigat't, deci don't să le! Computere Apple poate avea o rădăcină nivel cronjob care ruleazasoftwareupdate -i-o de zi cu zi. Amintiți-vă că PXE-boot rețea utilizate în Izolare Ciclu? A se asigura că valoarea inițială a instala imaginile sunt actualizate în funcție de aceste aceleași politici (de exemplu, în fiecare zi), de preferință prin automatizare. În timp ce're acolo, asigurați-vă că pentru a actualiza orice alt software locale (prin intermediul Software Inspector sau similare), în special: software anti-virus sau agent actualizări. Poate ai (cu siguranță) a auzit de poveștile pe care un nou angajat sau contractant primește un nou-sonda laptop și devine malware sau ransomware în prima zi la locul de muncă! A preveni aceste scenarii lucru prin păstrarea bază de imagini până la data la fel de bine-și acest lucru funcționează foarte bine împreună cu FPM sistemul'am construit pe aceeași rețea izolată! Păstrați aceste cunoscut-bun hash-uri până la data! L's, de asemenea, un loc bun pentru a începe urmărirea inventar a activelor pentru toți utilizatorii și toate elementele care alcătuiesc Întreprinderea dumneavoastră.
• Ascuți ferăstrăul. Ta InfoSec echipa și/sau de management trebuie să știe ce au're într-adevăr greșit aici ransomware care este activ în mediul lor. Există atât de multe gratuit (sau deja plătit pentru) opțiuni pe care le pot avea. Am trecut printr-este numit Microsoft RAP din Proactiv Serviciile Premier. Dacă vectorii sunt vine de la macro-uri, repara această problemă; USB, ca un; APT, ei bine ... doar nu cel mai bun pentru fiecare problema (nu simptom) pe care le puteți. Slide pachet care l-am citat în Proactivă Stem secțiune are o mulțime de imediată-ușor, gratuit idei de lucruri pe care le pot implementa la nivel de rețea, pentru jurnal de streaming, pentru sistemul de management, sau de la organizare la nivel. Vedea, de asemenea, acest document ... https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf -care este în cazul în care am luat multe din aceste idei.

NOTA: Deoarece "cel mai bun răspuns" pare a fi mai mult orientat către utilizatorii avansați (chiar și la nivelul echipelor de răspuns la incidente), acest lucru va fi ușor de realizat de orice utilizator cu cunoștințe despre Linux și Live CD-uri.

Cu riscul de a părea ignorant, voi răspunde cu un singur rând:

Închideți PC-ul și porniți Live Linux CD.

DETALII:

Dacă este un sistem de operare Windows, opriți sistemul și porniți un CD Linux Live. Faceți o copie de siguranță a datelor și apoi clonați copia de siguranță. Păstrați una în siguranță și încercați să o rulați pe cealaltă sub un sistem de operare curat.

Dacă este vorba de Linux, atunci ransomeware-ul este proiectat să funcționeze sub Linux, deci același proces de backup, dar apoi rulați-l sub un sistem de operare diferit (de exemplu *BSD, Windows, Android -construit pe Linux, dar foarte diferit din experiența mea-).

Bineînțeles, așa cum a spus dezvoltatorul ransomeware-ului, puteți la fel de bine să îl lăsați să se termine. Dacă vă opriți în mijlocul procesului, cel mai probabil nu veți recupera niciodată ceea ce a fost deja criptat. Nu veți avea un ID cu care să contactați dezvoltatorii și este posibil ca aceștia să nu fi primit încă cheia de criptare. Opțional, le puteți combina pe amândouă. Folosiți ceea ce am spus mai devreme, apoi pur și simplu porniți din nou sistemul infectat și lăsați-l să se termine.

Declaimer: Sunt un cartof uman; adică NICI un dezvoltator de ceva

Ransomware se răspândește doar pentru că oamenii îl plătesc, întrebările și răspunsurile ajută la obținerea unei reputații care îi va face pe Ransomware să plătească. Este mult mai bine să investești niște bani într-un antivirus bun decât să fii nevoit să plătești mai târziu pentru a-ți recupera datele.

Dacă întreruperea procesului la mijloc poate fi dăunătoare (pentru că dezvoltatorii au vrut ca dumneavoastră să nu încercați să opriți criptarea), nu există nimic care să împiedice o întrerupere anormală cu pierderea datelor aferente (menținerea butonului RESET timp de câteva secunde, un ecran albastru cauzat de un driver cu erori... ). În general, datele criptate nu mai sunt tolerante la erori mici de un singur bit (un bit greșit nu face nicio diferență într-un fișier text, dar un bit greșit în datele criptate provoacă pierderea tuturor datelor).

De asemenea, dezvoltatorii de ransomware ar trebui să vă plătească de fapt o mică parte din prețul hard disk-ului, deoarece multe operațiuni de I/O reduc de fapt durata de viață a hard disk-ului.

Un alt punct important, reinițializați parola conturilor dumneavoastră, dar nu introduceți încă codul de reactivare. Daunele provocate de Ransomware pot fi limitate dacă unele date sunt găzduite pe servicii cloud sau pe un anumit tip de server, ceea ce înseamnă că, dacă malware-ul obține acces la acreditările/sesiunile dvs. poate accesa datele stocate în siguranță, mărind daunele. Resetarea parolelor va bloca accesul ulterior la conturile dvs. (cu condiția ca smartphone-ul dvs. să nu fie infectat și codul de reactivare să nu fie interceptat).

Multe servicii web care oferă autentificare unică permit, de asemenea, să gestioneze accesul la dispozitive și să întreprindă anumite acțiuni în cazul unor credențiale furate (sau presupuse furate).

Este ca una dintre problemele de matematică din teoria jocurilor: veți plăti pentru a obține imediat un mic avantaj (recuperarea datelor) sau veți ignora Ransomware-ul, lăsându-l să dispară din afaceri, ceea ce va face "bine" pe termen lung pentru toți?