컴퓨터를 최대 절전 모드로 전환

는 경우 랜섬는 파일을 암호화하이,키를 사용하여 암호화를 위해 어딘가에 메모리에 있습니다. 그것은 것을 얻을 바람직 메모리 dump,하지만 당신은 당신을 가질 가능성이 적합한 하드웨어는 쉽게 사용할 수 있습니다. 덤핑 딱 맞는 프로세스 또한 일을 발견하지만,어떤 한한(예를 들어. 악성 코드 실행 중일 수있는 내부explorer.exe),그리고 우리는 그것을 덤프*지금**.

최대 절전 모드에 있는 컴퓨터가 저렴한 방법을 메모리 이미지는¹그런 다음 그것을 장착할 수 있읽기 전용에 깨끗하고 컴퓨터

a)의 평가에 의해 손상 랜섬

b)복구의 암호화되지 않은 파일²

c)법의 추출의 메모리 키에 악성 프로세스,기타 고급 복구 수 있습니다.

참고는여 읽기 전 나는 의미는 아무 쓸 수행됩니다 모든 최대한 복구 기회가 있습니다. 연결하는 일반적으로 다른 윈도우 시스템 승't 을 제공합니다.

For(c)당신은 아마이 필요한 전문적인 지원합니다. 될 수 있습 무료로 제공하여 바이러스는 공급 업체입니다.

지 않는 경우에도't 관리하는 모든 파일을 복구 할 또는 당신이 말한 그것은 불가능하거나,너무 비싸지는 디스크에 암호화 파일이 있습니다. 그것이 무엇's 불가능한 오늘날 저렴 수 있습니다 또는 사소한 몇 개월입니다.

내가 추천하는 당신은 단순히 수행하는 새로운 설치에는 다른 디스크(었던 것을 다시 어쨌든 컴퓨터가 감염되었,기억하십니까?), 계속된 하나 제대로 표시에요.

--

으로 두 번째 질문에 대한 당신 _really 지불하고 싶 ransom_I'm 확 랜섬 저자할 수 있게 당신을 당신의 파일을 다시하지 않는 경우에도 모든 그들의 암호화되어 있습니다. 그러면 정말 필요할 수 있는 최대 절전 모드에서 부팅 디스크후 복제,그리고 그것을 마무리를 암호화(지금의 백업)파일을 만들거나 수정합니다.

¹NB:지 않은 경우에는't 있는 최대 절전 모드 파일,이것을 덮어쓸 수 있다 일반 텍스트를 버전이 지금의 암호화 파일을 수 있는 복구되지 않는(관련성에 대한 가장 최근의 랜 섬,하지만).

²가정하면 감염되지 않았다...

무엇을 할:

1. 일시 중단의 과정입니다. Don't kill,그것을 일시 중지.
2. 보 과정에서 나무가 있으면 부모는 것을 중단해야 할 수도 있습니다.
3. 풀 네트워크 케이블 및/또는 와이파이(그리고 만약 당신이'다시 편집증,Bluetooth 도).
4. 체크인 파일을 열에 의해 해당 프로세스를 참조하는 하나 그것은 현재 암호화합니다. 경's 는 특히 중요한 한,당신은 수 있습을 복사하려는 파일에 현재 상태(동안 프로세스가 일시 중단)그리고 다음에 이동 파일,그래서 그't 손상됩니다. 는 경우 다음 또한 파일로 밝혀 중요하지만,그 밖으로 패턴 파일을 복사 중 하나 앞서 단계로 시작 하거나 복사하는 모든 파일은 이미도 있습니다.
5. 구글은 어떻게 만들의 메모리 덤프 프로세스에서는 특정 OS,다음에는 메모리 dump 의 관련 프로세스입니다. 도대체,수 덤프 모든 가상 메모리에서는 기계입니다.
6. 가까운 다른 프로그램입니다.
7. 동기화 디스크(s)그래서 아무 쓸 캐시요.
8. 당깁니다. 으면 노트북:배터리를 제거 후 전원을 제거하(는 경우에 연결).

당신은 지금에서 매우 좋은 위치:전원이 꺼져 그래서 주목할 수 있습니다 더 일어나,그리고 당신은 어떤 암호화 키 그것을 사용하여 플러스는 원래 프로그램입니다. 문제를 찾을 수 있는 암호화 키과 암호화 방법,그러나 그것은 어딘가에서 해당 프로세스 메모리:그냥 시간의 문제입니다. 전화커 친구들을 리버스 엔지니어링 프로그램,또는 아마도 바이러스 회사:그들은 아마 많은 고객의와 같은 랜섬와 호기심을 얻 메모리 dump 추출하는 열쇠입니다.

연결 하드 드라이브를 다른 컴퓨터는 모든 파일을 복구하는 암호화되지 않던가 아직 없이 훨씬 위험합니다. 지't execute 어떤 단어를 매크로나 열려 있습니다.exe 파일에서 드라이브 또는 무언가이다.

요약

일 랜섬 프로세스 할 수 있도록 우리가 그것의 복사본을 만들고 메모리를 찾을 수 있는 암호화 키니다. 다음 설정 시스템을 끄고 따르는 일반적인 의미합니다. 주의 중요한 손상된 파일(중간에 암호화 파일),그래서 확인 하나 그것은 현재 작업 일시 중지한 후습니다.

응답에서의 댓글

이 댓글을은 약간 늦게 집에 가서 만들 지금:

"암호화 키"지에 도움이 많은 경우,시작 시 랜섬 연결하여 명령 및 제어를 서버에 요청하는 새로운 암호화한 쌍인(공용 및 민간)을 만들 수 있습니다. 서버를 만들면 쌍점은 개인 및 보내 공개 감염된 기계입니다. 다음 감염된 컴퓨터 공개 키를 사용하여 파일을 암호화,유일한 방법으로 그것을 반대하는 개인 키를 사용하는 전달되지 않을 피해자의 컴퓨터까지 지불을 완료합니다. –Anton Banchev

이것은 관심이 나의 생각을 쓰는 동안 포스트,하지만 아직 해결되지 않.

아무도를 암호화하데이터비대칭 암호화(public key encryption). It's 너무 느리게,도록 비대칭 암호화에 사용되하이브리드 암호화제도. 벤치마크도 같은 내장된 openssl 보고서 초당 mb AES 및 운영에 대해 초당 RSA. 비교할 수 없습니다. 다만 나는've 을 찾을 수있을 것입 Stack Overflow 과 함께 답변을 원하지 않았더라도 공개하는 그들의 방법:비대칭 암호화는 1000 시간보다 느리게 대칭 암호화.

따라서,암호화에 사용되는 각 파일을은 거의 확실하게 대칭 암호화(다음과 같 AES),즉 우리는 또한 암호 해독과 같은 키를 그대로 암호화되었다.

업데이트:에 보이는 것과 적어도 하나의 랜섬 변종 사용하여 공개 키 암호화만 있습니다. 분명히 그것은 단지 충분히 빠르게 사용 될 수 있도록,또는 그들은 분명히 사용하지 않습니다. 나는 당신이 더 나은 당신을 희망하지 않't 이 변? 의 끝에 업데이트합니다.

I don't 의 랜섬는 않지만,유일한 방법 이전이 문제가 될 때 각 파일의 독특한 암호화 키입니다. 는 경우에만 파일을 복구할 수 있습니다. 는 원인이 될 수 키 관리에 대한 문제들도 각각 그 키는 것 중 하나가 전송되거나 저장된 데이터베이스에서는 암호화(대칭)마스터 키입니다. 후자의 경우에 당신은 아마 복구 마스터 키를 메모리에서뿐만 아니라,전자의 경우에는 당신이 문제입니다. 하지만 이 모든 것은 단지 추측을 어쨌든,I don't 알 랜섬이 나온 것입니다.

랜섬웨어(또는 해당 암호화 소프트웨어)는 암호화되지 않은 파일 크기와 비트가 일치하지 않기 때문에 인플레이스(in-place)에서 파일을 암호화하지 않는다. 더 중요한 것은 (종료, 배터리 부족 등으로 인한) 암호화 프로세스의 자발적 중단은 랜섬할 수 없는 손상된 파일을 만들 수 있다는 것이다. 대신 항상 이러한 프로그램은 이전 프로그램에서 암호화된 파일을 새로 만든 다음 이전 파일을 삭제합니다. 실제로 대부분의 랜섬웨어 프로그램들은 종료/재시작으로 인해 반암호화된 대용량 파일을 재시작하는 체크가 있다.

따라서 중간 암호화가 확인되면 최대한 빨리 컴퓨터를 끄고 백업을 위해 영향을 받지 않은 시스템에 하드 드라이브를 장착해야 합니다.

내가 몸값을 지불할지 말지에 대해서 - 나는 전혀 모른다. 몸값의 크기와 그 당시 내 하드 드라이브에 있던 물건의 특성에 따라 달라지 저는 시간당 약 2달러 50센트를 벌고, 제 하드 드라이브에는 주로 공개적으로 이용 가능한 과학 자료가 들어있기 때문에, 대답은 "아니오"일 가능성이 높습니다.

편집:

다른 포스터에서 권장하는 바와 같이, 동면은 여러 가지 면에서 컴퓨터를 끄는 것보다 더 낫다고 가정한다. 하지만 사실상 동면은 효과가 없을 수도 있습니다. 어떤 과정이라도 시스템이 바쁘고 당장 멈출 수 없다고 말할 수 있다. 심지어 피아노를 치는 고양이를 찍은 유튜브 영상도 이것을 할 수 있다. 이는 Linux의 최대 절전 모드에 따라 OSX, 윈도우즈 및 Linux의 경우에도 마찬가지입니다. 이러한 경우 프로세스가 일시 중단을 거부하는 유일한 해결책은 프로세스를 중지하는 것입니다. 즉, 메모리 덤프가 없다는 뜻입니다. 그래서 개인적으로, 저는 가능한 한 빨리 전력 코드를 빼서 암호화를 중지하고 싶습니다. 왜냐하면 제가 장담할 수 있는 한 가지는 다음 번에 시스템이 부팅될 때 랜섬웨어가 메모리에 키를 다시 저장한다는 것입니다. 왜냐하면 제가 그 일을 끝내지 못하게 했기 때문입니다.

[**Mod 참고:****이 대답은 많이 받고의 플래그하지만,의 가치 삭제합니다. 이것입니다잠재적으로 유효한 작업 과정하지만,위험과 잠재적으로 불법 일부 지역에서. 서기술적관점에서 이의 기회가있는 방법을 보존하는 데이터입니다. 참조하시기 바랍Meta에 대한 추가 논의한다.]

가장 좋은 것은 아무것도 아니다. 뭔가 바로 이어질 수 있습 데이터의 손실 또는 손상이다. 그것이 완료 후 연락을 사람이 나열되어 있 몸값을 지불하고 당신이 갈 수 있습니다. 우리는 전문가 당신을 도움이 될 것입니다 당신의 파일을 다시 얻을 수있는.

*면책 조항:**난웨어 개발자.</하위>

두 번째 질문은 답변으로 많은 의견을 낼 수 있습니다. 첫 번째 문제에 집중하겠습니다. 진행 중인 잠재적인 랜섬 암호화를 중지하려면 어떻게 해야 합니까?

단계:

1. 즉시 인터넷에서 당신의 기계의 플러그를 뽑으세요. 인터넷 솔루션 검색에 다른 시스템을 사용합니다.

2. 냉간 전원 차단으로 영향을 받는 기계를 종료합니다. 기기가 정상적인 전원 차단 소프트웨어 검사를 완료할 때까지 기다리지 마십시오.

3. 하드 드라이브를 기계에서 분리합니다.

4. 기기에 새 하드 드라이브를 설치하고 깨끗한 OS를 설치합니다.

5. 새 OS가 드라이브에 액세스할 수 있도록 원래 드라이브를 마더보드에 연결합니다.

6. 새 OS의 전원을 켜고 이전 드라이브에 액세스한 후 백업을 만듭니다.

7. 백업본은 화재, 홍수, 토네이도 등 원본과 분리된 안전한 장소에 보관한다.

8. 웹 브라우저 보안을 향상시킵니다. 랜섬웨어의 대부분은 자바스크립트 악성코드를 통해 설치된다.

두 번째 질문입니다. 암호화된 데이터 중 일부를 재구성할 수 있습니다. 위의 단계를 완료한 후 다음 단계가 유용할 수 있습니다.

1. 원본 드라이브의 데이터를 감사하여 암호화된 파일이 있는지 확인합니다. 암호화된 파일을 기록해 둡니다. (이 감사는 깨끗한 OS에서만 완료되어야 합니다.)

2. (백업이 없기 때문에) 메모리에서 파일의 내용이 무엇이고 얼마나 중요한지 기억해 보십시오.

3. 이제 암호화된 가장 중요한 파일을 중심으로 파일 복구 기술이 원본 파일을 복구할 수 있는지 확인합니다. 암호화는 여러 가지 이유로 덮어쓸 수 없기 때문에 랜섬웨어는 암호화된 버전을 만드는 동안 원본 파일에 접근했을 것이다. 그러면 원본 파일을 여러 가지 성공 수준으로 삭제했을 수 있습니다. 연결되지 않은 원본 파일이 디스크에 아직 있는지 확인하려면 파일 복구 전문가에게 문의하십시오.

미래에는 자신을 보호하는 것을 잊지 마세요. 백업을 만들고 오프라인 상태를 유지하며 랜섬웨어 설치를 방지합니다. [랜섬웨어는 어떻게 사람들에게 접근합니까'의 컴퓨터에 접근합니까?]를 참조하십시오.1

컴퓨터를 종료시 즉시. 제공하는 당'다시되지에 대해 몸값을 지불하는 모든 데이터는 바이러스는 처리는 어쨌든. 그래서 그냥 아래로 밀어 전원 버튼을 누르고,또는 분리합니다.

우분투를 설치하거나 다른 휴대용 리눅스 배포판에서 USB 스틱입니다. 마지막 시간에 나가 이것을 그에 맞는 2GB 스틱입니다. 었 복제 내 HDD 를 SSD 로 Windows filesystem. Mount 당신의 파일 시스템을 읽기 전용입니다.

백업만 실행 불가능한 데이터이다. 나는'm 지 얼마나 많은 바이러스 감염 다른 실행파일만 만약 내가 만드는 바이러스,그것은 또한 감염 Java 항아리 아카이브,PHP 서버 스크립트,배치 및 해시 스크립트를 다른 모든 것을 생각할 수 있습니다. 모든 프로그램을 실행할 수 있는 시스템을 명령할 수 있는 잠재적으로 개최 바이러스를 실행합니다. It's 가능성이 없습니다,그러나 그것이 가능합니다. 할 수 있는 예를 들어 base64 인코딩하는 이진로 bash 파일...

당신은 필요,다른 하드 드라이브입니다. 그것을 채우기 문서,사진 또는 소스 코드. 과 관련하여 이점을 내가 만든 확인하는 소스 코드's 상태입니다. 당신이 사용하는 경우 원본을 제어,덤프 소스 코드. 는 과정이 오래 걸릴 것입니다. 신중하게 선택하는 것만 당신은 필요합니다. 어쩌면 당신이'll 는 방법을 알아의 하드디스크 공간에 의해 점령되었습't 도 기억하거나 필요합니다.

형식으로 감염된 하드 드라이브입니다. 중 하나 이렇게에서 리눅스 구조 시스템에 삽입하거나 원하는 OS 가 설치 디스크와 설치 프로그램 하드 드라이브를 포맷합니다.

지 않는 것이 좋습 백업하면 감염된 하드 드라이브입니다. 당신 경향이 있을 수도 있습의 복사본을 유지하려면 감염된 하드 드라이브의 이익을 위해 문서를 잊어버린 수 있습니다. It's,함정이 그냥가. 당신이 문서에서 당신의 메일 받은편지함 또는 전송 폴더에 있습니다.

셧다운 및 복사 접근법에 추가하여 다른 사람들은 다음과 같은 또 다른 요소를 언급했다. 랜섬웨어는 악성코드를 완성할 때까지 무슨 일이 벌어지는지 숨기려 하기 때문에 암호화된 파일은 보통 몸값을 요구할 준비가 될 때까지 암호화 된 것처럼 읽을 수 있다.

문제가 되는 파일을 찾아서 암호화하면 인터넷에 연결하지 말고 기기를 다시 조립하여 복사하려고 합니다. 만약 이 방법이 효과가 있지만 모두 HD로 백업을 돌려놓지 못한다면 좀 더 많은 데이터를 확보하세요.

심사 상황(호출하는 상황-awareness 원칙)##

-는 컴퓨터 now? 사무실에서? Home? 호텔에서? 그렇지 않으면을까요? -무엇을 보호하는 여기에 제공되는? 는 경우에 당신을 당겨 네트워크 케이블 또는 와이파이 해제,이동할 수 있습니 컴퓨터를 이상-보호하니까? 당신은 그것을 이동할 수 있습니하니까? 그렇다면 잘라,네트워크는 지금! 니다. 그러나,닫지 마십시오 모든 프로그램-떠나 그들 모두 열려있는 상태에서 그들이었습니다. Don't 근접 브라우저 탭이 있습니다. Don't 닫 의심되는 문서 또는 이메일입니다. -는 경우**휴대용 컴퓨터입니다. 귀하의 의 인포섹 팀 또는 그것은 리더십이 있는 경우 모든 절차는 장소에서 취급하 랜섬,데이터와 같은 법의학 사고 대응 능력을. 을 찾으면 그들은 어떤 보안 플랫폼을 방지하는 악성 코드의 통신과 같은 안전한 웹 게이트웨이 또는 통일된 위협 관리 솔루션을 제공합니다.

격리 사이클(수행하기 위해 위에서 아래로)##

-컴퓨터가 연결되지 않는 글로벌 인터넷. 사용하는 다른 컴퓨터와 USB 드라이브,사용할 수 있는 경우입니다. 사용할 수 없는 경우에는,당신이 무엇을 알아낼 수 있습에 대한 표시됩니다. Find 프로세스 이름,파일 확장자(예를 들어,.zepto은 파일에 대한 데스크톱에서). 사용 별도의 컴퓨터를 검색에 대한 표시됩니다. 특히 방문--https://www.nomoreransom.org -유지하고 모든 프로그램으로 열람들이 있었다. 지 않는 종료하거나 재부팅이 아직 없습니다. 을 얻을 수 있다면[MalwareBytes][1]설치 프로그램에서는 별도의 기계를 돌리지 않고 네트워크에 다시,사본을 설치 프로그램을 통해 컴퓨터지만,실행하지 않습니다. 지 않도록 그것은 또는 다른 컴퓨터를 재부팅 합니다. MalwareBytes 이거나 윈도우 또는 perl-그리고 당신을 사용 라이선스 버전인 경우에는 사업입니다. If this is an emergency 할 수 있습 윤리적으로 확인 라이센스를 구매 후--IT 리더십's call. -이로 사건입니다. 문서 무엇을 발견하고 당신은 무엇을 계속 찾을 수 있습니다. 더 성숙한 데이터 분석 및 사고 대응 프로그램(DFIR)이 있을 것이 몇 가지 기본 요소. 을 시작할 수도 있습니다 이에 지금이다. 그들은 다음과 같습니다:1)하수 구멍 네트워크(예:절연 hub DHCP 서버지만,고급 CSIRTs 이 있는 사람으로 능력을 VPN 에서 직접),으로,적어도,[DNS RPZ][2]또는[DNS 블랙홀][3]기능-시장,아마도 전 허니넷이나 기만적인 시스템 플랫폼입니다. 2)수 있는 이 고립 네트워크는 이미 플랫폼(예를 들어,Microsoft SCCM,[CloneZilla][4],[FogProject][5],Symantec 객 관리,이전의육 또는 유령)에 PXE 부팅 기능이다. 이것은 좋은 위치에 대한 악성 코드 Management Framework]6,성숙 DFIR 기능을 하는 에이즈에서 이러한 시나리오를 보여 줍니다. 는 경우 MMF 할 수 있는 수동 또는 자동적으로 식별할 의심 랜섬 프로세스,파일,레지스트리의 항목 및/또는 기타 유물을 다시 이동으로 연구하 모니다. -(옵션)를 활성화 DFIR 프로세스 또는 플랫폼입니다. 매우 성숙한 DFIR 프로그램을 것입니다 몇 가지의 고급 품목에서는 장소입니다. 에서 계속하기 전에(그리고 희망이 동일한 절연지만 네트워크는 이러한 기능은 생산을 뿐만 아니라 네트워크),여기에는 다음이 포함될 수 있습니다:3)포렌식 분석은 환경,특이 법정 시스템 등[구글 빠른 응답][7]. 다른 구성 요소는 여기에서 찾을 것은 클라이언트 기반의 원격-이미징 기능과 같은[NBDServer][8]. 주요 차이점은 새로이 에이전트 기반의 컬렉션 중심의 시스템으로,웹 인터페이스는 동안 NBDServer 은 연결하는 방법 리눅 법정 워크스테이션 노출된 윈도우 컴퓨터입니다. 할 수 있지만,GRR 도 macOS(도인[osquery][9]). 4)법정 도구를 사로잡는 특정 유물에 대한 처리를 위해 법의학 워크스테이션. 내가 좋아하는,그리고는's 에 포함되어 있 GRR,은 pmem(즉,winpmem,linpmem,osxpmem). 최근의 리포트를 다운로드를 위해 이들에 직접 사용할 수 있는지[여기][10],과될 수 있습 후 업데이트[여기][11]. 열 cmd.exe 셸 마우스 오른쪽 버튼을 클릭하여으로 관리자 권한으로 실행(또는 perl/리눅스 터미널을 가진 포탄 sudo/root 권리)및 그 후 실행하 pmem 유틸리티입니다. 일단 당신이've 모여 출력,복사본을 유물을 법의학 워크스테이션 및 분석과 리콜 및/또는[변동성 Framework][12](모두에 잘 알려진 DFIR 커뮤니티). 그것은 좋은 수집하는 두 번째 메모리 덤프를 사용하여[BelkaSoft RAM 포착 기][13]비교,설치 윈도우 드라이버입니다. 다른 좋아하는 FTKImager(라이트 버전을 벌금),그리고 나는 다음과 같를 시작으로 페이징 파일을 추출 할 수 있도록 활용하여[page_brute][14]도구입니다. 참여 어떤 지난 분 DFIR tradecraft. -을 식별 알려 좋다고 알려져 있는 나쁜. 에 의존하 MMF 니다 여기에. 지 않는 경우't 나,설정하는 가장 빠른 버전의 하나는 당신이 가능하게 할 수 있습니다. 또한--MalwareBytes 여 운영하고 볼 것들에서 작업입니다. 이것은 왜's 의 중요한을 떠날 것으로 전이었다. 설치 및 실행 MalwareBytes 을 위한 첫 번째 시간에 지금이다. Don't 허용하는 컴퓨터를 재부팅 합니다. 대신 닫기의 브라우저 탭에 있습니다. 대신 스크롤 다른 이메일로서 귀하의 전망,다시 동일한 알려져있다-나쁜 문서는 아마의 원인이 표시됩니다. 빠른 체크인의[브][15]와 스크롤을 통해 이메일 경우 클라이언트에 오픈한 이벤트가(보통 내에서 10 분이 끝나기 전에 사용자가 생각하는 감염 발생)및 작업들에 나타난 경우 관련이 있습니다. 당신을 기억'다시되지 않 전체에 인터넷이-그냥 네트워크에 응답하는 DNS 쿼리로 전달하는 일부 로컬로 위장한 서비스입니다.

완화기(을 제거하여 타협이 무엇을 의미하는지 확인하지 않을 것이다. 복원하는 기계 작동 상태)##

-쪼그리고 앉아. 당신이 헤이븐't 시 폐쇄 모든 프로그램,또는 연결되어 있는 글로벌 인터넷이 그러나,오른쪽? 좋다. 전화 DFIR 완료를 위한 지금 할까 표시되는 모든 프로그램입니다. You've 란 MalwareBytes 에 가짜 네트워크입니다. You've 희망은 또한 수집한 인공물의 메모리를 실행하는(비롯 페이징 파일)모든 프로그램과 함께 열려 있습니다. 할 수 있도 죽이 나쁜 프로세스는 지금(해 MalwareBytes 지't 미). 다시 참조 MMF 을 결정하는 알려져있다-좋은 프로세스 및 꽤 많이 죽일을 제외하고 모든 사람을 유지하는 데 필요한 OS 에서 실행되지 않는 한 그것은 우리는'다시 다음까지:을 확인하는 로컬 또는 원격 백업 및 Volume Shadow Copy Service(VSS). -무엇을 찾을 수 있는 복원 할 수 있습니다 무엇을 할 수가 없습니다. 윈도우 XP 에서 생성 시스템이 복원 지점에 24 시간마다. 이후 윈도우 7,그러나,Volume Shadow Copy 기구도 만드는 백업 파일에. 이 모든 작업은 자동으로 발생 없이 사용자는 활동입니다. 할 수 있는 경우,복제 전체 드라이브입니다. 할 수 있는 경우't 때문에 제한된 시간에,디스크 공간,또는 다른 심사는,다음에서 접 OS 백업 기능입니다. Let's 정 Win7 또는 더 높은 두 번째,당신은 따라 할 수 있지만,여기까 내가 원래 가지고 책에서 아이디어를 운영 체제 법의학(그's 도에 덮여 사고 응답&컴퓨터 법의학,세 번째 에디션):

C:\Windows\system32>vssadmin 목록은 그림자 [...] 의 내용을 그림자 사본을 설정 ID:{45540ad8-8945-4cad-9100-5b4c9a72bd88} 포함된 1 섀도우 복사본에서 생성 시간:3/4/2012 5:06:01PM Shadow Copy ID:{670353fe-16ff-4739-ad5e-12b1c09aff00} 원래의 볼륨(C:)\?\볼륨{33faab95-9bc6-11df-9987-806e6f6e6963}\ Shadow Copy 량:\?\GLOBALROOT\장치 HarddiskVolumeShadowCopy27 Originating Machine:스 펀하우스 서비스 컴퓨터:스 펀하우스 자:'Microsoft 소프트웨어 섀도우 복사본 공급자 1.0' 유형:ClientAccessibleWriters 속성:지속적인,클라이언트 액세스할 수없는 자동 릴리스 미분,자동 복구 mklink/D c:\vss \\?\GLOBALROOT\장치 HarddiskVolumeShadowCopy27그리고 당신이 할 수 있는cd\vss과dir하시는 경우는 파일이 있었 랜섬 파일 확장자(즉,파일 또는 디렉토리를 암호화된)에서 사용할 수 있는 암호화되지 않은 상태여 탐색하는 루트로의 경로. 할 수 있습니다 다음rmdir\vss완료되면 노력하고,다른 HarddiskVolumeShadowCopy 반복으로 당신을 하시기 바랍니다. 할란 carvey 로과법의학 Wiki도 자세한 이러한 방법입니다. -지 확인할 수집한 모든 필요한 정보를 다시 시작하기 전에. MalwareBytes 설's 하고 싶은 재부팅합니다. 를 설치할 수 있습 몇 가지 다른 패키지를 다시 시작하기 전에,그러나입니다. 문제가 발생한 경우 시스템과 복원하거나 VSS 파일의 복음을 확인무기고 정찰 이미지 Mounter(그것은 특히 시도하는 것이 중요하기 때문에 이것 랜섬 수 있습니다 실제로 가서 복원 후에 점 VSS 자체 비활성화)에 적용합니다. 다른 훌륭한 일을 하기 전에 재부팅이 수행하는P2V가상-기계 guest 복제 작업,일반적으로VMware vCenter Converter. 기 때문에 당신이'll 또한 가능성이 다시 연결하는 글로벌 인터넷 후 재부팅,또는지 확인할 수 있을 것입 업데이트하는 OS-level 및 응용 수준의 패치입니다. 을 확인할 수 있습 무료 평가판의회사 관리자 소프트웨어에서 Flexera(이전 Secunia)는 경우 다른 아무것도 없습니다. 다른 좋아하는Microsoft Baseline Security Analyzer(US)프로그램입니다. 체크인 몇 가지 설정과 같은 윈도우 방화벽이나 macOS 안전&개인정보 섹션의 시스템 환경설정을 지정합니다. 를 보시려면 큰 목록의 보안 설정을 확인하시기 무료 도구,출입구,에서 Lunarline(N.B.,그것은 단지 Windows OS 버전 7,8,8.1 및 보안 설정을 적용하여 인터넷 익스플로러 버전 8,9,10-그러나 이 도구는에서 환상적인 안전성에 관한). 을 보장하는 네트워크 주가를 부착하지/매핑을 때 컴퓨터가 다시 시작됩니다. 을 확인할 수 있습에서 이러한윈도우와macOS. -로 복원;복원;복원 할 수 있습니다. 마지막으로 할 일은 다시 부팅하기 전에 확인하는 것입니다 자동 실행. 윈도우,즉 실행자동 실행(다시 시도 그것을 얻는 USB 를 통해 또는 실험실/복구에 대한 글로벌 인터넷). 를 검토하려고 각 항목과 함께 전문가입니다. In perl,를 검토하는 항목에서 실행을 시작으로 이동이 시스템의 기본 설정,사용자는&그룹,그리고 로그인 항목입니다. 복원을 다시 시작하여와 관심을 지불하는 MalwareBytes 경우 메시지를 표시. 복원에 의해 실행 MalwareBytes again. 복원에 의 승인을 받을 다시 연결하는 글로벌 인터넷습니다. 업데이트 MalwareBytes. 실행 MalwareBytes again. Update your OS 를 실행하는 기본 제공 또는 타사 OS 수준과 응용 프로그램-레벨 업데이트 프로그램입니다. 복원시키는 것으로 업데이트를 완료하고 다시 부팅하면 그들은 묻습니다. 그것이 지금은 안전한 파일을 복사를 복원에서 백업 및 덮어 암호화 파일이 있습니다. 도록 당신이 복원한 모든 서비스/데이터 상태로 입사하기 전에 발생하는. -컴퓨터를 사용합니다. Is it ok? 은 모든 것을 다시 정상인가요? 인 프로세스를 종료하거나 서비스를 중지로 간주되는 여전히 무서운-찾고 있습니다. 는 경우 파일이 없거나 사용할 수 있는 백업에서,그 무엇이 다음에 의지하지? 나의 제안에 복사하는 것이의 모든 여전히-파일을 암호화하여 오프라인 스토리지 등의 USB 드라이브에 저장합니다. 아마도 나중에는 복구 유틸리티는 것입니다 내장 랜섬웨어 파일이 있습니다. 지 않은 컴퓨터로 작동하는 경우 그것은 악성 코드(다만 랜 섬)여전히? 그렇다면,다음 격리고 상승한 연구,전문성 및 DFIR 기능입니다. -기꺼이 사용하는 다른 컴퓨터에 나타나는 경우에 확인. 기꺼이 손을 통해 귀하의 컴퓨터를 전문가입니다. 할 수 있도록 기꺼이 그것에 앉아 격리는 더 이상. 인식하고 준비하는 동안 다음과 마지막 단계에서,당신은 당신 수 있는지 보이 특정 컴퓨터가 있습니다.

박멸이클(이익 상황 이해하는 행동 후)##

-는 방법을 알아보십 랜섬 실행되었거나 설치됩니다. 을 검토하고 기록은 무엇을,무슨 일이 있었는지 당신이've 문서화,등등. 정보를 저장하고 작동으로 더 많은 형식 시스템 등라켓,nightHawkResponse,SOF-엘크,말콤,malcontrol또는MISP. 사용 어떤 형식적인 씨엠립 또는 발권을 추적하는 시스템이 문제 또는 검색을 위해 관련된 과거의 문제와 같은MozDef. 정말로의 바닥에 얻을 수 있는 방법을 설치되었거나 실행하는지를 이해할 필요가 어떻게 작동합니다. 할 수 있는 경우't 수동으로 이렇게 적어도 활용 자동화된 악성코드 분석(AMA)의 몇 가지 종류입니다. 하는 경우 UTM 에 사무실이 Palo Alto 네트워크는 귀사에 대한 라이선스가 있 들불처럼,당신은 이미 AMA. 기타 상업 AMA 플랫폼을 포함한다:Lastline,Cyphort,Check Point,McAfee 샌드박스(고급 위협을 방어 또는 ATD),Symantec 블루 코트,파이어 아,트렌드 마이크로 깊은 검색 샌드박스,Fidelis,Cisco ThreatGRID 고,포티넷을 하회하고 있습니다. 나는've 확인이 여기에 그렇게 요청할 수 있습 InfoSec 또는 IT 기술자 팀이 존재하는 경우 그래서 그들은 볼거리와 즐길거리가 가득 무엇을 발견했다. 이 없는 경우,다음 어쩌면 공급업체에 문의하여 요청 하지 왜? -추출 랜섬's 기능 및 동작에 대한 상호 관계. 비교해시및 다른 지시자의 타협(Ioc)으로 알려진 나쁜 값을 더 깊이있는 무엇이 발생했다. 면 감염은 허가없이 시스템에서 왔는 악의적인 매크로 사무실에서 문서(또는 직접에서 이메일)후,추출 VBA 매크로를 사용하여디디에 스티븐 스 도구:emldump와oledump. 에 대한 전체의 동작을 실행 파일을 메모리에 포렌식 분석을,뻐꾸기 샌드에서many,many반복(을 포함하여 온라인-제출 서비스,Malwr,는 기반)그것은 도구(심지어macOS바이너리!). 비슷한 Malwr 는페이로드 Security,Comodo 카마스,Internet발,MalwareViz,ThreatExpert,ThreatTrack,andVicheck,모든 뽑아서 책을 덮는 스크린샷과 깊은 분석 기술과 같은 제목:고급 악성코드 분석뿐만 아니라,Windows 악성코드 분석이 필요합니다. 에 대한 cheapish 상업적인 도구를 확인JoeSecurity,는 사이트가 많은에 대한 유용한 참조 AMA 에서 자신의블로그. 는 경우 랜섬 만든 네트워크 연결(또는 다른 악의적인 통신이 컴퓨터에서 발견된),그들이 어디에 찾아 가고 있었다고 왜 이다. -하고 적절하게 반응한다. 지't 야(또는 할당하거나량)a DFIR 거나 위협 정보 전문가를 긁어의 표면의 랜섬 공격(이 도움이 있지만). 그러나,당신이 알고 있는 경우는 있APT 랜섬신의 형사-motivated 랜 섬,당신은 특별한 종류의 문제입니다. 아마도 랜섬었을 통해 전달되는 로컬 네트워크 등을 통해 Microsoft Active Directory 그룹 정책 개체 AD(GPO). 당신은 의혹이 있는 경우에는 공격의 대상(예를 들어,당신의 행정's 컴퓨터 랜섬,또는 유일한 높은 프로필 개인),당신은 정말 다른 사람이 급료 당신의 숙제를습니다. 당신이 생각하는 경우에 당신이 자신을 할 수 있다,바로 가서--이 사이트에 도움이 될 것입니다 퀘스트--http://www.threathunting.net -사전에 줄기는 피해하기 전에 다음의 이벤트입니다. 는 경우에 그것은 단지 컴퓨터,고려의 OS 를 업그레이드 또는 사용하면 최고 수준의 UAC 으로 가능한(또는 모두). 체크인 윈도우 업데이트 컨트롤 패널을 설정합니다. 는 경우에 당신은 그것 또는 전문적인 인포섹으로 다른 사람을 돕는 랜 섬,그것은 시간을 다시 방문 두 가지 정책:1)no-관리자 정책이,즉,일정한 최종 사용자에 없어야합 관리자에 액세스,그리고 2)앱의 화 policy. 거기에 몇 가지 기술을 응용 허가 알고 있어야 합니다,특히 있습니다. 읽 이 활주 갑판은,특히 시작으로 슬라이드 15--http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf --그리고 다음 십 슬라이드(15-25)이 랜섬 무료로 꽤 많은 영구적으로 합니다. 그러나 나는 당신이 읽 슬라이드 29-37 하여 필요하다는 것을 이해 설치하 PowerShell v5 모든 최종 사용자 컴퓨터호 응용 프로그램-화 policy. 쉬운 일이 아니다,하지만 관심이 있다면 코멘트에 문의하시기 바랍니다 나는'll 응답이거나 업데이트 내 대답니다 여기에. -업데이트,업데이트,업데이트합니다. 업데이트 모두의 지원 운영체제 네트워크에(그들이 감소하 중기 옵션 및 방어 기능을 포함하여 자세). 업데이트하는 새로운 OS. 실행 당신의 OS 를 업데이트됩니다. 업데이트합니다. 플러그인을 업데이트합니다. Update your Office. 한 경우 업데이트할 수 있습니다 Office2016,다음 사용할 수 있습니다 간단한 광고 GPO(비슷호 중 하나 설명하는 직접 위)블록의 매크로를 실행하는 사무실에서 인터넷에서 파일. -유지할 수 있도록 머물고 업데이트됩니다. Don't 쉽게 말을 업데이트(따라서는 이유없-관리자 정책). 밀어 GPO 을 변경하는 로컬 컴퓨터 정책–컴퓨터구성–관리 템플릿–Windows 구성 요소–Windows 업데이트 항목입니다. 예를 들어,다시 프롬프트를 다시 시작으로 예약 된 설치를 활성화와 1440(24 시간)을 설정한 후에자동 다시 시작으로 로그인한 사용자에 예약 된 자동 업데이트 설치를 사용합니다. 마무리와 함께자동 업데이트가 즉시 설치를 활성화뿐만 아니라. 알림 모두를 통해 최종 사용자 기록사항뿐만 아니라 통해 직원의 계약자 또는 방향에는 회사는 컴퓨터의 경우에,회사가 필요할 수 있습들을 재부팅이 적어도 모든 다른 날입니다. 이것은 공정한 정책이 있습니다. 특히,일부 사용자의 CAD 노동자,아보세요를 떠나 자신의 컴퓨터에서 몇 일 또는 몇 주 동안에는 시간(일부는 심지어 달!). 가질 수 있도록 적절한 예외 프로세스에 대한 이러한 최종 사용자,그러나 또한 그들은 패치가 몇 가지 합의된 예외사항 추가 합의에 따라 대체 또는 보상을 제어합니다. 부 무료로 액세스할 수 있습니다.'t,그래서 don't let them! 애플 컴퓨터에 있을 수 있는 루트-레벨 cron 작업이 실행되는softwareupdate-i-a됩니다. 는 것을 기억 PXE-boot 사용되는 네트워크에서 격리 주기가 있는가? 확인 기준 설치 이미지에 따라 업데이트는 이러한 동일한 정책을(즉,모든 다른 일),바람직하게는 자동화를 통해. 하는 동안 당신이'다시 거기,업데이트해야 합 다른 지역의 소프트웨어(을 통해 기업의 관리자 소프트웨어 또는 이와 유사한다),그리고 특정:바이러스 백신 소프트웨어 또는 에이전트 업데이트됩니다. 당신 수 있습니다(나는 확실히)이야기를 들었는 새로운 직원이나 계약자를 받는 새로이미징 노트북을 가져옵 악성 코드 또는 랜섬에 첫 번째 날에는 작업! 지 이러한 시나리오에서 일어나고 있을 유지하여 귀하의 기본 이미지를 뿐만 아니라 최신이 좋은 작품과 함께 MMF 시스템 you've 장에서는 동일한 네트워크 절연! 그 알려져있다-좋은 해시를 날짜! It's 도 시작하기 좋은 장소는 추적 자산 재고 모든 사용자를 위해 요소를 만드는 최대의 기업입니다. -을 선명하게 보았습니다. 귀하의 InfoSec 팀 및/또는 그 관리를 알아야 합니다 그들이'다시 정말 잘못하고 여기에는 랜섬에 적극적으로 자신의 환경을 제공합니다. 이렇게 많은 무료(또는 이미 납입한)옵션은 그들이 가질 수 있습니다. 하나는 내가 그냥 갔을 통해 Microsoft 랩에서 자신의 적극적인 프리미어 서비스입니다. 으면 벡터에서 오는 매크로,문제의 해결,USB,하나;APT,음-그냥 당신의 최고 각각의 문제(지 않는 증상)는할 수 있습니다. 슬라이드하는 데크가에서 인용되는 사전에 줄기 섹션은 많은 즉시,쉽게는 무료 아이디어에 대한 것을 구현할 수 있는 네트워크에서 레벨,로그인을 위해 스트리밍 시스템 관리를 위해,또는에서 조직의-수준입니다. 또한 이 문서를 참조하십시오--https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf 는 내가 어디 있어 많은 이러한 아이디어.

참고:로'최고의 응답'는 것이 더 중심의 고급 사용자는(도의 수준으로 사고대응팀)이 될 것입니다 쉽게 할 수 있는 모든 사용자를 위한 지식과에 대한 리눅스와 라이브 Cd.

.

.

에서 위험의 소리가 무지하고,나는'll 응답 one-liner:

Turn off the PC 를 부팅이브 Linux CD.

세부사항:

경's Windows OS,회전 시스템 부팅 Linux 라이브 CD 를 넣습니다. 데이터 백업 후에 복제 백업입니다. 유지 하나의 안전하고 실행하려고 다른 하나에서 깨끗하 OS.

경's Linux 다음 ransomeware 이 작동하도록 설계 리눅스에서,그래서 동일한 백업 프로세스,하지만 단지 그것을 실행하에서 다른 운영체제(예:*BSD,Windows,안드로이드 리눅스에서 빌 하지만 크게 다른 내 경험에 의하-).

물론,ransomeware 개발자는 말했다,당신이뿐만 아니라 그것이 마무리합니다. 를 중지할 경우 mid-프로세스를'll 가장 가능성이 복구되지 않은 무엇이었을 암호화됩니다. You'll 없 ID 연락하여 개발자와,그리고 그들은 아마도 아직 받지 않는 암호화 키입니다. 선택적으로 결합할 수 있습니다. 사용 내가 말했듯이 단순히 부팅된 시스템 백업 및게 마무리합니다.

적으로 연결:저는'm 는 인간의 감자,즉하지*개발자의 아무것도

랜 섬을 확산하기 때문에 그냥 사람들입니다 지불하고,그 질문과 답변을 얻는 데 도움이 랜섬 명성을 가능성이 있는 사람들입니다. 그것은 훨씬 더 나은 돈을 투자하에 좋은 반대로-바이러스 보다는 나중에 지불하여하여 데이터를 복구 할 수 있습니다.

경우 중단하는 과정 중에 유해할 수 있(기 때문에 개발자가 원하지 않는 당신을 중지하려고 암호화)아무것도 없을 방지하는 비정상적인 중단과 함께 관련 데이터의 손실(들고 다시 설정 버튼 일부 초기,블루 스크린에 의해 발생 버 드라이버...). 일반 암호화 데이터가 더 이상 허용하는 작은 오류의 싱글 비트(잘못된 비트가 차이가 없다에서 텍스트 파일이지만,잘못된 비트에서 암호화된 데이터의 손실이 발생하는 모든 데이터)

또한 랜섬은 개발자들은 실제로 지불하는 당신은 작은 부분의 하드 드라이브의 가격 때문에,많은 I/O 작업을 실제적으로 감소시킬 수명의 하드 드라이브입니다.

또 다른 중요한 점,다만 암호를 다시 설정 귀하의 계정만,don't 이 아직 입력 활성화 코드. 손상 랜섬의 수가 제한 될 경우 일부 데이터를 호스팅은 클라우드 서비스 또는 어떤 종류의 서버는다는 것을 의미하는 경우에는 악성코드에 접근하여 귀하의 자격증명/세션에 액세스할 수 있습니다 안전하게 저장되는 데이터 증가에 영향을 미칠 가능성이 있습니다. 다시 설정하면 암호를 차단하는 더 귀하의 계정에 액세스(스마트 폰을 제공하지 않 감염 및 재 코드는 차단되지 않은).

많은 웹 서비스를 제공하는 독특한 로그인할 수 있도에 대한 액세스를 관리하는 장치이고 어떤 행동을 수행하의 경우에는 도난당한 증명(또는데 자).

그것은 하나의 수학 문제에서는 게임 이론을 것이다,당신이 지불을 얻을 작은 장점을 즉시(데이터 복구),또는 당신이 그냥 무시하 랜섬 그것의 사업을 하"좋"오래 실행에 대한 모든?