Поставить компьютер в спящий режим

Если вымогатель шифрует файлы, ключ, который он использует для шифрования, находится где-то в памяти. Было бы предпочтительнее получить дамп памяти, но вряд ли у вас будет подходящее аппаратное обеспечение для этого. Дампинг просто правильный процесс также должен работать, но выяснить, какой из них может быть не тривиальным (например, вредоносный код может быть запущен внутри explorer.exe), и мы должны сбросить его сейчас.

Спящий компьютер является дешевым способом получить образ памяти¹ Тогда он может быть смонтирован только для чтения на чистый компьютер для

а) Оценка ущерба, нанесенного программой выкупа

б) Восстановление незашифрованных файлов²

в) Судебно-медицинское извлечение ключа внутренней памяти из вредоносного процесса, другое расширенное восстановление файлов и т.д.

Обратите внимание, что под "только для чтения" я подразумеваю, что запись вообще не выполняется, с максимальными шансами на восстановление. Обычное подключение к другой системе Windows этого не обеспечивает.

Для пункта В вам, вероятно, понадобится профессиональная поддержка. Она может быть бесплатно предоставлена вашим антивирусным поставщиком.

Даже если вам не удастся восстановить все файлы или вам скажут, что это невозможно или слишком дорого, сохраните диск с зашифрованными файлами. То, что сегодня невозможно, через несколько месяцев может оказаться дешевле или даже банальнее.

Я рекомендую просто выполнить новую установку на другой диск (вы все равно собирались переустанавливать, компьютер был заражен, помните?) и хранить зараженный - с соответствующей маркировкой - в ящике.

--

Что касается второго вопроса, где вы на самом деле хотите заплатить выкуп, я вполне уверен, что автор выкупа может вернуть вам ваши файлы, даже если не все из них были зашифрованы. Но если действительно нужно, вы можете загрузиться с спящего диска после клонирования и позволить ему закончить шифрование ваших (теперь резервных) файлов....

¹ Примечание: если у вас не было файла спящего режима, это может привести к перезаписи простых текстовых версий зашифрованных файлов, которые можно было бы восстановить (хотя это и не относится к последним вымогательствам).

² Если они не заражены...

Что бы я сделал:

1. Приостановить процесс. Не убивай его, просто останови.
2. Посмотрите в дереве процесса, есть ли родители, которых тоже нужно приостановить.
3. Вытащите сетевой кабель и/или выключите WiFi (а если у вас паранойя, то и Bluetooth тоже).
4. Проверьте открытые файлы этими процессами, чтобы увидеть, какой из них он в настоящее время шифрует. Если это особенно важно, вы, возможно, захотите скопировать файл в его текущем состоянии (в то время как процесс приостановлен), а затем позволить ему перейти к следующему файлу, так что он не будет поврежден. Если следующий файл также окажется важным, то либо разберитесь с шаблоном и скопируйте файл на шаг вперед, либо просто начните копировать все свои файлы уже сейчас.
5. Google как сделать дамп памяти процесса на данной конкретной ОС, а затем сделать этот дамп памяти соответствующих процессов. Черт возьми, я могу выкинуть всю виртуальную память из машины.
6. Закрыть другие программы.
7. Синхронизировать диск(ы) так, чтобы больше не было записывающего кэша.
8. Потяните за питание. Если ноутбук: извлеките батарею, затем отключите питание (если он подключен).

Сейчас вы находитесь в довольно хорошем положении: питание отключено, поэтому можно заметить, что может случиться еще что-то, и у вас есть любой ключ шифрования, который он использовал, плюс оригинальная программа. Проблема в том, чтобы найти этот ключ шифрования и метод шифрования, но он должен быть где-то в памяти процесса: это всего лишь вопрос времени. Позвоните своим друзьям-хакеру, чтобы перепрограммировать программу, или, возможно, даже антивирусной компании: у них, вероятно, много клиентов с одинаковым выкупом, и им было бы очень любопытно получить дамп памяти для извлечения ключа.

Переключение жесткого диска на другой компьютер восстановит все файлы, которые еще не были зашифрованы, без особого риска. Просто не выполняйте макросы Word и не открывайте .exe-файлы с диска или еще что-нибудь.

Резюме

Приостановите процесс выкупа, чтобы мы могли скопировать его и его память, чтобы позже найти ключ шифрования. Затем выключите систему и следуйте оттуда здравому смыслу. Остерегайтесь важных поврежденных файлов (файлы, зашифрованные наполовину), так что проверьте тот, над которым он работал в настоящее время после паузы.

В ответ на комментарии

Этот комментарий сейчас имеет несколько повышательных голосов:

"ключ шифрования" не поможет во многих случаях, при запуске выкуп подключается к командному и управляющему серверу и запрашивает новую пару шифрования (публичное и частное) для создания. Сервер создает эту пару, хранит приватный и посылает общий доступ к зараженной машине. Затем зараженная машина использует открытый ключ для шифрования файлов, и единственный способ обратить его вспять - это использовать закрытый ключ, который никогда не передается на машину-жертву до тех пор, пока не будет произведен платеж. - [Антон Банчев] (https://security.stackexchange.com/users/107957/anton-banchev)

Я думал об этом во время написания статьи, но до сих пор не решил эту проблему.

Никто никогда не шифрует данные с помощью асимметричного шифрования (также известного как шифрование с открытым ключом). Это слишком медленно, поэтому асимметричное шифрование используется только в схемах гибридного шифрования. Даже такие тесты, как встроенный в openssl отчет мегабайт в секунду для AES и операции в секунду для RSA. Совсем несопоставимы. Единственный хит, который я смог найти - это ответ Stack Overflow с источником, который даже не раскрыл их методы: асимметричное шифрование в 1000 раз медленнее симметричного.

Таким образом, шифрование, используемое для каждого файла, почти наверняка является симметричным (как AES), что означает, что мы также можем расшифровать его с помощью того же ключа, которым он шифруется.

Update: кажется, что по крайней мере один из многих вариантов выкупа использует только шифрование с открытым ключом. Очевидно, что он достаточно быстрый, чтобы его можно было использовать, иначе они, очевидно, не будут его использовать. Думаю, вам лучше надеяться, что у вас нет этого варианта? End of update.

Я не знаю ни одного выкупа, который делает это, но единственный способ, которым это все еще может быть проблемой, это когда каждый файл имеет уникальный ключ шифрования. В этом случае из памяти может быть восстановлен только текущий файл. Однако для них это вызовет проблему управления ключами: каждый из этих ключей нужно будет либо передать, либо хранить в базе данных, которая зашифрована (симметричным) мастер-ключом. Во втором случае вы, вероятно, сможете восстановить мастер-ключ и из памяти, в первом случае у вас возникнут проблемы. Но это все равно лишь домыслы, я не знаю ни одного вымогателя, который бы это делал.

Ransom-ware (или любое шифровальное программное обеспечение для этого) не будет зашифровывать файл на месте, потому что зашифрованные файлы не будут соответствовать незашифрованным файлам размером bit-for-bit (если только это не просто xor shuffle, и в этом случае это не совсем шифрование). Более того, самопроизвольный аборт процесса шифрования (из-за выключения, разрядки батареи и т.д.) создаст поврежденный файл, который не может быть выкуплен. Вместо этого, эти программы всегда создают новый зашифрованный файл из старого, а затем удаляют старый. На самом деле, большинство программ для получения выкупа имеют проверки для перезапуска полузашифрованных больших файлов из-за выключения/перезапуска.

Поэтому, если вы обнаружите, что ваш компьютер зашифрован наполовину, вы выключите его - как можно скорее - и смонтируете жесткий диск на незащищенной машине для резервного копирования.

Относительно того, заплачу я выкуп или нет - понятия не имею. Зависит от размера выкупа и характера того, что находится на моем жестком диске в то время. Так как я зарабатываю примерно $2,50 в час, а мой жесткий диск в основном содержит общедоступные научные данные, то ответ, скорее всего, будет "нет".

Редактировал:

Спячка, как рекомендовано на другом плакате, гипотетически превосходит по многим показателям выключение компьютера. Однако, на практике, спячка может не сработать. Любой процесс может сказать системе, что она занята и не может быть остановлена прямо сейчас - даже видео на YouTube, где кошка играет на пианино, может сделать это. Это справедливо для OSX, Windows и Linux (в зависимости от того, как вы входите в спящий режим для Linux). Единственное решение в этих случаях, когда процесс отказывается от приостановки - это убить процесс, что означает отсутствие дампа памяти. Так что лично я предпочел бы остановить это шифрование как можно скорее, вытащив аккорд питания, потому что если есть одна вещь, которую я могу гарантировать, то, что при следующей загрузке системы выкупительная программа вернет свой ключ обратно в память, потому что я не дал ей закончить работу.

Замечание: Этот ответ получает множество флагов, но не достоин удаления. Это потенциально действительный курс действий, хотя и рискованный и потенциально незаконный в некоторых юрисдикциях. С технической точки зрения, это имеет шанс быть способом сохранения данных. Пожалуйста, ознакомьтесь с Мета для дальнейшего обсуждения.

Лучше всего ничего не делать. Делать что-то глупое может привести к потере или повреждению данных. Дайте этому закончиться, а затем свяжитесь с людьми, перечисленными там, заплатите выкуп, и вы можете идти. Мы профессионалы и поможем вам вернуть ваши файлы.

Дисклеймер: Я разработчик ransomware.

Второй вопрос может породить множество мнений в качестве ответов. Я сосредоточусь на первом вопросе. Что вы делаете, чтобы остановить потенциальное шифрование в процессе ransomed?

Шаги:

1. Немедленно отключите вашу машину от интернета. Используйте другую машину для поиска решений в интернете.

2. Выключите пораженный компьютер холодным выключением. Не ждите, пока машина завершит обычный контроль программного обеспечения выключения.

3. Отсоедините жесткий диск от аппарата.

4. Установите новый жесткий диск в машину и установите новую, чистую операционную систему.

5. Подключите оригинальный диск к материнской плате, чтобы новая ОС могла получить доступ к диску.

6. Включите новую ОС, получите доступ к старой и сделайте резервную копию.

7. Храните резервную копию в физически безопасном месте, отделенном от оригинала (в случае пожара, наводнения, торнадо и т.д.).

8. Улучшить безопасность вашего веб-браузера. Большая часть выкупа устанавливается с помощью вредоносных программ JavaScript.

Что касается второго вопроса: возможно, вы сможете восстановить некоторые данные, которые были зашифрованы. Следующие шаги могут оказаться полезными после того, как будут выполнены вышеприведенные шаги.

1. Проверить данные на оригинальном диске, чтобы определить, были ли какие-нибудь файлы успешно зашифрованы. Обратите внимание, какие файлы были зашифрованы. (Эта проверка должна выполняться только с чистой операционной системы).

2. Из памяти (так как нет резервной копии), постарайтесь вспомнить, каково содержимое файлов и насколько они важны.

3. Теперь, сосредоточившись на наиболее важных файлах, которые были зашифрованы, посмотрим, смогут ли методы восстановления файлов восстановить исходный файл. Поскольку шифрование не может перезаписать на месте (по многим причинам), выкуп получил бы доступ к оригинальному файлу во время создания зашифрованной версии. Тогда он, возможно, удалил исходный файл с разной степенью успеха. Свяжитесь со специалистом по восстановлению файлов, чтобы узнать, существуют ли на вашем диске несвязанные оригинальные файлы.

Не забудьте защитить себя в будущем. Делайте резервные копии, держите их в автономном режиме и не допускайте установки выкупа. См. раздел Как программы-вымогатели попадают на компьютеры людей?.

Немедленно выключите компьютер. При условии, что вы не собираетесь платить выкуп, любые данные, которые вирус обрабатывает, все равно будут потеряны. Так что просто нажмите кнопку питания и удерживайте ее, или отсоедините провод.

Установка Ubuntu или другого портативного дистрибутива Linux на вашу флешку. Последний раз, когда я делал это, он поместился на флешку 2 Гб. Я клонировал свой жесткий диск на SSD с файловой системой Windows. Монтаж файловой системы только для чтения.

Баккап только не исполняемых данных. Я не уверен, сколько вирусов заражает другие исполняемые файлы, но если бы я создавал вирус, он бы также заразил архивы Java JAR, серверные PHP-скрипты, пакетные и хэш-скрипты и все остальное, о чем я мог подумать. Любая программа, которая может выполнять системные команды, может потенциально удерживать вирус и выполнять его. Это маловероятно, но возможно. Например, можно закодировать двоичный файл base64 в bash-файл...

Потребуется другой жесткий диск. Заполните его документами, фотографиями или исходным кодом. Что касается предыдущего пункта, который я сделал, проверьте состояние исходного кода. Если вы используете управление исходным кодом, сбросьте исходный код. Процесс займет много времени. Тщательно выбирайте только то, что вам нужно. Может быть, вы узнаете, сколько места на вашем жестком диске занимали вещи, которые вы даже не помните или которые вам не нужны.

Форматируйте зараженный жесткий диск. Или сделайте это из загрузочной системы Linux, или вставьте предпочтительный установочный диск ОС и дайте программе установки отформатировать жесткий диск.

Не рекомендую создавать резервную копию зараженного жесткого диска. Возможно, вы склонны хранить копию зараженного жесткого диска ради документов, которые могли быть забыты. Это ловушка, просто отпустите ее. В почтовом ящике или в папке "Отправленные" вы найдете множество документов.

В дополнение к подходу shutdown & copy другие упоминали о другом факторе: Программа-выкуп хочет скрыть то, что происходит до тех пор, пока не закончит, это зло - то есть зашифрованные файлы обычно все еще читаются так, как будто они не были зашифрованы, пока не будут готовы потребовать выкуп.

После того, как вы нашли файлы, которые имеют значение и зашифрованы, соберите машину не в Интернете и попытайтесь скопировать их. Если это сработает, но не получится, поставьте резервную копию обратно на HD и возьмите еще.

Повернуть ситуацию (ссылаться на принцип ситуационной осведомленности) #

• Где сейчас компьютер? В офисе? Дома? В гостинице? Иначе в дороге?
• Какая защита предлагается здесь? Если вы тянете сетевой кабель или отключаете WiFi, можете ли вы переместить компьютер в более защищенную среду? Можете ли вы переместить его в офис? Если да, отключите сеть сейчас! КАК МОЖНО СКОРЕЕ!!! Однако, не закрывайте никаких программ - оставьте их все открытыми в том состоянии, в котором они были. Не закрывайте вкладки браузера. Не закрывайте подозрительный документ или электронную почту.
• Если вы портативны, принесите компьютер в офис.** Вы спросите у вашей команды Infosec или IT-руководителей, есть ли у них какие-либо процедуры для работы с вымогательством, например, возможности реагирования на инциденты с данными криминалистической экспертизы. Вы выясняете, есть ли у них платформы безопасности, предотвращающие обмен вредоносным ПО, такие как защищенные интернет-шлюзы или решения Unified Threat Management.

Цикл удержания (выполнять по порядку сверху вниз)

• Держите компьютер неподключенным к глобальному Интернету. Используйте другой компьютер и USB-накопители, если они доступны. Если он недоступен, узнайте, что можно сделать с программой выкупа. Найдите имена процессов, расширения файлов (например, .zepto для файлов, которые находятся на рабочем столе). Используйте отдельный компьютер для поиска программного обеспечения для получения выкупа. Особенно посетите -- https://www.nomoreransom.org.
• Держите все программы открытыми. Не выключайте и не перезагружайте пока. Если вы можете получить MalwareBytes программу установки с отдельной машины без включения сети, скопируйте программу установки на компьютер, но не запускайте её. Не позволяйте ей или чему-либо ещё перезагрузить компьютер. MalwareBytes предназначена либо для Windows, либо для MacOS -- и вы должны использовать лицензионную версию, если вы являетесь бизнесменом. Если это срочно, по этическим соображениям можно купить лицензию позже - звонок от вашего ИТ-руководителя.
• Отработайте это как инцидент. Документируйте то, что вы нашли на данный момент и то, что вы продолжаете искать. Более зрелая программа криминалистики данных и реагирования на инциденты (DFIR) будет иметь несколько основных вещей. Возможно, вы захотите начать работать с ними прямо сейчас. Они включают в себя: 1) Выгребная сеть (например, изолированный хаб с DHCP-сервером, но продвинутые CSIRT будут иметь сети с возможностью VPN непосредственно внутри), с, как минимум, возможностями DNS RPZ или DNS Blackhole -- в крайнем случае, возможно, с платформой с полным доступом к медовой сети или с платформой обманной системы. 2) Возможно, что эта изолированная сеть является вашей платформой визуализации (например, Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, ранее Altiris, или Ghost) с возможностями PXE-загрузки. Это было бы отличным местом для Malware Management Framework (MMF), зрелой DFIR-функции, которая помогает в этих сценариях. Если MMF может вручную или автоматически идентифицировать подозрительные процессы выкупа, файлы, записи реестра и/или другие артефакты, то вернитесь в режим исследования.
• (Опционально) Активировать любые процессы или платформы DFIR. Очень зрелая программа DFIR будет иметь несколько продвинутых элементов. Продолжая с прежних времен (и, будем надеяться, в той же изолированной сети, хотя эти возможности отлично подходят и для производственных сетей), они могут включать в себя: 3) Среда криминалистического анализа, особенно распределенная система криминалистики, такая как Google Rapid Response. Еще одним компонентом, который можно найти здесь, является клиентская возможность удаленного воспроизведения изображений, такая как NBDServer. Основное отличие заключается в том, что GRR представляет собой систему, основанную на агентах и ориентированную на сбор данных, с веб-интерфейсом, в то время как NBDServer является способом прикрепления рабочей станции криминалистов Linux к скомпрометированному компьютеру с Windows. Вы можете захотеть и то, и другое, но GRR также будет работать с MacOS (также смотрите osquery). 4) Средства криминалистики, которые захватывают определенные артефакты для обработки на рабочих станциях криминалистов. Мой любимый, и он включен в GRR, это pmem (т.е. winpmem, linpmem, osxpmem). Недавнее репо для скачивания их напрямую доступно здесь, а также могут быть и более поздние обновления здесь. Откройте оболочку cmd.exe, щелкнув правой кнопкой мыши на Run As Administrator (или MacOS/Linux Terminal shell с правами sudo/root), а затем запустите утилиту pmem. Собрав результат, скопируйте артефакты на рабочую станцию криминалистов и проанализируйте их с помощью rekall и/или Volatility Framework (оба варианта хорошо известны в сообществе DFIR). Приятно собрать второй дамп памяти, используя BelkaSoft RAM Capturer для сравнения, который устанавливает драйвер для Windows. Другим любимым является FTKImager (версия Lite подойдет), и мне нравится начинать с извлечения файлов подкачки, чтобы я мог использовать инструмент page_brute. Запустите любой трейд-крафт DFIR в последнюю минуту.
• Дискернируйте то, что известно хорошо и что известно плохо.Положитесь на свой ММФ здесь. Если у вас его нет, настройте самую быструю версию. Также -- MalwareBytes работает, видя вещи в действии. Вот почему важно оставить все как было раньше. Установите и запустите MalwareBytes в первый раз. Не позволяйте ему перезагрузить компьютер. Вместо того, чтобы закрыть вкладку браузера, перезагрузите его. Вместо прокрутки в Outlook на другой электронный адрес, откройте заново тот же самый известный и плохой документ, который, возможно, стал причиной выкупа. Выполните быструю проверку история браузера и прокрутите почтовый клиент, если он открыт, в поисках других событий (обычно в течение 10 минут до того, как конечный пользователь подумает, что заражение произошло) и действий над ними, если они кажутся связанными. Помните, что вы не полностью подключены к Интернету - просто сеть, которая отвечает на DNS-запросы и пересылает их на какой-нибудь локальный сервис.

Цикл смягчения последствий (удалите компромисс любыми средствами и убедитесь, что он не вернется. Восстановление машины в рабочее состояние)

• Ханкера нет. Вы еще не перезагрузили, не закрыли никаких программ и не подключились к глобальному интернету, так? Хорошо. Позвоните в DFIR и закройте все видимые программы. Вы запустили MalwareBytes в поддельной сети. Надеюсь, вы также собрали артефакты работы памяти (включая файл подкачки) со всеми открытыми программами. Теперь Вы даже можете убить плохие процессы (если MalwareBytes еще этого не сделал). Обратитесь к своему MMF, чтобы определить известные процессы и убить практически все, кроме тех, которые необходимы для поддержания работы операционной системы, если только это не связано с тем, что мы делаем дальше: проверяем локальное или удаленное резервное копирование и Службу теневого копирования томов (Volume Shadow Copy Service - VSS).

• Узнайте, что можно восстановить, а что нельзя. Windows XP создает точку восстановления системы каждые 24 часа. Однако, начиная с Windows 7, существует механизм Volume Shadow Copy, который также создает резервные копии файлов и т.п. Все эти действия выполняются автоматически без каких-либо действий со стороны пользователя. Если вы можете, клонируйте весь диск. Если вы не можете по причине ограниченного времени, места на диске или другой сортировки, обратитесь к встроенным возможностям резервного копирования ОС. Допустим, Win7 или выше на секунду, и вы можете последовать этому примеру, но я изначально получил идеи из книги "Экспертиза операционной системы" (и она также освещается в книге "Реакция на инциденты и компьютерная криминалистика", третье издание):

  >     C:\Windows\system32> vssadmin list shadows
  >     [...]
  >       Contents of shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88}
  >         Contained 1 shadow copies at creation time: 3/4/2012 5:06:01 PM
  >          Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00}
  >           Original Volume: (C:)\\?\Volume{33faab95-9bc6-11df-9987-806e6f6e6963}\
  >           Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27
  >           Originating Machine: funhouse
  >           Service Machine: funhouse
  >           Provider: ‘Microsoft Software Shadow Copy provider 1.0’
  >           Type: ClientAccessibleWriters
  >           Attributes: Persistent, Client-accessible, No auto release,
  >     Differential, Auto recovered

  mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 и вы можете cd \vss и dir посмотреть, доступны ли файлы с расширением файла выкупа (т.е. файлы или каталоги, которые были зашифрованы) в незашифрованном виде, пройдя через них в качестве корневого пути. Затем вы можете rmdir \vss, когда закончите, попробовав другую итерацию HarddiskVolumeShadowCopy, как вам удобно. Харлан Карви и Криминалистическая вики также подробно описали эти методы.

• Убедитесь, что собрали всю необходимую информацию перед перезагрузкой. С установленным MalwareBytes, он захочет перезагрузиться. Однако, вы можете установить несколько других пакетов перед перезагрузкой. Если у вас возникли проблемы с восстановлением системы или VSS файлов, то посмотрите Arsenal Recon Image Mounter (особенно важно попробовать это, потому что программы выкупа могут на самом деле идти после точек восстановления и самого VSS, отключая их). Еще одна замечательная вещь, которую нужно сделать перед перезагрузкой, это выполнить операцию гостевого клона виртуальной машины P2V, обычно с помощью VMware vCenter Converter. Поскольку после перезагрузки вы, скорее всего, снова будете подключены к глобальному Интернету, также убедитесь, что вы сможете обновиться до патчей на уровне операционной системы и приложений. Возможно, вы захотите ознакомиться с бесплатной пробной версией Corporate Software Inspector от Flexera (ранее Secunia), если у вас больше ничего нет. Еще одна любимая программа - Microsoft Baseline Security Analyzer (MBSA). Проверьте несколько параметров, таких как брандмауэр Windows Firewall или раздел "Безопасность и конфиденциальность MacOS" в Системных настройках. Если вы хотите увидеть большой список настроек безопасности, обязательно ознакомьтесь с бесплатным инструментом Airlock из Lunarline (Примечание: он работает только с операционными системами Windows версий 7, 8 и 8.1 и будет применять настройки безопасности только к Internet Explorer версий 8, 9 и 10 -- но этот инструмент фантастичен с точки зрения безопасности). Убедитесь, что сетевые ресурсы не будут прикрепляться/отправляться при перезагрузке компьютера. Проверить их можно в Windows и в macOS.

• Восстановление; Восстановление; Восстановление. Последнее, что нужно сделать перед перезагрузкой, это проверить Автозапуск. Для Windows это означает запуск Autoruns (снова попробуйте получить его через USB или лабораторную/восстановительную сеть вместо глобальной сети Интернет). Попробуйте просмотреть каждый пункт с помощью эксперта. В MacOS для просмотра элементов, которые будут запущены при запуске, перейдите в раздел Системные настройки, Пользователи и группы, а также элементы для входа в систему. Восстановить, перезапустив и обратив внимание на MalwareBytes, если он предложит. Восстановление путем повторного запуска MalwareBytes. Восстановить, получив разрешение на обратное подключение к глобальному Интернету. Обновить MalwareBytes. Снова запустить MalwareBytes. Обновить операционную систему и запустить любые встроенные или сторонние программы обновления на уровне ОС и приложений. Восстановить, позволив обновлениям завершить и перезагрузиться, если они вас попросят. Теперь можно безопасно скопировать восстановленные из резервной копии файлы и перезаписать зашифрованные файлы. Убедитесь, что вы восстановили все службы/данные в том состоянии, в котором они были до возникновения инцидента.

• Используйте компьютер. Все в порядке? Все вернулось в нормальное состояние? Это нормально - убивать процессы или останавливать службы, которые, по вашему мнению, все еще выглядят пугающе. Если файлы отсутствовали или не могли быть найдены из резервных копий, то каков следующий выход? Я предлагаю скопировать все зашифрованные файлы на автономный носитель, например, USB-накопитель. Возможно, позже будет создана утилита восстановления для файлов с выкупом. Действует ли компьютер так, как будто на нем все еще остались вредоносные программы (а не только программы выкупа)? Если да, то поместите его в карантин и увеличьте объем исследований, опыта и возможностей DFIR.

• Будьте готовы использовать другой компьютер, даже если он кажется нормальнымБудьте готовы передать свой компьютер эксперту. Будьте готовы позволить ему сидеть в карантине дольше. Будьте готовы к тому, что на следующем и последнем этапе вы никогда больше не увидите этот конкретный компьютер.

Цикл ликвидации (получить ситуационное понимание, обзор действий после завершения).

• Узнайте, как было выполнено или установлено выкупное ПО. Просмотрите и запишите, что случилось, что вы задокументировали и т.д. Храните информацию и работайте с более неформальной системой, такой как Raquet, nightHawkResponse, SOF-ELK, malcom, malcontrol или MISP. Используйте любую формальную SIEM или билетную систему для отслеживания этого выпуска или поиска связанных с ним прошлых выпусков, таких как MozDef. Однако, вы действительно должны понять, как она была установлена или выполнена -- вам нужно понять, как она работает. Если вы не можете сделать это вручную, по крайней мере, используйте автоматический анализ вредоносного ПО (AMA) какого-нибудь рода. Если ваш UTM в офисе - это Palo Alto Networks и у вашей компании есть лицензия на WildFire, то у вас уже есть AMA. Другие коммерческие платформы AMA включают в себя: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense или ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID и Fortinet. Я определил их здесь, поэтому вы можете спросить у своих специалистов InfoSec или руководителей ИТ-отделов, существует ли такая служба, чтобы они могли посмотреть, что она нашла. Если ничего, тогда, возможно, позвоните поставщику и спросите, почему бы и нет?

• Извлеките функции и поведение выкупа для корреляции.** Сравните хэши и другие индикаторы компромисса (IoCs) с известными-отрицательными значениями более подробно, чем то, что произошло до сих пор. Если заражение выкупа произошло из вредоносного макроса в документе Office (или даже напрямую из электронной почты), то извлеките макросы VBA с помощью Didier Stevens tools: emldump и oledump. Для полноценного поведения исполняемого файла, который вы обнаружили в своем криминалистическом анализе памяти, инструмент Cuckoo Sandbox в его многих, многих итерациях (включая сервис online-submit, Malwr, который на его основе) является обязательным к использованию (даже для макросов двоичных файлов!]. Подобно Malwr, Payload Security, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack и Vicheck, все они взяты из книг, которые охватывают скриншоты и методы глубокого анализа с такими заголовками, как название: Advanced Malware Analysis, а также: Windows Malware Analysis Essentials. Для дешевого коммерческого инструмента обратитесь к JoeSecurity, сайту, который содержит множество полезных ссылок на AMA в их блоге. Если вымогатель сделал какие-либо сетевые подключения (или любые другие вредоносные соединения были найдены на компьютере), выясните, куда они направлялись и почему.

• Знайте своего врага и ответьте соответственно. Вам не обязательно быть (или назначать или нанимать) экспертом DFIR или Threat Intelligence, чтобы соскрести поверхность вашей атаки на выкуп (хотя это и помогает). Однако, если вы знаете, что у вас есть APT Ransomware вместо криминально мотивированного выкупа, то у вас есть особая проблема. Возможно, вымогательство было доставлено по локальной сети, например, через объект групповой политики Microsoft Active Directory Group Policy Object (AD GPO). Если у вас есть подозрение, что атаки являются целевыми (например, только компьютеры вашего руководителя были с выкупом, или только высокопоставленные лица), то вам действительно нужно, чтобы кто-то другой оценил ваше домашнее задание за вас. Если вы думаете, что сможете сделать это самостоятельно, вперед - этот сайт поможет вам в ваших поисках - http://www.threathunting.net.

• Проактивно остановите повреждение перед следующим событием. Если это был только ваш компьютер, подумайте об обновлении вашей операционной системы или включении самого высокого уровня UAC, как это возможно (или и того и другого). Проверьте настройки панели управления Windows Update. Если вы ИТ-специалист или InfoSec, помогающий другим с выкупом, то пришло время пересмотреть две политики: 1) Ваша политика отсутствия администраторов, т.е. обычные конечные пользователи не должны иметь доступа к администраторам, и 2) Ваша политика белых списков приложений. Есть несколько приемов создания белых списков приложений, которые вы должны знать, особенно для Windows. Прочтите эту слайдовую колоду, особенно начиная со слайда 15 -- http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf -- и обратите внимание, что следующие десять слайдов (15-25) избавят вас от получения выкупа бесплатно, практически навсегда. Однако я настоятельно рекомендую вам прочитать слайды 29-37, чтобы понять, что вам нужно установить PowerShell v5 на каждый компьютер конечного пользователя с политикой AppLocker app-whitelisting policy. Это непростая задача, но если вы заинтересованы, пожалуйста, спросите в комментариях, и я отвечу там или обновлю свой ответ здесь.

• Обновление; Обновление; Обновление.** Обновите все неподдерживаемые ОС в вашей сети (они уменьшают ваши среднесрочные возможности и оборонительные возможности, включая осанку). Обновление до более новой ОС. Запустите обновление своей операционной системы. Обновите свои приложения. Обновите плагины. Обновите свой офисный пакет. Если вы можете обновиться до Office 2016, то вы можете использовать простой AD GPO (похожий на AppLocker, описанный выше) в Блокировать макросы от запуска в файлах Office из Интернета.

• Убедитесь, что вы продолжаете обновлять.** Не упрощайте задачу отказа в обновлении (отсюда и причина отсутствия политики администрирования). Нажмите на GPO, чтобы изменить Политику локального компьютера - Конфигурацию компьютера - Административные шаблоны - Компоненты Windows - Элементы Windows Update. Например, измените Перезапуск с запланированными установками на Включить с 1440 (24 часа) после установки Нет автоматического перезапуска с входом в систему пользователей для запланированных автоматических установок обновлений на Включено. Закончите с Небольшие автоматические обновления немедленной установки до Включено также. Уведомить всех конечных пользователей через письменную политику, а также через сотрудников или подрядчиков ориентации, что компания будет предполагать, что если ваш компьютер включен, то компания может потребовать, чтобы они перезагрузились, по крайней мере, в другой день. Это справедливая политика. Некоторые пользователи, особенно работники CAD, предпочитают оставлять свои компьютеры включенными на несколько дней или недель одновременно (некоторые даже месяцев!). Убедитесь, что у вас есть надлежащий процесс исключения для этих конечных пользователей, но также убедитесь, что они получают исправления к некоторым согласованным политикам исключений с дополнительными согласованными альтернативными или компенсирующими элементами управления. Большинство не будет, так что не позволяйте им! Компьютеры Apple могут иметь cronjob корневого уровня, который запускает softwareupdate -i -a ежедневно. Помните, что сеть PXE-загрузки используется в цикле сдерживания? Убедитесь, что базовые установочные образы обновляются в соответствии с теми же самыми политиками (т.е. в любой другой день), желательно через автоматизацию. Пока вы там находитесь, обязательно обновляйте любое другое локальное программное обеспечение (через Corporate Software Inspector или аналогичное), и в частности: антивирусное программное обеспечение или обновления агентов. Возможно, вы слышали (я, конечно, слышал) о том, что новый сотрудник или подрядчик получает ноутбук с новым изображением и получает вредоносные программы или вымогательство в первый же день работы! Предотвращайте такие сценарии, поддерживая свои базовые образы в актуальном состоянии - и это отлично работает вместе с MMF системой, которую вы построили на той же изолированной сети! Держите эти известные хэши в актуальном состоянии! Это также отличное место для начала отслеживания инвентаризации активов для всех пользователей и элементов, из которых состоит ваше предприятие.

• Sharpen the saw. Ваша команда InfoSec и/или ваше ИТ-менеджмент должны знать, что они на самом деле делают неправильно здесь, что выкуп активно используется в их среде. Существует так много бесплатных (или уже оплаченных) опций, которые у них могут быть. Одна из них, которую я только что просмотрел, называется Microsoft RAP от их Proactive Premier Services. Если векторы исходят от макросов, исправьте эту проблему; USB, эту; APT, ну -- просто сделайте все, что в ваших силах, для каждой проблемы (а не для симптомов). В слайд-деке, которую я цитировал в разделе Proactive Stem, есть много простых и бесплатных идей для вещей, которые можно реализовать на сетевом уровне, для потоковой записи логов, для управления системой или на организационном уровне. Также смотрите этот документ -- https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf -- в котором я получил много таких идей.

Заметка: Поскольку "лучший ответ" кажется более ориентированным на продвинутых пользователей (даже на уровень команд реагирования на инциденты), это будет легко выполнимо для любого пользователя, обладающего знаниями о Linux и Live CD.

.

.

Рискуя показаться невежественным, я отвечу на один вопрос:

Выключите компьютер и загрузите Live Linux CD.

Детали:

Если это операционная система Windows, выключите систему и загрузите Linux Live CD. Сделайте резервную копию данных, а затем клонируйте резервную копию. Храните одну в безопасности и попробуйте запустить другую под управлением чистой ОС.

Если это Linux, то выкупное программное обеспечение предназначено для работы под Linux, так что тот же самый процесс резервного копирования, но затем просто запустите его под другой ОС (т.е. *BSD, Windows, Android - построена на Linux, но значительно отличается по моему опыту -).

Конечно, как сказал разработчик выкупа, вы можете дать ему закончить. Если вы остановите средний процесс, вы, скорее всего, никогда не восстановите то, что уже было зашифровано. У вас не будет идентификатора, с которым можно было бы связаться с разработчиками, и, возможно, они еще не получили ваш ключ шифрования. Опционально, Вы можете комбинировать и то, и другое. Используйте то, что я сказал ранее, а затем просто загрузите резервную копию зараженной системы и дайте ей закончить.

Декламер: Я человек-картофель, т.е. я НЕ разработчик чего-либо.

Ransomware распространяется только потому, что люди платят за него, а вопросы и ответы помогают сделать Ransomware репутацией, которая, скорее всего, заставит людей платить. Гораздо лучше вложить немного денег в хороший антивирус, чем потом платить за восстановление данных.

Если прерывание процесса в середине может быть вредным (потому что разработчики хотели, чтобы вы не пытались остановить шифрование), это ничто не предотвращает ненормальное прерывание с соответствующей потерей данных (удерживая кнопку RESET в течение нескольких секунд, синий экран, вызванный ошибкой драйвера ...). В общем, зашифрованные данные больше не переносят небольшие ошибки отдельных битов (неправильный бит не имеет значения в текстовом файле, но неправильный бит в зашифрованных данных приводит к потере всех данных).

Кроме того, разработчики Ransomware должны на самом деле заплатить вам небольшую часть цены вашего жесткого диска, потому что многие операции ввода-вывода фактически сокращают срок службы вашего жесткого диска.

Еще один важный момент, просто сбросьте пароль своих учетных записей, но еще не вводите код повторной активации. Ущерб от Ransomware может быть ограничен, если некоторые данные размещаются на облачных сервисах или на каком-то сервере, это означает, что если вредоносная программа получает доступ к вашим учетным данным / сеансов, она может получить доступ к безопасно хранящихся данных увеличивает ущерб. Сброс паролей заблокирует дальнейший доступ к вашим учетным записям (при условии, что ваш смартфон не заражен и код повторной активации не перехвачен).

Многие веб-сервисы, обеспечивающие уникальный логин, позволяют также управлять доступом к устройствам и совершать некоторые действия в случае кражи учетных данных (или предполагаемой кражи учетных данных).

Это как одна из математических проблем в теории игр, будете ли вы платить, чтобы получить небольшое преимущество сразу (восстановление данных), или вы просто игнорируете Ransomware, позволяя ему выйти из бизнеса, делая "хорошо" в долгосрочной перспективе для всех?