malware virus encryption data-recovery ransomware

Что нужно делать, если вы ловите шифровальщиков середине операции?

Вы загружаете в один прекрасный день компьютер и при ее использовании вы заметили, что ваш диск является необычайно занят. Вы проверяете Системный монитор и заметил, что неизвестный процесс использует ЦП и читать и писать много на диск. Вы сразу же сделать поиск в интернете по имени процесса, и считаю, что это'ы название программы вымогателей. Новость также приходит, рассказывая вам о том, как недавно популярное место распространения программного обеспечения, были скомпрометированы и использованы для того чтобы распределить этот же вымогателей. Вы недавно установили программу с этого сайта. Очевидно, что вымогатели в процессе выполнения своей грязной работы.

У вас большие объемы важных данных на внутренний накопитель, и нет резервной копии. Существует также значительное количество не важных данных на диске.

На этот вопрос's название пишет "середины" в эксплуатацию, но в этом примере мы еще не исследовали, насколько вымогателей, возможно, на самом деле получил его на "работе.&и"

Мы можем рассмотреть две ситуации:

  1. Вы хотите сохранить как можно больше данных, как это возможно. Однако, платить выкуп и речи.

  2. Если это возможно без риска, вы хотите знать, является ли важные части ваших данных зашифрованный и перезаписываться. Вы также хотите попробовать и столько данных, сколько возможно извлечь, не сделав хуже. Ты хотел бы, чтобы заплатить выкуп. Но некоторые части данные настолько важны для тебя, что ты, в конечном счете, в качестве последнего средства, как все-таки быть в состоянии заплатить за возможность получить их обратно, а не потерять ни одного из них.

Шаг за шагом, что является идеальным вещь, чтобы сделать в ситуации 1 и 2? И почему?

Примечание: это гипотетически. Он еще'т действительно случилось со мной. Я всегда держу резервные копии моих важных данных и я'ве никогда не пострадали от вымогателей.

200
10
10 ответов

Спящий режим компьютера

Если вымогателей является зашифровать файлы, ключ используется для шифрования где-то в памяти. Было бы предпочтительнее, чтобы получить дамп памяти, но вы вряд ли имеют соответствующее оборудование для этого доступны. Демпинг только правильный процесс тоже должен работать, но узнав, что никто не может быть тривиальным (например. вредоносный код может быть запущен внутри explorer.exe), и мы должны сбросить его теперь.

Перевод компьютера в спящий режим-это дешевый способ получить памяти изображения¹ тогда он может быть установлен чтения на чистый компьютер для

a) оценка ущерба от вымогателей

б) восстановление зашифрованных файлов²

в) судебно извлечения в памяти ключа от вредоносных процессов, другие передовые восстановление файлов и т. д.

Обратите внимание, что только для чтения, я имею в виду, что нет записи осуществляется на всех, для максимальных шансов восстановления. Как правило, подключение к другой системе Windows выиграл'т предоставить это.

(С) вы, вероятно, нуждаются в профессиональной поддержке. Она может быть предоставлена бесплатно по поставщику антивирусного программного обеспечения.

Даже если вы Don'т управления, чтобы восстановить все ваши файлы и вы не сказали, что это невозможно или слишком дорого, держите диск с зашифрованными файлами. Что это's сегодня невозможно могут быть дешевле или даже тривиальными, через несколько месяцев.

Я рекомендую, что вы просто выполнить новый установить на другой диск (все равно переустанавливать, компьютер был заражен, помните?), и сохранить зараженный одной -правильной маркировке - в ящике.

--

Что касается второго вопроса, где вы такой на самом деле хочу оплатить ransom_ я'м довольно уверен, вымогателей автор может вернуть вам ваши файлы, даже если не все из них были зашифрованы. Но если действительно нужно, вы могли бы загрузиться с перезимовавших диске после клонирования, и пусть он закончить шифрование (сейчас бэкап) файлов...

¹ Примечание: Если вы не'Т есть файл гибернации, это может переписать в виде открытого текста теперь-зашифрованные файлы, которые могли быть восстановлены (не актуальна для последних вымогателей, правда).

² предполагая, что они не заражены...

Что бы я сделал:

  1. Приостановить процесс. Дон'т убить его, просто приостановить ее.
  2. Посмотри в дереве процесс если есть родители, которые могут понадобиться приостановления, а также.
  3. Вытащить сетевой кабель и/или отключите беспроводной доступ в интернет (и если вы'вновь параноик, Bluetooth тоже).
  4. Проверьте открытые файлы на эти процессы, чтобы увидеть, какой он в настоящее время шифрование. Если это'ы и "особой важности", вы, возможно, захотите, чтобы скопировать файл в его текущем состоянии (пока процесс приостановлен) и затем дайте ему перейти на следующий файл, поэтому он выиграл'т быть повреждены. Если следующий файл тоже, оказывается, важно, ну, либо найти шаблон и скопировать на один шаг вперед, файл или просто уже начать копирование всех ваших файлов.
  5. Google, как сделать дамп памяти процесса на конкретной ОС, затем сделать дамп памяти соответствующих процессов. Черт, я мог бы свалить всю виртуальную память от машины.
  6. Закройте другие программы.
  7. Синхронизировать диск(с) так что нет больше писать кэш.
  8. Тянуть силой. Если ноутбук: снять аккумулятор, затем извлеките питания (если подключен).

Теперь вы находитесь в очень хорошем положении: власть выключена, чтобы отметить еще может произойти, и вы что ключ шифрования, который он использовал, плюс оригинальная программа. Беда в том, чтобы найти, что ключ шифрования и метод шифрования, но он должен быть где-то в памяти: просто вопрос времени. Позвонить своим знакомым хакером, чтобы перепроектировать программу, или, возможно, даже антивирус компании: они, наверное, много клиентов с таким же вымогателей и было бы очень любопытно получить дамп памяти, чтобы извлечь ключ.

Подключаем жесткий диск к другому компьютеру, восстановить любые файлы, которые не были зашифрованы, без особого риска. Просто Дон'т выполнять любые макросы Word или Open .EXE файлы с диска или что-то.

Резюме

Приостановить процесс вымогателей, поэтому мы можем сделать его копию и свою память, чтобы найти ключ шифрования. Затем выключите систему и следовать здравому смыслу оттуда. Остерегайтесь важных поврежденные файлы (на полпути зашифрованные файлы), так что проверить это в настоящее время работает на после паузы он.


В ответ на замечания

Этот комментарий уже несколько голосов:

в "ключ шифрования-то" не поможет во многих случаях, при запуске вымогателей соединяется с управляющим сервером и запрашивает новый пара шифрования(открытый и частный) должен быть создан. Сервер создает пары, магазины частные, и посылает общественности к зараженной машине. Затем зараженный машина использует открытый ключ для шифрования файлов, и единственный способ обратить его заключается в использовании закрытого ключа, то есть не переведены на машине жертвы до завершения платежа. – Антон Banchev

Это вызывает обеспокоенность, я думал при написании поста, но не решены.

Никто не шифрует данных с помощью асимметричного шифрования (также известный как шифрование с открытым ключом). Это's просто слишком медленно, поэтому асимметричного шифрования используется только в гибридного шифрования схемы. Даже ориентиры, как один встроенный в OpenSSL и отчет мегабайт в секунду для AES и операций в секунду для RSA. Не сравнимо вообще. Хит только я'вэ был в состоянии найти это переполнение стека ответ с источником, который даже не раскрывать свои методы: асимметричное шифрование в 1000 раз медленнее, чем симметричное шифрование.

Таким образом, метод шифрования для каждого файла почти наверняка симметричного шифрования (например, AES), который означает, мы также можем расшифровать его с тем же самым ключом, как это было зашифровано.

Обновление: кажется, по крайней мере, один из множества вариантов вымогателей использует только шифрование с открытым ключом. Видимо, это достаточно быстро, чтобы быть полезной, или они, очевидно, не будет использовать его. Я думаю, вы лучше надеюсь, что вы Дон'т иметь этот вариант? Конец обновления.

Я не'т знаю ни вымогателей, что делает это, но только так это все еще может быть проблема, когда каждый файл имеет уникальный ключ шифрования. В этом случае может только текущий файл будет восстановлен из памяти. Это, хотя, потому что ключевым вопросом управления для них: каждый из этих ключей должен либо передаваться или храниться в базе данных, которая шифруется (симметричного) мастер-ключ. В последнем случае, вероятно, можно восстановить мастер-ключ из памяти так же, в первом случае у вас проблемы. Но это все только догадки, в любом случае, я не'т знаю, что это вымогатели.

Выкуп посуды (или любое программное обеспечение для шифрования на то пошло) не будет зашифровать файл на месте, потому что зашифрованный файл будет не соответствовать незашифрованный файл бит-в-бит (если это's просто на XOR перемешать, в этом случае он's не реально шифрования). Что еще более важно, спонтанный аборт процесса шифрования (из-за отключения, работает от батареи и т. д.) позволят создать поврежден файл, который не может быть выкуплен. Вместо этого, эти программы всегда создать новый зашифрованный файл от старого, а потом удалить старый. По сути, большинство программ выкупа посуды есть проверяет перезагрузите наполовину зашифрованный большие файлы из-за отключения/перезагрузки.

Так что, если ты узнаешь, что твой середине шифрования, выключите компьютер - как можно скорее - и подключить жесткий диск на непораженной машина для резервного копирования.

О том, должны ли мне платить - понятия не имею. Зависит от размера выкупа и природа того, что's на мой жесткий диск во время. Поскольку я делаю примерно 2.50 $в час, и мой жесткий диск, в основном, содержит общедоступные научные данные, то ответ скорее всего нет.

Редактировать:

Гибернации, как это было рекомендовано другом плакате, гипотетически превосходит отключением компьютера во многом. Однако, практически, спящий режим может не работать. Любой процесс может сообщить системе, что он занят и не может быть остановлено прямо сейчас-даже видео с YouTube, в котором кот играет на пианино сможет это сделать. Это верно для OSX, Windows и Linux (в зависимости от того, как вы гибернации для Linux). Единственным решением в этих случаях процесс отказывается приостановить, чтобы убить процесс, который означает отсутствие дампа памяти. Поэтому лично я'лучше остановить шифрования как можно скорее выдергивая силовой аккорд, потому что если там's одна вещь, я могу гарантировать, что, что вирус-вымогатель будет положить ее ключ обратно в памяти в следующий раз, когда система загружается, потому что я этого'т пусть он закончит работу.

[Мод Примечание: этот ответ получает много флагов, но не достоин удаления. Это потенциально действительный курс действий, хотя и рискованное и потенциально незаконными в некоторых юрисдикциях. Из технические точки зрения, это имеет шанс быть способом сохранения данных. Пожалуйста, см. мета для дальнейшего обсуждения.]

Лучше всего сделать ничего. Делать что-то глупое может привести к потере или повреждению данных. Дайте ему закончить, а потом связаться с людьми, которые там перечислены, заплатить выкуп, и вы хорошо идти. Мы профессионалы и поможем вам получить ваши файлы обратно.

<суб>предупреждение: я-вымогателей разработчик.</суб>

Второй вопрос может создать много мнений как ответы. Я остановлюсь на первом вопросе. Что вы делаете, чтобы остановить потенциального откупился шифрования в прогресс?

Шаги:

  1. ООН-подключите машину из сети. Использовать другой компьютер для интернет-поиска для решения.

  2. Отключения машины с холодной силы-вниз. Не ждать машину, чтобы завершить ее нормального выключения проверки программного обеспечения.

  3. Отключите жесткий диск от машины.

  4. Установите новый жесткий диск в машину и установить новую, чистую ОС.

  5. Вставьте оригинальный диск к материнской плате, так что новая ОС может получить доступ к диску.

  6. Мощность новой операционной системы, открыть старый диск и сделать резервную копию.

  7. Храните резервные копии в физически защищенном месте, отдельно от первоначального (в случае пожара, наводнения, торнадо и т. д.).

  8. Улучшить ваш веб-браузер безопасности. Большая часть приложений позволяет установлены через JavaScript вредоносных программ.

Что касается второго вопроса: возможно, вы сможете восстановить некоторые данные, которые получили в зашифрованном виде. Следующие шаги могут быть полезны, после выполнения вышеописанных действий.

  1. Аудит данных на исходном диске, чтобы определить, если какие-либо файлы были успешно зашифрован. Обратите внимание, что файлы были зашифрованы. (Эта проверка должна быть завершена лишь от чистой ОС.)

  2. Из памяти (так как нет резервной копии), попробуйте вспомнить, что содержимое файлов и насколько они важны.

  3. Теперь, ориентируясь на наиболее важные файлы, которые были зашифрованы, увидеть, если методы восстановления файлов сможет восстановить исходный файл. Поскольку шифрование не может за-писать на месте (по многим причинам), вымогателей будет иметь доступ исходный файл при создании зашифрованную версию. Потом он удалил исходный файл с переменным успехом. Связаться с эксперт-восстановление файла, чтобы выяснить, если ваш несвязанные исходные файлы все еще существуют на диске.

Помните, чтобы защитить себя в будущем. Создавать резервные копии, сохранять их в автономном режиме, и предотвратить вымогателей с установкой. Смотрите как сделать вымогателей на людей'с компьютерами?

Немедленно выключить компьютер. При условии, что вы'повторно не собирается платить выкуп, любые данные, что вирус обрабатывать все равно проиграл. Так просто надавите на кнопку питания и удерживайте ее, или отключите провод.

*Установка Ubuntu или другого переносного дистрибутива Linux на USB-накопителе.** Последний раз я сделал это, он подходит на 2 ГБ палку. Я клонировал мой HDD на SSD с файловой системой ОС Windows. Смонтировать файловую систему только для чтения.

Резервное копирование только неисполняемые данные. Я'м не уверен, как и многие другие вирусы заражают исполняемые файлы, но если я делал вирус, это может также заразить архивного jar-файла Java, PHP скрипты, сервера, пакета и хэш-скрипты и все остальное я мог думать. Любую программу, которая может выполнять системные команды могут потенциально содержать вирус и запустить его. Это's не вероятно, но вполне возможно. Вы можете, например, base64 кодировать двоичный файл в файл bash...

Вам потребуется другой жесткий диск. Заполнить его с вашим документам, фотографиям или исходник. С учетом предыдущего пункта я сделал, проверьте исходный код'ы статус. Если вы используете систему управления исходным кодом, дамп исходный код. Процесс займет много времени. Внимательно выберите только то, что вам нужно. Может быть, вы'll найти, как много места на жестком диске занимали вещи, которые вы не'т даже вспомнить или необходимость.

Формат зараженный жесткий диск. Либо сделать это с загрузочного система Linux или вставьте выбранный диск установки операционной системы и давайте формате установки жесткого диска.

Я не рекомендую делать резервное копирование зараженного жесткого диска. Вы можете быть склонны держать копию зараженного жесткого диска ради документов, которые вы, возможно, забыли. Это'ы ловушка, просто отпустил его. Вы найдете много документов в папке "Входящие" электронной почты или отправленные.

В дополнение к отключению усилителя; amp; копией подход уже упоминалось, что есть'ы и еще один фактор: вымогателей хочет скрыть то, что's идя дальше, пока она'ы закончил он'ы зло, таким образом зашифрованные файлы обычно остается читаемым, как если бы они были'т зашифрованным, пока он's готовы требовать его'ы выкуп.

Как только вы нашли файлы, которые важны и шифруются поставить машину обратно вместе не в интернете и попытаться скопировать их. Если это работает, но не'т получить их все поставить резервную копию обратно на HD и прикупить еще.

Триаж ситуации (ссылаться на принцип ситуационной осведомленности)

  • Где сейчас компьютер? В офисе? Дома? В отеле? В противном случае на дороге?
  • Какую защиту предлагают здесь? Если вытащить сетевой кабель или выключить WiFi, можно переместить компьютер в более защищенной среде? Вы можете переместить его в офис? Если так, теперь резать сети! Как можно скорее!! Однако, не закройте все программы -- оставить их открытыми в состоянии, в котором они находились. Дон'т закрыть вкладки браузера. Дон't закройте подозреваемый документа или электронной почте.
  • Если портативный, привезти компьютер в офис. Вы попросите службу безопасности или его руководства, если они имеют каких-либо процедур для выполнения программы, такие как данные экспертизы возможности реагирования на инциденты. Вы узнайте, есть ли у них какие платформы безопасности, которые предотвращают вредоносные программы общения, такие как защищенных веб-шлюзов или единого решения для управления опасным.

    Цикл сдерживания # (выполняется по порядку сверху вниз)

  • Держите компьютер неподключенный к глобальной сети Интернет. Используйте другой компьютер и USB-накопители, если таковые имеются. Если не доступен, узнайте, что вы можете про вымогателей. Найти имена процессов, расширения файлов (например, .zepto для файлов, которые находятся на рабочем столе). Используйте отдельный компьютер для поиска вымогателей. Особенно гости ... https://www.nomoreransom.org
  • Сохранить все открытые программы, как они были. Не выключение или перезагрузка пока. Если вы можете сделать антивирус установки на отдельной машине, не оборачиваясь сеть, скопируйте установщик на компьютер, но не запускайте его пока. Не позволяйте ему или что-нибудь еще перезагрузить компьютер. Программа Malwarebytes для Windows или macOS, и вы должны использовать лицензионную версию, если вы занимаетесь бизнесом. Если это срочно, это может быть этически ОК, чтобы приобрести лицензию позже-вашему это руководство'ами называть.
  • Работы в этом инциденте. Документ, что вы нашли в этой точке, и то, что вы продолжаете находить. Более зрелые анализа данных и реагирования на инциденты программой (DFIR) будет иметь несколько основных вещей в месте. Вы можете хотеть начать на них сейчас. Они включают в себя: 1) воронка сети (например, единичный узел с DHCP-сервера, но продвинутый службами CERT будет у них возможность к VPN напрямую в), С, по крайней мере, ДНС РПЗ или DNS заблокировано возможности -- в самый, пожалуй, полный Дании или обманчиво-системной платформе. 2) может быть, что это изолированная сеть-платформа визуализации (например, Microsoft SCCM в, CloneZilla, FogProject, Symantec для управления клиентами, ранее altiris, С или призрак) с помощью PXE-загрузки функции. Это сделало бы отличное место для системы управления обеспечением (ММФ), зрелая DFIR возможность, которая помогает в этих случаях. Если ММФ можете вручную или автоматически выявлять подозрительные вымогателей процессы, файлы, записи реестра, и/или другие артефакты, а затем вернуться в режим исследования.
  • (Опционально) активировать любой DFIR процессов или платформы. Очень-зрелые DFIR программа будет иметь несколько дополнительных пунктов в место. Продолжая до (и, надеюсь, на одной и той же изолированной сети, хотя эти возможности являются большими, чтобы иметь в производственные сети также), они могут включать: 3) в криминалистике-анализ среды, особенно распределенной судебной системы, такие как Гугл быстрый ответ]7. Еще одним компонентом нашли здесь будет клиент на основе дистанционного визуализации удаленных объектов, таких как NBDServer. Основное различие заключается в том, что РРР является агентом на основе, коллекция-ориентированной системы с веб-интерфейсом, в то время как NBDServer способ, чтобы прикрепить судебно-под Linux рабочих станций на удаленном компьютере Windows. Вы можете как хотите, но так будет работать с macOS (также проверьте osquery). 4) криминалистические средства, которые привлекают конкретных артефактов для обработки на рабочих станциях экспертов. Мой любимый, и что's в комплекте в ГРР является pmem (т. е. winpmem, linpmem, osxpmem). Последние РЕПО на скачивание этих напрямую находится здесь, а может быть и позже обновления здесь. Открыть cmd.exe раковины, кликнув правой кнопкой мыши на запуск от имени администратора (или macOS/Linux в терминале консоли с помощью sudo/root права) и затем запустите программу pmem. Как только вы've собрали выходной, копировать артефакты к вашей рабочей станции, судебно-медицинская экспертиза и анализ с "воспоминаниями" и/или волатильности рамки (обе хорошо известны в сообществе DFIR). Приятно собрать второй дамп памяти, используя руководствуясь оперативной памяти программа Для сравнения, которое устанавливает драйвера Windows. Другой фаворит FTKImager (облегченная версия ладно), и я хотел бы начать с подкачки извлечения файла, так что я могу использовать page_brute инструмент. Участвовать в последнюю минуту DFIR конспирация.
    • Различать, что хорошо известные и известные плохим. Полагаться на ММФ здесь. Если вы Don'т иметь один, настроить самый быстрый вариант который вы, возможно, может. Также программа Malwarebytes работает, видя вещи в действии. Это почему это's важный, чтобы оставить все, как было раньше. Установить и запустить программу Malwarebytes впервые сейчас. Дон'т позвольте ему, чтобы перезагрузить компьютер. Вместо закрытия вкладки браузера, перезагрузить его. Вместо прокрутки на другой адрес электронной почты в Outlook, откройте же известно-плохой документ, который, возможно, был причиной вымогателей. Сделать быструю проверку браузера и прокрутите через почтовый клиент, если открыть просмотр для других событий (обычно в течение 10 минут, прежде чем конечный пользователь думает, что заражение произошло) и действий на них, если они появляются обзоры. Помните, что вы'повторно не на весь Интернет-всего лишь сеть, которая отвечает на DNS-запросы и направляет их в некоторых местах-фальшивые услуги.

      Цикл смягчения # (удалить компромисс любыми средствами и убедитесь, что он не вернется. Вернуть машину в рабочее состояние)

  • Сидеть на корточках. Вы еще'т перезагружается, закрыл все программы, или подключен к глобальной сети, верно? Хорошо. Позвоните DFIR завершить и закрыть все видимые программы. Вы'вэ побежал Malwarebytes на фальшивую сеть. Вы'ве надеюсь, и собранные экспонаты работает памяти (включая файл подкачки) с все открытые программы. Вы даже можете убить плохие процессы (если антивирус еще'т уже). Обратитесь к вашему ММФ определить заведомо исправный процессы и убить все, кроме тех, что надо держать ОС, которая работает, если это связано с тем, что мы'снова вверх к следующему: проверка локальных или удаленных резервных копий и Службы теневого копирования томов (VSS).
  • Узнайте, что можно восстановить, а что нельзя. В Windows XP создает точки восстановления системы каждые 24 часа. Начиная с Windows 7, однако есть механизм теневого копирования Тома, которая также создает резервные копии файлов и так далее. Все эти действия происходят автоматически без каких либо действий пользователя. Если вы можете клонировать весь диск. Если вы можете'т из-за ограниченного времени, дискового пространства, или другие сортировки, то доступ к встроенной функции резервного копирования операционной системы. Позвольте'ы предположить, Win7 или выше, и вы можете следовать вместе, но изначально я взял идеи из книги операционная система криминалистики (и это's также покрыты реагирования на инциденты & компьютерная криминалистика, третье издание):

    C:\Windows\system32> vssadmin список теней [...] содержание теневого копирования набор код: {45540ad8-8945-4cad-9100-5b4c9a72bd88} содержащейся 1 теневые копии по времени создания: 3/4/2012 5:06:01 вечера теневая копия удостов: {670353fe-16ff-4739-ad5e-12b1c09aff00} Оригинал объем: (с:)\?\Объем{33faab95-9bc6-11df-9987-806e6f6e6963}\ объем теневой копии: \?\GLOBALROOT\устройство HarddiskVolumeShadowCopy27 отправителя: Владимир обслуживание машины: фанхаус поставщик: ‘программного обеспечения Microsoft поставщик теневого копирования 1.0’ тип: ClientAccessibleWriters атрибутами: стойкие, доступной для клиентов, без авто выпуска, дифференциал, взятый автомобиль mklink /Д c:\vss \\?\GLOBALROOT\устройстве\HarddiskVolumeShadowCopy27 и вы можетекд \ВССиреж, чтобы увидеть, если файлы, которые вымогателей расширение (т. е. файлы или каталоги, которые были зашифрованы) доступны в незашифрованном состоянии, перейдя через который, как корневой путь. Затем вы можете\команду rmdir ВСС`, когда закончил, другой HarddiskVolumeShadowCopy итерации как вам будет угодно. Харлэн Карви и криминалисты Вики также подробно эти методы.

    • Убедитесь, что вы собрали всю информацию, вам нужно до перезагрузки. С установлен Malwarebytes, он'ы будете хотеть, чтобы перезагрузить. Вы можете, однако, установить некоторые другие пакеты до перезагрузки. Если у вас возникла проблема с системой восстановления или ВСС восстановление файлов, а затем проверить Арсенал разведку изображения монтировщика (Это особенно важно, чтобы попробовать это, потому что Ransomware может на самом деле пойти после точки восстановления и ВСС себя, отключив их). Еще одна интересная вещь, чтобы сделать прежде, перезагрузка-выполнить преобразования P2V виртуальных машин гостевых операционных клон, обычно с для vCenter конвертер. Потому что вы'll тоже вероятно подключении к глобальной сети после перезагрузки, также убедитесь, что вы сможете обновить ОС на уровне приложения и на уровне патчей. Вы можете проверить бесплатную пробную версию инспектор корпоративного программного обеспечения от Flexera (ранее компании Secunia) если у вас больше ничего нет. Еще один любимый Майкрософт базовый анализатор безопасности (средство mbsa) программы. Проверить несколько настроек, такие как брандмауэр Windows или же macOS безопасность & конфиденциальность разделе "Системные настройки". Если вы хотите ознакомиться с большим списком параметров безопасности, будьте уверены, чтобы проверить бесплатный инструмент, шлюз, от Lunarline (н. б., она работает только с ОС Windows версий 7, 8 и 8.1 и будет распространяться только параметры безопасности в Internet Explorer версий 8, 9 и 10-но этот инструмент является фантастическим в безопасной конфигурации связи). Убедитесь, что сетевые ресурсы не будут присоединять/перекодировки при перезагрузке компьютера. Вы можете проверить это в окна и в ОС macOS.
  • Восстановление; Восстановление; Восстановление. Последнее, что нужно сделать перед перезагрузкой, чтобы проверить автозапуск. Для Windows, это значит запустить автозапуск (опять же, попытаться сделать это через USB или сети Лаборатории/восстановления вместо глобального интернета). Постарайтесь изучить каждую деталь с экспертом. В macOS, чтобы просмотреть элементы, которые будут запускаться при запуске, зайдите в Системные настройки, Пользователи & группы и приложения. Восстановить путем перезапуска и обращая внимание на вирус, если он предложит. Восстановление при запуске программа Malwarebytes. Восстановление, получение одобрение для подключения к глобальной сети Интернет. Программа Malwarebytes Обновление. Снова запустить программу Malwarebytes. Обновление вашей операционной системы и запускать любые встроенные или сторонние уровне ОС и на уровне приложения обновления программ. Восстановление, позволяя обновления завершения и перезагрузки, если они вам подскажут. Теперь можно скопировать файлы были восстановлены из резервной копии и заменить зашифрованные файлы. Убедитесь, что вы восстановили все данные в то состояние, которое было до инцидента угрозы для человека.
  • Использовать компьютер. Это нормально? Все вернется к нормальной жизни? Это ОК, чтобы убить процессы или остановить сервисы, которые вы считаете все-таки страшный. Если файлы отсутствуют или не могут быть расположены из резервных копий, то какое следующее обращение? Мое предложение состоит в том, чтобы скопировать все равно-зашифрованные файлы на устройства хранения, такие как USB диск. Возможно, на более позднее время восстановления утилита будет построен для вымогателей файлов. Ли этот закон, если он имеет какие-либо вредоносных программ (не только рекламных) до сих пор? Если так, то карантин и нагнетать исследования, экспертизы, и DFIR возможности.
  • Будьте готовы использовать другой компьютер даже если это, кажется, нормально. Будьте готовы сдать свой компьютер в качестве эксперта. Будьте готовы позволить ей сидеть в карантине дольше. Быть в курсе и готовы, что во время следующего и последнего этапа, вы могли бы никогда не увидеть этого конкретного компьютера снова.

    Искоренения цикла (увеличение ситуативное понимание, разбор)

  • Узнайте, как вымогателей был выполнен или установлен. Просмотреть и записать, что случилось, что вы'вэ документально и т. д. Хранить информацию и работать с более формальной системы, таких как следующих, nightHawkResponse, СОФ-Элк, Малькольм, malcontrol, или МИСП. Использовать любые формальные сим или в тикет системе, чтобы отслеживать этот вопрос или искать обзоры последних вопросов, таких как MozDef. Действительно добраться до сути, как он был установлен или казнены, хотя ты должен понимать, как это работает. Если вы можете't вручную сделать это, по крайней мере, использовать автоматический анализ вредоносных программ (АМА) какой-то. Если ваш УТМ в офис сети Пало-Альто и ваша компания имеет лицензию на пожар, то у вас уже есть АМА. Другие коммерческие АМА платформы включают в себя: строчка, Cyphort, КПП, Мак-песочница (расширенный угрозу обороноспособности или АТД), Symantec в синий сюртук компания FireEye, тренд микро глубокое Открытие, песочница, Фиделис, Cisco и ThreatGRID, и Fortinet. Я'вэ определили эти здесь, так что вы можете задать свой ИБ или ИТ-технологий-лидер команды, если таковой существует, так что они могут пойти посмотреть, что его нашли. Если ничего нет, то может позвонить поставщику и спросить, почему нет?
    • Экстракт вымогателей's характеристики и поведение для корреляции. Сравнить хеш и другие показатели компромисса (МНК) с заведомо некорректных значений более глубокое, что то, что произошло до сих пор. Если инфекция вымогателей пришло от вредоносных макросов в документ Office (или даже непосредственно из электронной почты), затем извлечь макросы VBA с использованием Дидье Стивенс инструменты]35: emldump и oledump. Для полного поведение исполняемый файл, который вы нашли в вашей памяти криминалистического анализа, Кукушка песочница в его много, много итераций (в том числе онлайн-сервис представить, Malwr, который базируется его)-это инструмент (даже для macOS]42 исполняемые файлы!). Похожие на Malwr являются грузоподъемность безопасности, в Comodo Камас сертификат Валькирия, MalwareViz, ThreatExpert, ThreatTrack, и Vicheck, Все вытащил из книг, которые охватывают скриншоты и глубоких методов анализа с названиями вроде: расширенный анализ вредоносных программ, как: Windows, вредоносные анализ основы. За коммерческий инструмент дешевый, проверьте JoeSecurity, если на сайте есть много полезных ссылок о AMA на их блог. Если вымогатели сделали все сетевые подключения (или любые другие вредоносные сообщения были обнаружены на компьютере), выяснить, куда они едут и зачем.
  • Знай своего врага и реагировать соответствующим образом. Вы Don'т должны быть (или назначить или нанять), а DFIR или опасный эксперт разведки, чтобы очистить поверхность вашей атаки вымогателей (хотя это помогает). Однако, если вы знаете, что у вас есть АПТ вымогатели вместо уголовно-мотивированный вымогателей, то для вас есть специальная рода проблемы. Возможно, вымогателей был доставлен по локальной сети, например, через Microsoft активный каталог объектов групповой политики (объявление ГПО). Если у вас есть подозрение, что атаки нацелены (например, только бизнес'с компьютеров вымогателей, или только высокопоставленных лиц), то вам действительно нужно, чтобы кто-то другой класс домашнее задание для вас. Если вы думаете, вы можете сделать это сами, то вперед ... этот сайт поможет вам в ваших поисках-http://www.threathunting.net
  • Превентивно остановить повреждение до следующего события. Если он был просто ваш компьютер, подумайте об обновлении вашей операционной системы или включения высокий уровень контроля учетных записей, как это возможно (или оба). Проверьте настройки обновления Windows на панели управления. Если вы ИТ-или ИБ профессиональное помогать другим с вымогателей, то пришло время пересмотреть две политики: 1) Ты не админ политики, т. е. обычные пользователи не должны иметь доступ администратора, и 2) приложения список разрешенных политики. Есть несколько трюков, чтобы приложения в белый список, что необходимо знать, особенно для Windows. Читать этот набор слайдов, особенно начиная с слайд 15 -- http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf -и обратите внимание, что следующие десять слайдов (15-25) избавит вас от вымогателей бесплатно, довольно много-постоянно. Однако, я настоятельно советую вам прочитать слайды 29-37, чтобы понять, что нужно установить PowerShell V5 на каждом компьютере конечного пользователя с приложением-белые списки политику AppLocker. Нелегкая задача, но если вы заинтересованы, пожалуйста, спросите в комментариях и я'МР ответа нет или обновлять мой ответ здесь.
  • Обновления; Обновление; Обновление. Обновить все неподдерживаемые ОС в сети (они уменьшают свой среднесрочный варианты и оборонительные возможности, в том числе осанка). Обновление до новой ОС. Запустите ваш обновления ОС. Обновление ваших приложений. Обновить Плагины. Обновите свой офисный пакет. Если вы можете обновление до Office 2016, то вы можете использовать простой рекламный объект (по аналогии с функцией AppLocker описанному непосредственно выше) на заблокировать выполнение макросов в Office файлы из интернета.
    • Убедитесь, что вы продолжаете оставаться в курсе. Дон'т сделать это легко сказать нет обновления (следовательно, почему нет-админ политике). Нажимаем групповой политики для изменения политика "локальный компьютер" – Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Центр обновления Windows пунктам. Например, изменение повторный запрос для перезагрузки при запланированных установках, позволяющих с 1440 (24 часа) после установки не выполнять автоматическую перезагрузку, если в системе работают пользователи для запланированных автоматических установок обновлений включена. Закончить сразрешить немедленную установку автоматических обновлений, чтобы включить. Уведомить всех конечных пользователей через политики, а также через сотрудника или ориентация подрядчика, что компания будет предположить, что если ваш компьютер включен, то компания может потребовать выполнить перезагрузку хотя бы через день. Это справедливая политика. Некоторые пользователи, особенно работники САПР, предпочитают оставлять свои компьютеры в течение нескольких дней или недель за один раз (некоторые даже месяцев!). Убедитесь, что у вас правильный процесс исключения для таких конечных пользователей, а также гарантировать, что они получают исправлены некоторые согласованной политики исключения дополнительных согласованных Альтернативный или компенсирующие меры. Большинство выиграл'т так Дон'т пусть! Компьютеры Apple могут иметь корневого уровня расписанию, которое работаетвеб-узел -я-ежедневно. Помните, что для PXE-загрузки по сети используется в цикле сдерживания? Убедитесь, что базовые установки изображения обновляются в соответствии с этими же политики (т. е. каждый день), предпочтительно посредством автоматизации. В то время как вы'снова там, будьте уверены, чтобы обновить любое другое локальное программное обеспечение (через инспектор корпоративного программного обеспечения или подобных), и в частности: анти - -вирус программного обеспечения или обновления агента. Возможно (я уж точно) слышал рассказы о том, что новый сотрудник или подрядчик получает Ново-изображены ноутбук и получает вредоносные программы или программы-вымогатели в первый день на работу! Предотвратить эти сценарии от происходящего, сохраняя свои базовые образы современные, а также-и это отлично работает вместе с системой ММФ вы'вэ построен на той же изолированной сети! Держать эти заведомо исправный хэши в курсе! Это's также хорошее место, чтобы начать отслеживать инвентаризации активов для всех пользователей и элементов, которые составляют ваше предприятие.
  • Точить пилу. Ваша команда ИБ и/или ИТ-менеджмента должны знать, что они'вновь действительно делаю неправильно здесь, что вымогатели активно в своей среде. Есть так много бесплатных (или платных) вариантов, которые они могут иметь. Я просто перебрал называется Microsoft реп от их инициативного сезона. Если векторы идут от макросов, чтобы исправить эту проблему; USB-кабеля, что одна; АПТ, ну ... просто сделайте ваше самое лучшее для каждой проблемы (а не симптомы), которые вы можете. В виде слайдов, которые я привел в активное сечение стержня имеет большое непосредственный-простой, бесплатный идей, которые можно реализовать на сетевом уровне, для потокового журнала, для системы управления, или на организационном уровне. Также увидеть этот документ ... https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf -- где у меня есть многие из этих идей.

Примечание: как 'лучший ответ' Похоже, больше ориентирован на опытных пользователей (даже для уровня реагирования на инциденты команды), это будет легко выполнимо для любого пользователя со знаниями о Linux и концертники.

.

.

На рискуя показаться невежей, я'будете ответить на один-лайнер:

Выключить компьютер и загрузиться прямо с компакт-диска в Linux.


Деталь:

Если это'ы ОС Windows, выключите систему и загрузки Linux лайв CD. Резервное копирование данных, а затем клонировать резервного копирования. Держите один безопасный и попробуйте запустить другой под чистой ОС.

Если это'ы для Linux затем приложений позволяет предназначен для работы под Linux, так же как процесс резервного копирования, а затем просто запустить его под другой ОС (*BSD и Windows, Андроид построен на Линуксе, но значительно отличаться по моему опыту-).

Конечно, как разработчик приложений позволяет сказал, Вы могли бы также позволить ему закончить. Если вы остановитесь в середине процесса, вы'МР, скорее всего, никогда не восстановить то, что был уже зашифрован. Вы'll не иметь ID, чтобы связаться с разработчиками, и они, вероятно, могут еще не получили свой ключ шифрования. При желании, вы можете комбинировать оба. Используйте то, что я сказал раньше, то просто загрузитесь на зараженной системы резервного копирования и дайте ему закончить.

Чтеца: я'м на человека картофель; т. е. не разработчик ничего

Вымогателей распространяется только потому, что человек платит его, вопросы и ответы, помощь в получении вымогателей репутацию, что скорее всего, чтобы заставить людей платить. Это гораздо лучше вложить деньги в хороший антивирус, чем платить позже, чтобы восстановить ваши данные.

Если прервать процесс в центре могут быть вредны (потому что разработчики хотели бы вы не пытались остановить шифрования), ничего не мешает патологическое прерывание, связанные с потерей данных (удерживая кнопку сброса в течение нескольких секунд, синий экран вызван водитель багги... ). В общем-то зашифрованные данные не толерантны к небольшим ошибку в один бит (неправильный бит не имеет никакого значения в текстовый файл, но неправильная бита зашифрованных данных привести к потере всех данных)

Также вымогателей разработчики должны на самом деле платить вам небольшую часть вашей цене жесткий диск, потому что многих я/на самом деле о операции, сократить срок службы вашего жесткого диска.

Еще один важный момент, просто сбросить пароль вашего счета, но Дон'т еще введите код активации. Повреждения Ransomware может быть ограничено, если некоторые данные хранятся на облачных сервисах или какому-либо серверу, что означает, что если вредоносная программа получит доступ к твоим данным / сессий он может получить доступ к надежно хранятся сведения увеличивая урон. Сброс паролей будет блокировать дальнейший доступ к вашей учетной записи (при условии, что ваш смартфон не заражен и реактивации код не перехватывается).

Многие веб-сервисы, которые предоставляют уникальный логин также позволяет управлять доступом к устройствам и делать какие-то действия в случае кражи учетных данных (или якобы украденные учетные данные).

Это как один из математических задач в теории игр, вы будете платить, чтобы получить небольшое преимущество сразу (восстановление данных), или вы будете просто игнорировать вымогателей, позволяя ему выходить ведения бизнеса в "хорошие" в долгосрочной перспективе для всех?