Vă porniți calculatorul într-o zi și, în timp ce îl utilizați, observați că unitatea este neobișnuit de ocupată. Verificați Monitorul de sistem și observați că un proces necunoscut utilizează procesorul și citește și scrie foarte mult pe unitate. Faceți imediat o căutare pe internet pentru numele procesului și descoperiți că este numele unui program ransomware. De asemenea, apare o știre care vă spune cum un site popular de distribuție de software a fost recent compromis și folosit pentru a distribui același ransomware. Ați instalat recent un program de pe acel site. În mod clar, ransomware-ul este în curs de a-și face treaba murdară.
Aveți o cantitate mare de date importante pe unitatea internă și nu aveți nicio copie de rezervă. Există, de asemenea, o cantitate substanțială de date neimportante pe unitatea respectivă.
Titlul acestei întrebări spune operațiunea "la jumătatea" operațiunii, dar în acest exemplu nu am investigat încă cât de departe ar fi putut ajunge ransomware-ul în "munca" sa .
Putem analiza două situații:
Dacă este posibil fără riscuri, doriți să știți dacă părțile importante ale datelor dvs. sunt într-adevăr criptate și suprascrise. De asemenea, vreți să încercați să extrageți cât mai multe din datele dvs. fără a înrăutăți situația. Nu v-ar plăcea să plătiți o răscumpărare. Dar anumite părți ale datelor sunt atât de importante pentru dvs. încât ați dori, în ultimă instanță, ca ultimă soluție, să puteți plăti pentru o șansă de a le recupera, mai degrabă decât să riscați să pierdeți o parte din ele.
Pas cu pas, care este lucrul ideal de făcut în situațiile 1 și 2? Și de ce?
Notă: Aceasta este o situație ipotetică. Nu mi s-a întâmplat de fapt. Întotdeauna păstrez copii de rezervă externe ale datelor mele importante și nu am fost niciodată afectat de ransomware.
Puneți calculatorul în hibernare
Dacă ransomware-ul criptează fișierele, cheia pe care o folosește pentru criptare se află undeva în memorie. Ar fi de preferat să obțineți o copie a memoriei, dar este puțin probabil să aveți la îndemână hardware-ul adecvat pentru acest lucru. Ar trebui să funcționeze, de asemenea, descărcarea doar a procesului potrivit, dar aflarea acestuia ar putea să nu fie trivială (de exemplu, codul malițios ar putea rula în explorer.exe
) și trebuie să îl descărcăm acum.
Hibernarea computerului este o modalitate ieftină de a obține o imagine de memorie¹ Apoi, aceasta ar putea fi montată read-only pe un computer curat pentru
a) Evaluarea pagubelor provocate de ransomware
b) Recuperarea fișierelor necriptate².
c) Extragerea criminalistică a cheii din memorie din procesul malițios, alte tipuri de recuperare avansată a fișierelor etc.
Rețineți că prin read-only mă refer la faptul că nu se efectuează nicio scriere, pentru șanse maxime de recuperare. Conectarea normală la un alt sistem Windows nu va oferi acest lucru.
Pentru (c) ați avea probabil nevoie de asistență profesională. Acesta poate fi oferit gratuit de către furnizorul antivirusului dumneavoastră.
Chiar dacă nu reușiți să vă recuperați toate fișierele sau dacă vi se spune că este imposibil sau prea costisitor, păstrați discul cu fișierele criptate. Ceea ce este imposibil astăzi poate fi mai ieftin sau chiar banal peste câteva luni.
Vă recomand să efectuați pur și simplu noua instalare pe un alt disc (oricum urma să reinstalați, calculatorul era infectat, vă amintiți?), iar pe cel infectat -etichetat corespunzător- să-l păstrați într-un sertar.
--
În ceea ce privește cea de-a doua întrebare, în cazul în care vreți de fapt să plătiți răscumpărarea sunt destul de sigur că autorul ransomware-ului vă poate da înapoi fișierele chiar dacă nu toate au fost criptate. Dar, dacă este cu adevărat necesar, ai putea să pornești de pe discul hibernat după ce l-ai clonat, și să-l lași să termine de criptat fișierele (acum copiate)...
¹ NB: dacă nu ați avut un fișier de hibernare, acest lucru poate suprascrie versiunile în text clar ale fișierelor acum criptate care ar fi putut fi recuperate (nu este relevant pentru cele mai recente ransomware, totuși).
² Presupunând că nu sunt infectate...
Ce aș face eu:
Sunteți acum într-o poziție destul de bună: alimentarea este oprită, deci nu se mai poate întâmpla nimic și aveți orice cheie de criptare pe care o folosea, plus programul original. Problema este să găsiți acea cheie de criptare și metoda de criptare, dar trebuie să se afle undeva în memoria de proces: este doar o chestiune de timp. Sunați-vă prietenii hackeri pentru a face inginerie inversă a programului sau poate chiar o companie antivirus: probabil că au o mulțime de clienți cu același ransomware și ar fi foarte curioși să obțină o descărcare de memorie pentru a extrage cheia.
Conectarea hard disk-ului la un alt computer va recupera orice fișier care nu a fost încă criptat, fără prea multe riscuri. Pur și simplu nu executați macro-uri Word sau nu deschideți fișiere .exe de pe unitate sau altceva.
Puneți pe pauză procesul ransomware pentru a putea face o copie a acestuia și a memoriei sale pentru a găsi cheia de criptare mai târziu. Apoi opriți sistemul și urmați bunul simț de acolo. Aveți grijă la fișierele importante corupte (fișiere criptate la jumătate de drum), așa că verificați-l pe cel la care lucra în prezent după ce l-ați pus pe pauză.
Acest comentariu are câteva upvotes acum:
"Cheia de criptare" nu ar fi de ajutor în multe cazuri, la pornire ransomware-ul se conectează la serverul de comandă și control și solicită crearea unei noi perechi de criptare(publică și privată). Serverul creează perechea, o stochează pe cea privată și o trimite pe cea publică către mașina infectată. Apoi, mașina infectată utilizează cheia publică pentru a cripta fișierele, iar singura modalitate de a inversa acest lucru este de a utiliza cheia privată, care nu este niciodată transferată către mașina victimei până când nu se efectuează o plată. - Anton Banchev
Aceasta este o preocupare la care m-am gândit în timp ce scriam postul, dar pe care nu am abordat-o încă.
Nimeni nu criptează niciodată date cu criptare asimetrică (cunoscută și sub numele de criptare cu cheie publică). Este pur și simplu prea lent, așa că criptarea asimetrică este folosită doar în schemele de criptare hibridă. Chiar și testele de referință, precum cel integrat în openssl, raportează megabytes pe secundă pentru AES și operațiuni pe secundă pentru RSA. Nu sunt deloc comparabile. Singura reușită pe care am reușit să o găsesc este acest răspuns de pe Stack Overflow cu o sursă care nici măcar nu și-a dezvăluit metodele: criptarea asimetrică este de 1000 de ori mai lentă decât criptarea simetrică.
Așadar, criptarea folosită pentru fiecare fișier este aproape sigur o criptare simetrică (precum AES), ceea ce înseamnă că îl putem decripta și cu aceeași cheie cu care este criptat.
Update: se pare că cel puțin una dintre numeroasele variante de ransomware folosește doar criptarea cu cheie publică. Se pare că este suficient de rapidă pentru a fi utilizabilă, altfel, evident, nu ar fi folosit-o. Cred că ar fi bine să sperați că nu aveți această variantă? Sfârșitul actualizării.
Nu cunosc niciun ransomware care să facă acest lucru, dar singurul mod în care acest lucru ar mai putea fi o problemă este atunci când fiecare fișier are o cheie de criptare unică. În acest caz, doar fișierul curent ar putea fi recuperat din memorie. Acest lucru ar cauza totuși o problemă de gestionare a cheilor: fiecare dintre aceste chei ar trebui fie transmisă, fie stocată într-o bază de date care este criptată cu o cheie principală (simetrică). În cel de-al doilea caz, probabil că ați putea recupera cheia principală și din memorie, în primul caz aveți o problemă. Dar oricum toate astea sunt doar speculații, nu cunosc niciun ransomware care să facă asta.
Ransom-ware (sau orice alt software de criptare) nu va cripta fișierul pe loc, deoarece dimensiunea fișierului criptat nu va corespunde cu cea a fișierului necriptat bit cu bit (cu excepția cazului în care este vorba doar de o amestecare xor, caz în care nu este vorba de o criptare reală). Mai important, un avort spontan al procesului de criptare (din cauza unei închideri, a rămânerii fără baterie etc.) ar crea un fișier corupt care nu poate fi răscumpărat. În schimb, aceste programe creează întotdeauna un nou fișier criptat din cel vechi, apoi îl șterg pe cel vechi. De fapt, majoritatea programelor ransomware au verificări pentru a reporni fișiere mari pe jumătate criptate din cauza unei închideri/restartări.
Deci, dacă descoperiți că sunteți la jumătatea procesului de criptare, opriți computerul - cât mai curând posibil - și montați hard disk-ul pe o mașină neafectată pentru backup.
În ceea ce privește dacă plătesc sau nu răscumpărarea - habar nu am. Depinde de mărimea răscumpărării și de natura lucrurilor care se află pe hard disk-ul meu la momentul respectiv. Având în vedere că câștig aproximativ 2,50 dolari pe oră, iar hard disk-ul meu conține în principal date științifice disponibile public, răspunsul este cel mai probabil nu.
EDIT:
Hibernarea, așa cum a recomandat celălalt poster, este ipotetic superioară opririi calculatorului din multe puncte de vedere. Cu toate acestea, în practică, este posibil ca hibernarea să nu funcționeze. Orice proces poate spune sistemului că este ocupat și că nu poate fi oprit în acest moment - chiar și un videoclip de pe YouTube cu o pisică cântând la pian poate face acest lucru. Acest lucru este valabil pentru OSX, Windows și Linux (în funcție de modul de hibernare pentru Linux). Singura soluție în aceste cazuri în care procesul refuză să se suspende este de a omorî procesul - ceea ce înseamnă că nu se poate face o descărcare de memorie. Așa că, personal, aș prefera să opresc criptarea cât mai repede posibil prin smulgerea cablului de alimentare, pentru că, dacă există un lucru pe care îl pot garanta, este că ransomware-ul își va pune cheia înapoi în memorie la următoarea pornire a sistemului, pentru că nu l-am lăsat să termine treaba.
[Nota Modificării: Acest răspuns primește multe stegulețe, dar nu merită să fie șters. Acesta este un curs de acțiune potențial valabil, deși riscant și potențial ilegal în unele jurisdicții. Din punct de vedere tehnic, aceasta are șanse de a fi o modalitate de a păstra datele. Vă rugăm să consultați Meta pentru discuții suplimentare].
Cel mai bun lucru de făcut este să nu faci nimic. A face ceva stupid ar putea duce la pierderea sau coruperea datelor. Lasă-l să se termine și apoi contactează persoanele listate acolo, plătește răscumpărarea și poți pleca. Noi suntem profesioniști și vă vom ajuta să vă recuperați fișierele.
Disclaimer: Sunt un dezvoltator de ransomware..
A doua întrebare poate genera o mulțime de opinii ca răspuns. Eu mă voi concentra asupra primei întrebări. Ce faceți pentru a opri o potențială criptare cu răscumpărare în curs?
Pași:
Deconectați imediat mașina de la internet. Folosiți o altă mașină pentru căutările de soluții pe internet.
Opriți mașina afectată cu o deconectare la rece. Nu așteptați ca mașina să finalizeze inspecțiile software normale de oprire.
Porniți noul sistem de operare, accesați unitatea veche și faceți o copie de rezervă.
Păstrați copia de rezervă într-o locație sigură din punct de vedere fizic, separată de cea originală (în caz de incendiu, inundație, tornadă etc.).
Îmbunătățiți-vă securitatea browserului web. O mare parte din ransomeware se instalează prin intermediul malware-ului JavaScript.
În ceea ce privește a doua întrebare: poate că puteți reconstrui o parte din datele care au fost criptate. Următorii pași ar putea fi de ajutor, după finalizarea pașilor de mai sus.
Din memorie (deoarece nu există o copie de rezervă), încercați să vă amintiți care este conținutul fișierelor și cât de importante sunt acestea.
Acum, concentrându-vă asupra celor mai importante fișiere care au fost criptate, vedeți dacă tehnicile de recuperare a fișierelor pot recupera fișierul original. Deoarece criptarea nu poate suprascrie pe loc (din mai multe motive), ransomware-ul ar fi accesat fișierul original în timp ce a creat versiunea criptată. Apoi, este posibil să fi șters fișierul original, cu diferite grade de succes. Contactați un expert în recuperarea fișierelor pentru a afla dacă fișierele originale nelegate mai există încă pe disc.
Nu uitați să vă protejați în viitor. Faceți copii de rezervă, păstrați-le off-line și împiedicați instalarea ransomware-ului. Consultați Cum intră ransomware-ul în calculatoarele oamenilor?1
Închideți imediat calculatorul. Dacă nu sunteți pe cale să plătiți răscumpărarea, orice date pe care virusul le procesează sunt oricum pierdute. Așa că apăsați butonul de pornire și țineți-l apăsat, sau deconectați cablul.
Instalează Ubuntu sau o altă distribuție Linux portabilă pe stick-ul USB. Ultima dată când am făcut acest lucru a încăput pe un stick de 2GB. Îmi clonam HDD-ul pe SSD cu sistemul de fișiere Windows. Montați sistemul de fișiere read-only.
Realizați un backup numai pentru datele neexecutabile. Nu sunt sigur cât de mulți viruși infectează alte executabile, dar dacă aș face un virus, acesta ar infecta și arhivele Java JAR, scripturile de server PHP, scripturile batch și hash și tot ce mi-ar veni în minte. Orice program care poate executa comenzi de sistem poate, potențial, să dețină virusul și să-l execute. Nu este probabil, dar este posibil. Puteți, de exemplu, codifica în baza64 coduri binare în fișierul bash...
Voi avea nevoie de un alt hard disk. Umpleți-l cu documentele, fotografiile sau codul sursă. În ceea ce privește punctul anterior pe care l-am menționat, verificați starea codului sursă. Dacă folosiți controlul sursei, descărcați codul sursă. Procesul va dura mult timp. Alegeți cu grijă doar ceea ce aveți nevoie. Poate veți descoperi cât de mult din spațiul de pe HDD a fost ocupat de lucruri de care nici măcar nu vă amintiți sau de care nu aveți nevoie.
Formatați hard disk-ul infectat. Fie faceți acest lucru din sistemul de salvare Linux, fie introduceți discul de instalare al sistemului de operare preferat și lăsați programul de instalare să formateze hard disk-ul.
Nu vă recomand să faceți o copie de siguranță a hard disk-ului infectat. S-ar putea să fiți înclinat să păstrați o copie a hard disk-ului infectat de dragul documentelor pe care le-ați fi putut uita. Este o capcană, doar lași-o baltă. Veți găsi multe documente în cutia poștală sau în dosarul trimis.
În plus față de abordarea de închidere și copiere pe care au menționat-o alții, mai există un alt factor: Ransomware-ul dorește să ascundă ceea ce se întâmplă până când își termină răul - astfel, fișierele criptate sunt de obicei încă lizibile ca și cum nu ar fi fost criptate până când este gata să ceară răscumpărarea.
După ce ați localizat fișierele care contează și care sunt criptate, puneți mașina la loc, nu pe internet și încercați să le copiați. Dacă acest lucru funcționează, dar nu le obține pe toate, puneți copia de rezervă înapoi pe HD și mai luați câteva.
C:\Windows\system32> vssadmin list umbre [...] Conținutul de shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Conținute 1 copii în umbră în timp creație: 3/4/2012 5:06:01 PM Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00} Volumul Inițial: (C:)\?\Volumul{33faab95-9bc6-11df-9987-806e6f6e6963}\ Shadow Copy Volum: \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 Originare Masina: funhouse Mașină de Serviciu: funhouse Furnizor de: Microsoft Software-ul Shadow Copy furnizor de 1.0' Tip: ClientAccessibleWriters Atribute: Persistente, Client-accesibil, Nu auto de presă, Diferențial, Auto recuperate
mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 și puteți
cd \vssși
dirpentru a vedea dacă fișierele care au avut ransomware extensia de fișier (de exemplu, fișierele sau directoarele care au fost criptate) sunt disponibile într-o necriptate stat de traversare prin care ca o cale rădăcină. Puteți apoi
rmdir \vss`, atunci când a terminat, încearcă un alt HarddiskVolumeShadowCopy iterație ca tu, te rog. Harlan Carvey și Criminalistica Wiki au, de asemenea, detaliate aceste metode.
Re-prompt pentru a reporni cu programată a instalațiilor, pentru a Permite cu 1440 (24 de ore) după setarea
Nu auto-restart cu logat pe utilizatori pentru actualizări automate programate instalațiia fost Activat. Termina cu
Permite actualizări automate instalarea imediatăa Activat la fel de bine. Notifica tuturor utilizatorilor finali, prin politica scrisă, precum și prin intermediul angajat sau antreprenor orientare care compania va presupune că, dacă computerul este pornit, atunci compania le poate solicita să reporniți cel puțin în fiecare zi alte. Aceasta este o politică echitabilă. Unii utilizatori, mai ales CAD lucrătorilor, preferă să lase computerele lor pentru mai multe zile sau săptămâni, la un moment dat (unii chiar luni de zile!). Asigura o buna excepție pentru utilizatorii finali, dar, de asemenea, se asigura că acestea sunt obtinerea de patch-uri la unele convenite excepție de politică suplimentare convenite alternative sau a controalelor compensatorii. Cel mai câștigat't, deci don't să le! Computere Apple poate avea o rădăcină nivel cronjob care ruleaza
softwareupdate -i-o de zi cu zi. Amintiți-vă că PXE-boot rețea utilizate în Izolare Ciclu? A se asigura că valoarea inițială a instala imaginile sunt actualizate în funcție de aceste aceleași politici (de exemplu, în fiecare zi), de preferință prin automatizare. În timp ce're acolo, asigurați-vă că pentru a actualiza orice alt software locale (prin intermediul Software Inspector sau similare), în special: software anti-virus sau agent actualizări. Poate ai (cu siguranță) a auzit de poveștile pe care un nou angajat sau contractant primește un nou-sonda laptop și devine malware sau ransomware în prima zi la locul de muncă! A preveni aceste scenarii lucru prin păstrarea bază de imagini până la data la fel de bine-și acest lucru funcționează foarte bine împreună cu FPM sistemul'am construit pe aceeași rețea izolată! Păstrați aceste cunoscut-bun hash-uri până la data! L's, de asemenea, un loc bun pentru a începe urmărirea inventar a activelor pentru toți utilizatorii și toate elementele care alcătuiesc Întreprinderea dumneavoastră. NOTA: Deoarece "cel mai bun răspuns" pare a fi mai mult orientat către utilizatorii avansați (chiar și la nivelul echipelor de răspuns la incidente), acest lucru va fi ușor de realizat de orice utilizator cu cunoștințe despre Linux și Live CD-uri.
Cu riscul de a părea ignorant, voi răspunde cu un singur rând:
Închideți PC-ul și porniți Live Linux CD.
DETALII:
Dacă este un sistem de operare Windows, opriți sistemul și porniți un CD Linux Live. Faceți o copie de siguranță a datelor și apoi clonați copia de siguranță. Păstrați una în siguranță și încercați să o rulați pe cealaltă sub un sistem de operare curat.
Dacă este vorba de Linux, atunci ransomeware-ul este proiectat să funcționeze sub Linux, deci același proces de backup, dar apoi rulați-l sub un sistem de operare diferit (de exemplu *BSD, Windows, Android -construit pe Linux, dar foarte diferit din experiența mea-).
Bineînțeles, așa cum a spus dezvoltatorul ransomeware-ului, puteți la fel de bine să îl lăsați să se termine. Dacă vă opriți în mijlocul procesului, cel mai probabil nu veți recupera niciodată ceea ce a fost deja criptat. Nu veți avea un ID cu care să contactați dezvoltatorii și este posibil ca aceștia să nu fi primit încă cheia de criptare. Opțional, le puteți combina pe amândouă. Folosiți ceea ce am spus mai devreme, apoi pur și simplu porniți din nou sistemul infectat și lăsați-l să se termine.
Declaimer: Sunt un cartof uman; adică NICI un dezvoltator de ceva
Ransomware se răspândește doar pentru că oamenii îl plătesc, întrebările și răspunsurile ajută la obținerea unei reputații care îi va face pe Ransomware să plătească. Este mult mai bine să investești niște bani într-un antivirus bun decât să fii nevoit să plătești mai târziu pentru a-ți recupera datele.
Dacă întreruperea procesului la mijloc poate fi dăunătoare (pentru că dezvoltatorii au vrut ca dumneavoastră să nu încercați să opriți criptarea), nu există nimic care să împiedice o întrerupere anormală cu pierderea datelor aferente (menținerea butonului RESET timp de câteva secunde, un ecran albastru cauzat de un driver cu erori... ). În general, datele criptate nu mai sunt tolerante la erori mici de un singur bit (un bit greșit nu face nicio diferență într-un fișier text, dar un bit greșit în datele criptate provoacă pierderea tuturor datelor).
De asemenea, dezvoltatorii de ransomware ar trebui să vă plătească de fapt o mică parte din prețul hard disk-ului, deoarece multe operațiuni de I/O reduc de fapt durata de viață a hard disk-ului.
Un alt punct important, reinițializați parola conturilor dumneavoastră, dar nu introduceți încă codul de reactivare. Daunele provocate de Ransomware pot fi limitate dacă unele date sunt găzduite pe servicii cloud sau pe un anumit tip de server, ceea ce înseamnă că, dacă malware-ul obține acces la acreditările/sesiunile dvs. poate accesa datele stocate în siguranță, mărind daunele. Resetarea parolelor va bloca accesul ulterior la conturile dvs. (cu condiția ca smartphone-ul dvs. să nu fie infectat și codul de reactivare să nu fie interceptat).
Multe servicii web care oferă autentificare unică permit, de asemenea, să gestioneze accesul la dispozitive și să întreprindă anumite acțiuni în cazul unor credențiale furate (sau presupuse furate).
Este ca una dintre problemele de matematică din teoria jocurilor: veți plăti pentru a obține imediat un mic avantaj (recuperarea datelor) sau veți ignora Ransomware-ul, lăsându-l să dispară din afaceri, ceea ce va face "bine" pe termen lung pentru toți?