작업 도중 암호화 랜섬웨어가 적발되면 어떻게 해야 하나요?
어느 날 컴퓨터를 부팅하고 사용하는 동안 드라이브가 비정상적으로 많이 사용되고 있다는 것을 알게 됩니다. 시스템 모니터를 확인하면 알 수 없는 프로세스가 CPU를 사용하고 드라이브에 많은 양의 읽기 및 쓰기를 모두 수행한다는 것을 알 수 있습니다. 즉시 프로세스 이름을 웹에서 검색하면 해당 프로세스 이름이 랜섬웨어 프로그램 이름임을 알 수 있습니다. 인기 있는 소프트웨어 배포 사이트가 최근에 어떻게 이 랜섬웨어를 배포하기 위해 손상되었고 사용되었는지에 대한 뉴스도 올라온다. 최근에 해당 사이트의 프로그램을 설치했습니다. 랜섬웨어가 더러운 일을 하고 있는 게 분명해
내부 드라이브에 많은 양의 중요한 데이터가 있고 백업이 없습니다. 또한 드라이브에는 중요하지 않은 데이터의 양이 상당히 많습니다.
이 질문'의 제목은 "중간"작업이라고 되어 있지만, 이 예에서 우리는 랜섬웨어가 실제로 "작업에서 얼마나 멀리 도달했는지 아직 조사하지 않았습니다.&**
두 가지 상황을 살펴볼 수 있습니다.
-
가능한 한 많은 데이터를 보존하려고 합니다. 그러나 몸값을 지불하는 것은 불가능하다.
-
위험 없이 가능한 경우 데이터의 중요한 부분을 실제로 암호화하고 덮어쓰는지 여부를 알고자 합니다. 또한 상황을 악화시키지 않고 최대한 많은 데이터를 추출하려고 합니다. 당신은 몸값을 지불하고 싶지 않을 것이다. 그러나 *특정 부분의 데이터는 귀사에 매우 중요하기 때문에 데이터를 잃어버리는 위험을 감수하지 않고 데이터를 되찾을 수 있는 마지막 수단으로 사용할 수 있습니다.
단계별로 상황 1과 상황 2에서 가장 이상적인 것은 무엇인가요? 그리고 왜?
참고: 이것은 가설입니다. 그것은 실제로 나에게 일어나지 않았다. 저는 항상 중요한 데이터의 백업을 오프사이트에 보관하고 있으며, I'은(는) 랜섬웨어의 영향을 받은 적이 없습니다.
컴퓨터를 최대 절전 모드로 전환
는 경우 랜섬는 파일을 암호화하이,키를 사용하여 암호화를 위해 어딘가에 메모리에 있습니다. 그것은 것을 얻을 바람직 메모리 dump,하지만 당신은 당신을 가질 가능성이 적합한 하드웨어는 쉽게 사용할 수 있습니다. 덤핑 딱 맞는 프로세스 또한 일을 발견하지만,어떤 한한(예를 들어. 악성 코드 실행 중일 수있는 내부
explorer.exe
),그리고 우리는 그것을 덤프*지금**.최대 절전 모드에 있는 컴퓨터가 저렴한 방법을 메모리 이미지는¹그런 다음 그것을 장착할 수 있읽기 전용에 깨끗하고 컴퓨터
a)의 평가에 의해 손상 랜섬
b)복구의 암호화되지 않은 파일²
c)법의 추출의 메모리 키에 악성 프로세스,기타 고급 복구 수 있습니다.
참고는여 읽기 전 나는 의미는 아무 쓸 수행됩니다 모든 최대한 복구 기회가 있습니다. 연결하는 일반적으로 다른 윈도우 시스템 승't 을 제공합니다.
For(c)당신은 아마이 필요한 전문적인 지원합니다. 될 수 있습 무료로 제공하여 바이러스는 공급 업체입니다.
지 않는 경우에도't 관리하는 모든 파일을 복구 할 또는 당신이 말한 그것은 불가능하거나,너무 비싸지는 디스크에 암호화 파일이 있습니다. 그것이 무엇's 불가능한 오늘날 저렴 수 있습니다 또는 사소한 몇 개월입니다.
내가 추천하는 당신은 단순히 수행하는 새로운 설치에는 다른 디스크(었던 것을 다시 어쨌든 컴퓨터가 감염되었,기억하십니까?), 계속된 하나 제대로 표시에요.
--
으로 두 번째 질문에 대한 당신 _really 지불하고 싶 ransom_I'm 확 랜섬 저자할 수 있게 당신을 당신의 파일을 다시하지 않는 경우에도 모든 그들의 암호화되어 있습니다. 그러면 정말 필요할 수 있는 최대 절전 모드에서 부팅 디스크후 복제,그리고 그것을 마무리를 암호화(지금의 백업)파일을 만들거나 수정합니다.
¹NB:지 않은 경우에는't 있는 최대 절전 모드 파일,이것을 덮어쓸 수 있다 일반 텍스트를 버전이 지금의 암호화 파일을 수 있는 복구되지 않는(관련성에 대한 가장 최근의 랜 섬,하지만).
²가정하면 감염되지 않았다...
무엇을 할:
당신은 지금에서 매우 좋은 위치:전원이 꺼져 그래서 주목할 수 있습니다 더 일어나,그리고 당신은 어떤 암호화 키 그것을 사용하여 플러스는 원래 프로그램입니다. 문제를 찾을 수 있는 암호화 키과 암호화 방법,그러나 그것은 어딘가에서 해당 프로세스 메모리:그냥 시간의 문제입니다. 전화커 친구들을 리버스 엔지니어링 프로그램,또는 아마도 바이러스 회사:그들은 아마 많은 고객의와 같은 랜섬와 호기심을 얻 메모리 dump 추출하는 열쇠입니다.
연결 하드 드라이브를 다른 컴퓨터는 모든 파일을 복구하는 암호화되지 않던가 아직 없이 훨씬 위험합니다. 지't execute 어떤 단어를 매크로나 열려 있습니다.exe 파일에서 드라이브 또는 무언가이다.
요약
일 랜섬 프로세스 할 수 있도록 우리가 그것의 복사본을 만들고 메모리를 찾을 수 있는 암호화 키니다. 다음 설정 시스템을 끄고 따르는 일반적인 의미합니다. 주의 중요한 손상된 파일(중간에 암호화 파일),그래서 확인 하나 그것은 현재 작업 일시 중지한 후습니다.
응답에서의 댓글
이 댓글을은 약간 늦게 집에 가서 만들 지금:
이것은 관심이 나의 생각을 쓰는 동안 포스트,하지만 아직 해결되지 않.
아무도를 암호화하데이터비대칭 암호화(public key encryption). It's 너무 느리게,도록 비대칭 암호화에 사용되하이브리드 암호화제도. 벤치마크도 같은 내장된 openssl 보고서 초당 mb AES 및 운영에 대해 초당 RSA. 비교할 수 없습니다. 다만 나는've 을 찾을 수있을 것입 Stack Overflow 과 함께 답변을 원하지 않았더라도 공개하는 그들의 방법:비대칭 암호화는 1000 시간보다 느리게 대칭 암호화.
따라서,암호화에 사용되는 각 파일을은 거의 확실하게 대칭 암호화(다음과 같 AES),즉 우리는 또한 암호 해독과 같은 키를 그대로 암호화되었다.
업데이트:에 보이는 것과 적어도 하나의 랜섬 변종 사용하여 공개 키 암호화만 있습니다. 분명히 그것은 단지 충분히 빠르게 사용 될 수 있도록,또는 그들은 분명히 사용하지 않습니다. 나는 당신이 더 나은 당신을 희망하지 않't 이 변? 의 끝에 업데이트합니다.
I don't 의 랜섬는 않지만,유일한 방법 이전이 문제가 될 때 각 파일의 독특한 암호화 키입니다. 는 경우에만 파일을 복구할 수 있습니다. 는 원인이 될 수 키 관리에 대한 문제들도 각각 그 키는 것 중 하나가 전송되거나 저장된 데이터베이스에서는 암호화(대칭)마스터 키입니다. 후자의 경우에 당신은 아마 복구 마스터 키를 메모리에서뿐만 아니라,전자의 경우에는 당신이 문제입니다. 하지만 이 모든 것은 단지 추측을 어쨌든,I don't 알 랜섬이 나온 것입니다.
랜섬웨어(또는 해당 암호화 소프트웨어)는 암호화되지 않은 파일 크기와 비트가 일치하지 않기 때문에 인플레이스(in-place)에서 파일을 암호화하지 않는다. 더 중요한 것은 (종료, 배터리 부족 등으로 인한) 암호화 프로세스의 자발적 중단은 랜섬할 수 없는 손상된 파일을 만들 수 있다는 것이다. 대신 항상 이러한 프로그램은 이전 프로그램에서 암호화된 파일을 새로 만든 다음 이전 파일을 삭제합니다. 실제로 대부분의 랜섬웨어 프로그램들은 종료/재시작으로 인해 반암호화된 대용량 파일을 재시작하는 체크가 있다.
따라서 중간 암호화가 확인되면 최대한 빨리 컴퓨터를 끄고 백업을 위해 영향을 받지 않은 시스템에 하드 드라이브를 장착해야 합니다.
내가 몸값을 지불할지 말지에 대해서 - 나는 전혀 모른다. 몸값의 크기와 그 당시 내 하드 드라이브에 있던 물건의 특성에 따라 달라지 저는 시간당 약 2달러 50센트를 벌고, 제 하드 드라이브에는 주로 공개적으로 이용 가능한 과학 자료가 들어있기 때문에, 대답은 "아니오"일 가능성이 높습니다.
편집:
다른 포스터에서 권장하는 바와 같이, 동면은 여러 가지 면에서 컴퓨터를 끄는 것보다 더 낫다고 가정한다. 하지만 사실상 동면은 효과가 없을 수도 있습니다. 어떤 과정이라도 시스템이 바쁘고 당장 멈출 수 없다고 말할 수 있다. 심지어 피아노를 치는 고양이를 찍은 유튜브 영상도 이것을 할 수 있다. 이는 Linux의 최대 절전 모드에 따라 OSX, 윈도우즈 및 Linux의 경우에도 마찬가지입니다. 이러한 경우 프로세스가 일시 중단을 거부하는 유일한 해결책은 프로세스를 중지하는 것입니다. 즉, 메모리 덤프가 없다는 뜻입니다. 그래서 개인적으로, 저는 가능한 한 빨리 전력 코드를 빼서 암호화를 중지하고 싶습니다. 왜냐하면 제가 장담할 수 있는 한 가지는 다음 번에 시스템이 부팅될 때 랜섬웨어가 메모리에 키를 다시 저장한다는 것입니다. 왜냐하면 제가 그 일을 끝내지 못하게 했기 때문입니다.
[**Mod 참고:****이 대답은 많이 받고의 플래그하지만,의 가치 삭제합니다. 이것입니다잠재적으로 유효한 작업 과정하지만,위험과 잠재적으로 불법 일부 지역에서. 서기술적관점에서 이의 기회가있는 방법을 보존하는 데이터입니다. 참조하시기 바랍Meta에 대한 추가 논의한다.]
가장 좋은 것은 아무것도 아니다. 뭔가 바로 이어질 수 있습 데이터의 손실 또는 손상이다. 그것이 완료 후 연락을 사람이 나열되어 있 몸값을 지불하고 당신이 갈 수 있습니다. 우리는 전문가 당신을 도움이 될 것입니다 당신의 파일을 다시 얻을 수있는.
*면책 조항:**난웨어 개발자.</하위>
두 번째 질문은 답변으로 많은 의견을 낼 수 있습니다. 첫 번째 문제에 집중하겠습니다. 진행 중인 잠재적인 랜섬 암호화를 중지하려면 어떻게 해야 합니까?
단계:
즉시 인터넷에서 당신의 기계의 플러그를 뽑으세요. 인터넷 솔루션 검색에 다른 시스템을 사용합니다.
냉간 전원 차단으로 영향을 받는 기계를 종료합니다. 기기가 정상적인 전원 차단 소프트웨어 검사를 완료할 때까지 기다리지 마십시오.
하드 드라이브를 기계에서 분리합니다.
기기에 새 하드 드라이브를 설치하고 깨끗한 OS를 설치합니다.
새 OS가 드라이브에 액세스할 수 있도록 원래 드라이브를 마더보드에 연결합니다.
새 OS의 전원을 켜고 이전 드라이브에 액세스한 후 백업을 만듭니다.
백업본은 화재, 홍수, 토네이도 등 원본과 분리된 안전한 장소에 보관한다.
웹 브라우저 보안을 향상시킵니다. 랜섬웨어의 대부분은 자바스크립트 악성코드를 통해 설치된다.
두 번째 질문입니다. 암호화된 데이터 중 일부를 재구성할 수 있습니다. 위의 단계를 완료한 후 다음 단계가 유용할 수 있습니다.
원본 드라이브의 데이터를 감사하여 암호화된 파일이 있는지 확인합니다. 암호화된 파일을 기록해 둡니다. (이 감사는 깨끗한 OS에서만 완료되어야 합니다.)
(백업이 없기 때문에) 메모리에서 파일의 내용이 무엇이고 얼마나 중요한지 기억해 보십시오.
이제 암호화된 가장 중요한 파일을 중심으로 파일 복구 기술이 원본 파일을 복구할 수 있는지 확인합니다. 암호화는 여러 가지 이유로 덮어쓸 수 없기 때문에 랜섬웨어는 암호화된 버전을 만드는 동안 원본 파일에 접근했을 것이다. 그러면 원본 파일을 여러 가지 성공 수준으로 삭제했을 수 있습니다. 연결되지 않은 원본 파일이 디스크에 아직 있는지 확인하려면 파일 복구 전문가에게 문의하십시오.
미래에는 자신을 보호하는 것을 잊지 마세요. 백업을 만들고 오프라인 상태를 유지하며 랜섬웨어 설치를 방지합니다. [랜섬웨어는 어떻게 사람들에게 접근합니까'의 컴퓨터에 접근합니까?]를 참조하십시오.1
컴퓨터를 종료시 즉시. 제공하는 당'다시되지에 대해 몸값을 지불하는 모든 데이터는 바이러스는 처리는 어쨌든. 그래서 그냥 아래로 밀어 전원 버튼을 누르고,또는 분리합니다.
우분투를 설치하거나 다른 휴대용 리눅스 배포판에서 USB 스틱입니다. 마지막 시간에 나가 이것을 그에 맞는 2GB 스틱입니다. 었 복제 내 HDD 를 SSD 로 Windows filesystem. Mount 당신의 파일 시스템을 읽기 전용입니다.
백업만 실행 불가능한 데이터이다. 나는'm 지 얼마나 많은 바이러스 감염 다른 실행파일만 만약 내가 만드는 바이러스,그것은 또한 감염 Java 항아리 아카이브,PHP 서버 스크립트,배치 및 해시 스크립트를 다른 모든 것을 생각할 수 있습니다. 모든 프로그램을 실행할 수 있는 시스템을 명령할 수 있는 잠재적으로 개최 바이러스를 실행합니다. It's 가능성이 없습니다,그러나 그것이 가능합니다. 할 수 있는 예를 들어 base64 인코딩하는 이진로 bash 파일...
당신은 필요,다른 하드 드라이브입니다. 그것을 채우기 문서,사진 또는 소스 코드. 과 관련하여 이점을 내가 만든 확인하는 소스 코드's 상태입니다. 당신이 사용하는 경우 원본을 제어,덤프 소스 코드. 는 과정이 오래 걸릴 것입니다. 신중하게 선택하는 것만 당신은 필요합니다. 어쩌면 당신이'll 는 방법을 알아의 하드디스크 공간에 의해 점령되었습't 도 기억하거나 필요합니다.
형식으로 감염된 하드 드라이브입니다. 중 하나 이렇게에서 리눅스 구조 시스템에 삽입하거나 원하는 OS 가 설치 디스크와 설치 프로그램 하드 드라이브를 포맷합니다.
지 않는 것이 좋습 백업하면 감염된 하드 드라이브입니다. 당신 경향이 있을 수도 있습의 복사본을 유지하려면 감염된 하드 드라이브의 이익을 위해 문서를 잊어버린 수 있습니다. It's,함정이 그냥가. 당신이 문서에서 당신의 메일 받은편지함 또는 전송 폴더에 있습니다.
셧다운 및 복사 접근법에 추가하여 다른 사람들은 다음과 같은 또 다른 요소를 언급했다. 랜섬웨어는 악성코드를 완성할 때까지 무슨 일이 벌어지는지 숨기려 하기 때문에 암호화된 파일은 보통 몸값을 요구할 준비가 될 때까지 암호화 된 것처럼 읽을 수 있다.
문제가 되는 파일을 찾아서 암호화하면 인터넷에 연결하지 말고 기기를 다시 조립하여 복사하려고 합니다. 만약 이 방법이 효과가 있지만 모두 HD로 백업을 돌려놓지 못한다면 좀 더 많은 데이터를 확보하세요.
심사 상황(호출하는 상황-awareness 원칙)##
-는 컴퓨터 now? 사무실에서? Home? 호텔에서? 그렇지 않으면을까요? -무엇을 보호하는 여기에 제공되는? 는 경우에 당신을 당겨 네트워크 케이블 또는 와이파이 해제,이동할 수 있습니 컴퓨터를 이상-보호하니까? 당신은 그것을 이동할 수 있습니하니까? 그렇다면 잘라,네트워크는 지금! 니다. 그러나,닫지 마십시오 모든 프로그램-떠나 그들 모두 열려있는 상태에서 그들이었습니다. Don't 근접 브라우저 탭이 있습니다. Don't 닫 의심되는 문서 또는 이메일입니다. -는 경우**휴대용 컴퓨터입니다. 귀하의 의 인포섹 팀 또는 그것은 리더십이 있는 경우 모든 절차는 장소에서 취급하 랜섬,데이터와 같은 법의학 사고 대응 능력을. 을 찾으면 그들은 어떤 보안 플랫폼을 방지하는 악성 코드의 통신과 같은 안전한 웹 게이트웨이 또는 통일된 위협 관리 솔루션을 제공합니다.
격리 사이클(수행하기 위해 위에서 아래로)##
-컴퓨터가 연결되지 않는 글로벌 인터넷. 사용하는 다른 컴퓨터와 USB 드라이브,사용할 수 있는 경우입니다. 사용할 수 없는 경우에는,당신이 무엇을 알아낼 수 있습에 대한 표시됩니다. Find 프로세스 이름,파일 확장자(예를 들어,.zepto은 파일에 대한 데스크톱에서). 사용 별도의 컴퓨터를 검색에 대한 표시됩니다. 특히 방문--https://www.nomoreransom.org -유지하고 모든 프로그램으로 열람들이 있었다. 지 않는 종료하거나 재부팅이 아직 없습니다. 을 얻을 수 있다면[MalwareBytes][1]설치 프로그램에서는 별도의 기계를 돌리지 않고 네트워크에 다시,사본을 설치 프로그램을 통해 컴퓨터지만,실행하지 않습니다. 지 않도록 그것은 또는 다른 컴퓨터를 재부팅 합니다. MalwareBytes 이거나 윈도우 또는 perl-그리고 당신을 사용 라이선스 버전인 경우에는 사업입니다. If this is an emergency 할 수 있습 윤리적으로 확인 라이센스를 구매 후--IT 리더십's call. -이로 사건입니다. 문서 무엇을 발견하고 당신은 무엇을 계속 찾을 수 있습니다. 더 성숙한 데이터 분석 및 사고 대응 프로그램(DFIR)이 있을 것이 몇 가지 기본 요소. 을 시작할 수도 있습니다 이에 지금이다. 그들은 다음과 같습니다:1)하수 구멍 네트워크(예:절연 hub DHCP 서버지만,고급 CSIRTs 이 있는 사람으로 능력을 VPN 에서 직접),으로,적어도,[DNS RPZ][2]또는[DNS 블랙홀][3]기능-시장,아마도 전 허니넷이나 기만적인 시스템 플랫폼입니다. 2)수 있는 이 고립 네트워크는 이미 플랫폼(예를 들어,Microsoft SCCM,[CloneZilla][4],[FogProject][5],Symantec 객 관리,이전의육 또는 유령)에 PXE 부팅 기능이다. 이것은 좋은 위치에 대한 악성 코드 Management Framework]6,성숙 DFIR 기능을 하는 에이즈에서 이러한 시나리오를 보여 줍니다. 는 경우 MMF 할 수 있는 수동 또는 자동적으로 식별할 의심 랜섬 프로세스,파일,레지스트리의 항목 및/또는 기타 유물을 다시 이동으로 연구하 모니다. -(옵션)를 활성화 DFIR 프로세스 또는 플랫폼입니다. 매우 성숙한 DFIR 프로그램을 것입니다 몇 가지의 고급 품목에서는 장소입니다. 에서 계속하기 전에(그리고 희망이 동일한 절연지만 네트워크는 이러한 기능은 생산을 뿐만 아니라 네트워크),여기에는 다음이 포함될 수 있습니다:3)포렌식 분석은 환경,특이 법정 시스템 등[구글 빠른 응답][7]. 다른 구성 요소는 여기에서 찾을 것은 클라이언트 기반의 원격-이미징 기능과 같은[NBDServer][8]. 주요 차이점은 새로이 에이전트 기반의 컬렉션 중심의 시스템으로,웹 인터페이스는 동안 NBDServer 은 연결하는 방법 리눅 법정 워크스테이션 노출된 윈도우 컴퓨터입니다. 할 수 있지만,GRR 도 macOS(도인[osquery][9]). 4)법정 도구를 사로잡는 특정 유물에 대한 처리를 위해 법의학 워크스테이션. 내가 좋아하는,그리고는's 에 포함되어 있 GRR,은 pmem(즉,winpmem,linpmem,osxpmem). 최근의 리포트를 다운로드를 위해 이들에 직접 사용할 수 있는지[여기][10],과될 수 있습 후 업데이트[여기][11]. 열 cmd.exe 셸 마우스 오른쪽 버튼을 클릭하여으로 관리자 권한으로 실행(또는 perl/리눅스 터미널을 가진 포탄 sudo/root 권리)및 그 후 실행하 pmem 유틸리티입니다. 일단 당신이've 모여 출력,복사본을 유물을 법의학 워크스테이션 및 분석과 리콜 및/또는[변동성 Framework][12](모두에 잘 알려진 DFIR 커뮤니티). 그것은 좋은 수집하는 두 번째 메모리 덤프를 사용하여[BelkaSoft RAM 포착 기][13]비교,설치 윈도우 드라이버입니다. 다른 좋아하는 FTKImager(라이트 버전을 벌금),그리고 나는 다음과 같를 시작으로 페이징 파일을 추출 할 수 있도록 활용하여[page_brute][14]도구입니다. 참여 어떤 지난 분 DFIR tradecraft. -을 식별 알려 좋다고 알려져 있는 나쁜. 에 의존하 MMF 니다 여기에. 지 않는 경우't 나,설정하는 가장 빠른 버전의 하나는 당신이 가능하게 할 수 있습니다. 또한--MalwareBytes 여 운영하고 볼 것들에서 작업입니다. 이것은 왜's 의 중요한을 떠날 것으로 전이었다. 설치 및 실행 MalwareBytes 을 위한 첫 번째 시간에 지금이다. Don't 허용하는 컴퓨터를 재부팅 합니다. 대신 닫기의 브라우저 탭에 있습니다. 대신 스크롤 다른 이메일로서 귀하의 전망,다시 동일한 알려져있다-나쁜 문서는 아마의 원인이 표시됩니다. 빠른 체크인의[브][15]와 스크롤을 통해 이메일 경우 클라이언트에 오픈한 이벤트가(보통 내에서 10 분이 끝나기 전에 사용자가 생각하는 감염 발생)및 작업들에 나타난 경우 관련이 있습니다. 당신을 기억'다시되지 않 전체에 인터넷이-그냥 네트워크에 응답하는 DNS 쿼리로 전달하는 일부 로컬로 위장한 서비스입니다.
완화기(을 제거하여 타협이 무엇을 의미하는지 확인하지 않을 것이다. 복원하는 기계 작동 상태)##
-쪼그리고 앉아. 당신이 헤이븐't 시 폐쇄 모든 프로그램,또는 연결되어 있는 글로벌 인터넷이 그러나,오른쪽? 좋다. 전화 DFIR 완료를 위한 지금 할까 표시되는 모든 프로그램입니다. You've 란 MalwareBytes 에 가짜 네트워크입니다. You've 희망은 또한 수집한 인공물의 메모리를 실행하는(비롯 페이징 파일)모든 프로그램과 함께 열려 있습니다. 할 수 있도 죽이 나쁜 프로세스는 지금(해 MalwareBytes 지't 미). 다시 참조 MMF 을 결정하는 알려져있다-좋은 프로세스 및 꽤 많이 죽일을 제외하고 모든 사람을 유지하는 데 필요한 OS 에서 실행되지 않는 한 그것은 우리는'다시 다음까지:을 확인하는 로컬 또는 원격 백업 및 Volume Shadow Copy Service(VSS). -무엇을 찾을 수 있는 복원 할 수 있습니다 무엇을 할 수가 없습니다. 윈도우 XP 에서 생성 시스템이 복원 지점에 24 시간마다. 이후 윈도우 7,그러나,Volume Shadow Copy 기구도 만드는 백업 파일에. 이 모든 작업은 자동으로 발생 없이 사용자는 활동입니다. 할 수 있는 경우,복제 전체 드라이브입니다. 할 수 있는 경우't 때문에 제한된 시간에,디스크 공간,또는 다른 심사는,다음에서 접 OS 백업 기능입니다. Let's 정 Win7 또는 더 높은 두 번째,당신은 따라 할 수 있지만,여기까 내가 원래 가지고 책에서 아이디어를 운영 체제 법의학(그's 도에 덮여 사고 응답&컴퓨터 법의학,세 번째 에디션):
참고:로'최고의 응답'는 것이 더 중심의 고급 사용자는(도의 수준으로 사고대응팀)이 될 것입니다 쉽게 할 수 있는 모든 사용자를 위한 지식과에 대한 리눅스와 라이브 Cd.
.
.
에서 위험의 소리가 무지하고,나는'll 응답 one-liner:
Turn off the PC 를 부팅이브 Linux CD.
세부사항:
경's Windows OS,회전 시스템 부팅 Linux 라이브 CD 를 넣습니다. 데이터 백업 후에 복제 백업입니다. 유지 하나의 안전하고 실행하려고 다른 하나에서 깨끗하 OS.
경's Linux 다음 ransomeware 이 작동하도록 설계 리눅스에서,그래서 동일한 백업 프로세스,하지만 단지 그것을 실행하에서 다른 운영체제(예:*BSD,Windows,안드로이드 리눅스에서 빌 하지만 크게 다른 내 경험에 의하-).
물론,ransomeware 개발자는 말했다,당신이뿐만 아니라 그것이 마무리합니다. 를 중지할 경우 mid-프로세스를'll 가장 가능성이 복구되지 않은 무엇이었을 암호화됩니다. You'll 없 ID 연락하여 개발자와,그리고 그들은 아마도 아직 받지 않는 암호화 키입니다. 선택적으로 결합할 수 있습니다. 사용 내가 말했듯이 단순히 부팅된 시스템 백업 및게 마무리합니다.
적으로 연결:저는'm 는 인간의 감자,즉하지*개발자의 아무것도
랜 섬을 확산하기 때문에 그냥 사람들입니다 지불하고,그 질문과 답변을 얻는 데 도움이 랜섬 명성을 가능성이 있는 사람들입니다. 그것은 훨씬 더 나은 돈을 투자하에 좋은 반대로-바이러스 보다는 나중에 지불하여하여 데이터를 복구 할 수 있습니다.
경우 중단하는 과정 중에 유해할 수 있(기 때문에 개발자가 원하지 않는 당신을 중지하려고 암호화)아무것도 없을 방지하는 비정상적인 중단과 함께 관련 데이터의 손실(들고 다시 설정 버튼 일부 초기,블루 스크린에 의해 발생 버 드라이버...). 일반 암호화 데이터가 더 이상 허용하는 작은 오류의 싱글 비트(잘못된 비트가 차이가 없다에서 텍스트 파일이지만,잘못된 비트에서 암호화된 데이터의 손실이 발생하는 모든 데이터)
또한 랜섬은 개발자들은 실제로 지불하는 당신은 작은 부분의 하드 드라이브의 가격 때문에,많은 I/O 작업을 실제적으로 감소시킬 수명의 하드 드라이브입니다.
또 다른 중요한 점,다만 암호를 다시 설정 귀하의 계정만,don't 이 아직 입력 활성화 코드. 손상 랜섬의 수가 제한 될 경우 일부 데이터를 호스팅은 클라우드 서비스 또는 어떤 종류의 서버는다는 것을 의미하는 경우에는 악성코드에 접근하여 귀하의 자격증명/세션에 액세스할 수 있습니다 안전하게 저장되는 데이터 증가에 영향을 미칠 가능성이 있습니다. 다시 설정하면 암호를 차단하는 더 귀하의 계정에 액세스(스마트 폰을 제공하지 않 감염 및 재 코드는 차단되지 않은).
많은 웹 서비스를 제공하는 독특한 로그인할 수 있도에 대한 액세스를 관리하는 장치이고 어떤 행동을 수행하의 경우에는 도난당한 증명(또는데 자).
그것은 하나의 수학 문제에서는 게임 이론을 것이다,당신이 지불을 얻을 작은 장점을 즉시(데이터 복구),또는 당신이 그냥 무시하 랜섬 그것의 사업을 하"좋"오래 실행에 대한 모든?