it-swarm-eu.dev

Cosa si dovrebbe fare se si rileva la crittografia ransomware a metà operazione?

Un giorno avvii il tuo computer e mentre lo usi noti che l'unità è insolitamente occupata. Controlli il monitor di sistema e noti che un processo sconosciuto utilizza la CPU e legge e scrive molto sull'unità. Esegui immediatamente una ricerca sul Web per il nome del processo e scopri che è il nome di un programma ransomware. Viene inoltre pubblicata una notizia, che spiega come un sito di distribuzione di software popolare è stato recentemente compromesso e utilizzato per distribuire lo stesso ransomware. Di recente hai installato un programma da quel sito. Chiaramente, il ransomware sta facendo il suo sporco lavoro.

Sono presenti grandi quantità di dati importanti sull'unità interna e nessun backup. C'è anche una notevole quantità di dati non importanti sull'unità.

Il titolo di questa domanda dice "metà" operazione, ma in questo esempio non abbiamo ancora studiato fino a che punto il ransomware potrebbe effettivamente essere arrivato al suo "lavoro"

Possiamo esaminare due situazioni:

  1. Vuoi conservare il maggior numero possibile di dati. Tuttavia, pagare qualsiasi riscatto è fuori discussione.

  2. Se possibile senza rischi, vuoi sapere se le parti importanti dei tuoi dati sono effettivamente crittografate e sovrascritte. Vuoi anche provare ad estrarre il maggior numero di dati possibile senza peggiorare le cose. Odieresti pagare un riscatto. Ma alcune parti dei dati sono così importanti per te che alla fine, come ultima risorsa, ti piacerebbe ancora poter pagare per avere la possibilità di recuperarli invece di rischiare di perderli .

Passo dopo passo, qual è la cosa ideale da fare nelle situazioni 1 e 2? E perché?

Nota: questo è ipotetico. In realtà non mi è successo. Conservo sempre backup fuori sede dei miei dati importanti e non sono mai stato interessato dal ransomware.

Ibernazione del computer

Se il ransomware sta crittografando i file, la chiave che sta utilizzando per la crittografia si trova da qualche parte nella memoria. Sarebbe preferibile ottenere un dump della memoria, ma è improbabile che tu abbia l'hardware appropriato per quello prontamente disponibile. Anche scaricare il giusto processo dovrebbe funzionare, ma scoprire quale potrebbe non essere banale (ad es. Il codice dannoso potrebbe essere in esecuzione all'interno di Explorer.exe) e dobbiamo scaricarlo ora.

L'ibernazione del computer è un modo economico per ottenere un'immagine di memoria¹ Quindi potrebbe essere montato sola lettura su un computer pulito per

a) Valutazione del danno inflitto dal ransomware

b) Ripristino di file non crittografati²

c) Estrazione forense della chiave in memoria dal processo dannoso, altro recupero avanzato dei file, ecc.

Si noti che per sola lettura intendo che non viene eseguita alcuna scrittura, per le massime possibilità di recupero. La connessione normale a un altro sistema Windows non lo fornisce.

Per (c) probabilmente avresti bisogno di supporto professionale. Potrebbe essere fornito gratuitamente dal tuo fornitore di antivirus.

Anche se non riesci a recuperare tutti i tuoi file o ti viene detto che è impossibile o troppo costoso, mantieni il disco con i file crittografati. Ciò che è impossibile oggi potrebbe essere più economico o addirittura banale in pochi mesi.

Ti consiglio di eseguire semplicemente la nuova installazione su un altro disco (avresti reinstallato comunque, il computer era infetto, ricordi?), E di tenere quello infetto - etichettato correttamente - in un cassetto.

-

Per quanto riguarda la seconda domanda, dove tu vuoi davvero pagare il riscatto Sono abbastanza sicuro che l'autore del ransomware potrebbe restituirti i tuoi file anche se non tutti di loro erano crittografati. Ma se davvero necessario, potresti avviarlo dal disco di ibernazione dopo averlo clonato , e lasciare che finisca di crittografare i tuoi file (ora sottoposti a backup) ...

¹ NB: se non si dispone di un file di ibernazione, questo potrebbe sovrascrivere versioni in testo normale di file ora crittografati che potrebbero essere stati recuperati (non rilevante per il ransomware più recente, tuttavia).

² Supponendo che non siano infetti ...

183
Ángel

Cosa farei:

  1. Sospendi il processo. Non ucciderlo, basta metterlo in pausa.
  2. Guarda nell'albero del processo se ci sono genitori che potrebbero aver bisogno di sospendere pure.
  3. Tirare il cavo di rete e/o disattivare il WiFi (e se sei paranoico, anche il Bluetooth).
  4. Controlla i file aperti da quei processi per vedere quale sta attualmente crittografando. Se è particolarmente importante, potresti voler copiare il file nel suo stato corrente (mentre il processo è sospeso) e quindi lasciarlo passare al file successivo, in modo che non venga danneggiato. Se anche il file successivo risulta essere importante, beh, capisci il motivo e copia un file un passo avanti o inizia a copiare già tutti i tuoi file.
  5. Google come fare un dump della memoria di un processo su quel particolare sistema operativo, quindi fare quel dump della memoria dei processi pertinenti. Cavolo, potrei scaricare tutta la memoria virtuale dalla macchina.
  6. Chiudi altri programmi.
  7. Sincronizza i dischi in modo che non ci sia più cache di scrittura.
  8. Tira il potere. Se un laptop: rimuovere la batteria, quindi rimuovere l'alimentazione (se collegato).

Ora sei in una posizione abbastanza buona: l'alimentazione è spenta, quindi è possibile notare che può succedere di più e hai la chiave di crittografia che stava usando più il programma originale. Il problema è trovare quella chiave di crittografia e il metodo di crittografia, ma deve trovarsi da qualche parte nella sua memoria di processo: solo una questione di tempo. Chiama i tuoi amici hacker per decodificare il programma, o forse anche una società antivirus: probabilmente hanno molti clienti con lo stesso ransomware e sarebbero molto curiosi di ottenere un dump della memoria per estrarre la chiave.

Collegando il disco rigido a un altro computer verranno ripristinati tutti i file che non sono stati ancora crittografati, senza molti rischi. Basta non eseguire alcuna macro di Word o aprire file .exe dall'unità o qualcosa del genere.

Sommario

Metti in pausa il processo ransomware in modo da poterne fare una copia e la sua memoria per trovare la chiave di crittografia in un secondo momento. Quindi spegnere il sistema e seguire il buon senso da lì. Fai attenzione ai file danneggiati importanti (file crittografati a metà), quindi controlla quello su cui stava lavorando dopo averlo messo in pausa.


In risposta ai commenti

Questo commento ha alcuni voti adesso:

La "chiave di crittografia" non sarebbe utile in molti casi, all'avvio il ransomware si collega al server di comando e controllo e richiede la creazione di una nuova coppia di crittografia (pubblica e privata). Il server crea la coppia, memorizza il privato e invia il pubblico alla macchina infetta. Quindi la macchina infetta utilizza la chiave pubblica per crittografare i file e l'unico modo per invertirla è utilizzare la chiave privata, che non viene mai trasferita sulla macchina vittima fino al completamento di un pagamento. - Anton Banchev

Questa è una preoccupazione che ho pensato mentre scrivevo il post, ma non ho ancora affrontato.

Nessuno crittografa mai dati con crittografia asimmetrica (nota anche come crittografia a chiave pubblica). È troppo lento, quindi la crittografia asimmetrica viene utilizzata solo negli schemi crittografia ibrida . Anche benchmark come quello integrato in openssl riportano megabyte al secondo per AES e operazioni al secondo per RSA. Non paragonabile affatto. L'unico successo che sono riuscito a trovare è questa risposta Stack Overflow con una fonte che non ha nemmeno rivelato i loro metodi: la crittografia asimmetrica è 1000 volte più lenta della crittografia simmetrica .

Pertanto, la crittografia utilizzata per ciascun file è quasi sicuramente una crittografia simmetrica (come AES), il che significa che possiamo anche decrittografarlo con la stessa chiave con cui viene crittografato.

Aggiornamento: sembra che almeno una delle tante varianti di ransomware utilizzi solo la crittografia a chiave pubblica. Apparentemente è abbastanza veloce per essere utilizzabile, o ovviamente non lo userebbero. Immagino che farai meglio a sperare di non avere questa variante? Fine dell'aggiornamento.

Non conosco alcun ransomware che lo faccia, ma l'unico modo in cui questo potrebbe essere ancora un problema è quando ogni file ha una chiave di crittografia univoca. In tal caso, è possibile ripristinare dalla memoria solo il file corrente. Ciò causerebbe loro un problema di gestione delle chiavi: ognuna di queste chiavi dovrebbe essere trasmessa o archiviata in un database crittografato con una chiave master (simmetrica). In quest'ultimo caso, probabilmente è possibile ripristinare anche la chiave principale dalla memoria, nel primo caso si è verificato un problema. Ma questa è solo una speculazione, non conosco nessun ransomware che lo faccia.

78
Luc

Il riscatto (o qualsiasi altro software di crittografia per quella materia) non crittograferà il file sul posto, perché la dimensione del file crittografata non corrisponderà alla dimensione del file non crittografata bit per bit (a meno che non sia solo un xor shuffle, nel qual caso non è proprio crittografia). Ancora più importante, un aborto spontaneo del processo di crittografia (a causa di un arresto, della batteria in esaurimento, ecc.) Creerebbe un file corrotto che non può essere riscattato. Invece, questi programmi creano sempre un nuovo file crittografato dal vecchio, quindi eliminano il vecchio. In effetti, la maggior parte dei programmi di riscatto ha controlli per riavviare file di grandi dimensioni crittografati a metà a causa di un arresto/riavvio.

Quindi, se scopri la tua crittografia intermedia, spegni il computer il prima possibile e monti il ​​disco rigido su un computer non interessato per il backup.

Per quanto riguarda il pagamento o meno del riscatto, non ne ho idea. Dipende dalle dimensioni del riscatto e dalla natura di ciò che è sul mio disco rigido in quel momento. Dato che guadagno circa $ 2,50 l'ora e il mio disco rigido contiene principalmente dati scientifici disponibili al pubblico, la risposta è molto probabilmente no.

EDIT:

L'ibernazione, come raccomandato dall'altro poster, è ipoteticamente superiore allo spegnimento del computer in molti modi. Tuttavia, praticamente, l'ibernazione potrebbe non funzionare. Qualsiasi processo può dire al sistema che è occupato e non può essere fermato in questo momento - anche un video YouTube di un gatto che suona un pianoforte può farlo. Questo è vero per OSX, Windows e Linux (a seconda di come si iberna per Linux). L'unica soluzione in questi casi in cui il processo si rifiuta di sospendere è quella di uccidere il processo, il che significa che non c'è alcun dump della memoria. Quindi, personalmente, preferirei interrompere tale crittografia il prima possibile strappando l'accordo di potenza, perché se c'è una cosa che posso garantire, è che il ransomware riporterà in memoria la sua chiave al prossimo avvio del sistema, perché non l'ho lasciato finire il lavoro.

56
J.J

[ Nota Mod: Questa risposta sta ricevendo molte bandiere, ma non è degna di cancellazione. Questo è un potenzialmente corso d'azione valido, sebbene rischioso e potenzialmente illegale in alcune giurisdizioni. Dal punto di vista tecnico, ciò ha la possibilità di essere un modo per conservare i dati. Si prega di vedere Meta per ulteriori discussioni.]

La cosa migliore da fare è niente. Fare qualcosa di stupido potrebbe portare alla perdita o alla corruzione dei dati. Lascia che finisca e contatta le persone elencate, paga il riscatto e sei a posto. Siamo professionisti e ti aiuteremo a recuperare i tuoi file.

Disclaimer: Sono uno sviluppatore di ransomware.

14
Dasya

La seconda domanda può generare molte opinioni come risposte. Mi concentrerò sulla prima domanda. Cosa fai per fermare una potenziale crittografia riscattata in corso?

Passi:

  1. Scollegare immediatamente la macchina da Internet. Usa un'altra macchina per le tue ricerche su Internet per trovare soluzioni.

  2. Spegnere la macchina interessata con uno spegnimento a freddo. Non attendere che la macchina completi le normali ispezioni del software di spegnimento.

  3. Scollegare il disco rigido dalla macchina.

  4. Installa un nuovo disco rigido nella macchina e installa un nuovo SO pulito.

  5. Collegare l'unità originale alla scheda madre in modo che il nuovo sistema operativo possa accedere all'unità.

  6. Accendi il nuovo sistema operativo, accedi al vecchio disco ed esegui un backup.

  7. Conservare il backup in un luogo fisicamente sicuro, separato dall'originale (in caso di incendio, alluvione, tornado, ecc.).

  8. Migliora la sicurezza del tuo browser web. Gran parte del ransomeware è installato tramite malware JavaScript.

Per quanto riguarda la seconda domanda: forse puoi ricostruire alcuni dei dati che sono stati crittografati. I seguenti passaggi possono essere utili dopo aver completato i passaggi precedenti.

  1. Controllare i dati sull'unità originale per determinare se i file sono stati crittografati correttamente. Nota quali file sono stati crittografati. (Questo controllo deve essere completato solo da un sistema operativo pulito.)

  2. Dalla memoria (poiché non esiste un backup), prova a ricordare quali sono i contenuti dei file e quanto sono importanti.

  3. Ora, concentrandosi sui file più importanti che sono stati crittografati, vedere se le tecniche di recupero file possono ripristinare il file originale. Poiché la crittografia non può sovrascrivere sul posto (per molti motivi), il ransomware avrebbe avuto accesso al file originale durante la creazione della versione crittografata. Quindi potrebbe aver eliminato il file originale con vari gradi di successo. Contatta un esperto di recupero file per scoprire se i tuoi file originali non collegati esistono ancora sul tuo disco.

Ricorda di proteggerti in futuro. Eseguire backup, tenerli offline e impedire l'installazione di ransomware. Vedi Come arriva il ransomware sui computer delle persone?

12

Spegni immediatamente il computer. Se non stai per pagare il riscatto, i dati che il virus sta elaborando vanno comunque persi. Quindi basta premere il pulsante di accensione e tenerlo premuto, o scollegare il cavo.

Installa Ubuntu o un'altra distribuzione Linux portatile sulla tua chiavetta USB. L'ultima volta che l'ho fatto si è adattato alla chiavetta da 2 GB. Stavo clonando il mio HDD su SSD con il filesystem di Windows. Monta il tuo filesystem in sola lettura.

Esegui il backup solo dei dati non eseguibili. Non sono sicuro di quanti virus infettano altri eseguibili, ma se creassi un virus, infetterebbe anche Java archivi JAR , PHP, script batch e hash e qualsiasi altra cosa mi venga in mente. Qualsiasi programma in grado di eseguire comandi di sistema può potenzialmente contenere il virus ed eseguirlo. Non è probabile, ma è possibile Ad esempio, è possibile codificare base64 binario nel file bash ...

Sarà necessario un altro disco rigido. Riempilo con i tuoi documenti, foto o codice sorgente. Per quanto riguarda il punto precedente che ho sollevato, controlla lo stato del codice sorgente. Se si utilizza il controllo del codice sorgente, scaricare il codice sorgente. Il processo richiederà molto tempo. Scegli con cura solo ciò di cui hai bisogno. Forse scoprirai quanto del tuo spazio su disco fisso è stato occupato da cose che non ricordi nemmeno o di cui hai bisogno.

Formattare il disco rigido infetto. O farlo dal sistema di ripristino di Linux o inserire il disco di installazione del sistema operativo preferito e lasciare che il programma di installazione formatta il disco rigido.

Non consiglio di eseguire il backup del disco rigido infetto. Potresti essere incline a conservare una copia del disco rigido infetto per il bene dei documenti che potresti aver dimenticato. È una trappola, solo lasciala andare. Troverai molti documenti nella tua casella di posta o nella cartella inviata.

Oltre all'approccio di spegnimento e copia che altri hanno menzionato c'è un altro fattore: il ransomware vuole nascondere ciò che sta succedendo fino a quando non è finito è male - quindi i file crittografati sono di solito ancora leggibili come se non fossero crittografati fino a quando non sono pronti per la richiesta è un riscatto.

Una volta individuati i file che contano e vengono crittografati, ricollegare la macchina non su Internet e provare a copiarli. Se questo funziona ma non li ottiene tutti rimetti il ​​backup sull'HD e prendine ancora un po '.

8
Loren Pechtel

Triage the Situation (invocare il principio di consapevolezza situazionale)

  • Dov'è il computer adesso? In ufficio? A casa? Ad un hotel? Altrimenti sulla strada?
  • Quali protezioni vengono offerte qui? Se si estrae il cavo di rete o si spegne il WiFi, è possibile spostare il computer in un ambiente più protetto? Puoi spostarlo in ufficio? Se è così, tagliare la rete ora! AL PIÙ PRESTO!! Tuttavia, non chiudere alcun programma: lasciarli tutti aperti nello stato in cui si trovavano. Non chiudere le schede del browser. Non chiudere un documento o un'email sospetti.
  • Se portatile, porta il computer in ufficio. Chiedi al tuo team infosec o alla leadership IT se sono in atto procedure per gestire i ransomware, come i dati Funzionalità di risposta agli incidenti forensi. Scopri se hanno piattaforme di sicurezza che impediscono le comunicazioni di malware, come gateway Web sicuri o soluzioni Unified Threat Management.

Ciclo di contenimento (eseguirli in ordine dall'alto verso il basso)

  • Mantieni il computer scollegato dall'Internet globale. Usa un altro computer e unità USB, se disponibili. Se non disponibile, scopri cosa puoi fare sul ransomware. Trova i nomi dei processi, le estensioni dei file (ad es. . Zepto per i file che si trovano sul desktop). Utilizzare un computer separato per cercare il ransomware. Soprattutto visita - https://www.nomoreransom.org
  • Mantieni tutti i programmi aperti com'erano. Non arrestare o riavviare ancora. Se riesci a ottenere il programma di installazione MalwareBytes da un computer separato senza riaccendere la rete, copia il programma di installazione sul computer, ma esegui non eseguirlo ancora. Non consentire il riavvio del computer o altro. MalwareBytes è per Windows o macOS e, se sei un'azienda, dovresti utilizzare una versione con licenza. Se si tratta di un'emergenza, potrebbe essere eticamente corretto acquistare la licenza in un secondo momento - la chiamata della direzione IT.
  • Lavora come incidente. Documenta ciò che hai trovato a questo punto e ciò che continui a trovare. Un programma di Data Forensics e Incident Response (DFIR) più maturo avrà alcune funzioni di base. Potresti voler iniziare ora. Includono: 1) Una rete sinkhole (come un hub isolato con un server DHCP, ma CSIRT avanzati avranno quelli con la capacità di VPN direttamente in), con, almeno, RPZ DNS oppure DNS Blackhole capacità - al massimo, forse una piattaforma full-honeynet o un sistema ingannevole. 2) Potrebbe essere che questa rete isolata sia la tua piattaforma di imaging (ad es. Microsoft SCCM, CloneZilla , FogProject , Symantec Client Management, precedentemente Altiris o Ghost) con PXE-boot funzionalità. Ciò farebbe un'ottima posizione per Malware Management Framework (MMF), una funzionalità DFIR matura che aiuta in questi scenari. Se l'MMF è in grado di identificare manualmente o automaticamente processi, file, voci di registro e/o altri artefatti sospetti di ransomware, tornare alla modalità di ricerca.
  • (Facoltativo) Attiva qualsiasi processo o piattaforma DFIR. Un programma DFIR molto maturo disporrà di alcuni elementi avanzati. Continuando da prima (e si spera sulla stessa rete isolata, anche se queste capacità sono ottime anche nelle reti di produzione), potrebbero includere: 3) Un ambiente di analisi forense, in particolare un sistema forense distribuito, come Google Rapid Response . Un altro componente trovato qui sarebbe una funzionalità di imaging remoto basata su client, come NBDServer . La differenza principale è che GRR è un sistema basato sull'agente e orientato alla raccolta con un'interfaccia web, mentre NBDServer è un modo per collegare una workstation forense Linux a un computer Windows compromesso. Potresti volere entrambi, ma GRR funzionerà anche con macOS (controlla anche osquery ). 4) Strumenti forensi che afferrano manufatti specifici per l'elaborazione su workstation forensi. Il mio preferito, incluso in GRR, è pmem (ovvero winpmem, linpmem, osxpmem). Un recente repository per scaricarli direttamente è disponibile qui , e potrebbero esserci aggiornamenti successivi qui . Aprire una shell cmd.exe facendo clic con il pulsante destro del mouse su Esegui come amministratore (o macOS/Linux Terminal Shell con diritti Sudo/root), quindi eseguire l'utilità pmem. Dopo aver raccolto l'output, copiare gli artefatti sulla workstation forense e analizzarli con rekall e/o Volatility Framework (entrambi sono ben noti nella comunità DFIR). È bello raccogliere un secondo dump della memoria usando BelkaSoft RAM Capturer per il confronto, che installa un driver di Windows. Un altro preferito è FTKImager (la versione Lite va bene), e mi piace iniziare solo con l'estrazione del file di paging in modo da poter sfruttare lo strumento page_brute . Coinvolgere qualsiasi prodotto DFIR dell'ultimo minuto.
  • Discernere ciò che è noto buono e noto cattivo. Fare affidamento sul proprio MMF qui. Se non ne hai uno, imposta la versione più veloce di quello che puoi. Inoltre - MalwareBytes funziona vedendo le cose in azione. Ecco perché è importante lasciare tutto come prima. Installa ed esegui MalwareBytes per la prima volta ora. Non consentire il riavvio del computer. Invece di chiudere una scheda del browser, ricaricarla. Invece di scorrere verso un'altra e-mail in Outlook, riapri lo stesso documento noto che forse era la causa del ransomware. Fai un rapido controllo di cronologia del browser e scorri il client di posta elettronica se aperto alla ricerca di altri eventi (di solito entro 10 minuti prima che l'utente finale pensi che si sia verificata l'infezione) e agisci su quelli se appaiono correlati. Ricorda che non sei su Internet, ma solo una rete che risponde alle query DNS e le inoltra a un servizio simulato localmente.

Ciclo di mitigazione (rimuovere il compromesso con qualsiasi mezzo e assicurarsi che non ritorni. Ripristinare la macchina in uno stato funzionante)

  • Hunker down. Non hai ancora riavviato, chiuso alcun programma o connesso a Internet globale, giusto? Buona. Chiama il DFIR completo per ora e chiudi tutti i programmi visibili. Hai eseguito MalwareBytes su una rete falsa. Si spera che tu abbia anche raccolto artefatti della memoria in esecuzione (incluso il file di paging) con tutti i programmi aperti. Ora puoi persino uccidere processi non validi (se MalwareBytes non lo ha già fatto). Fai riferimento al tuo MMF per determinare i processi noti e praticamente uccidere tutto tranne quelli necessari per mantenere il sistema operativo in esecuzione, a meno che non abbia a che fare con ciò che stiamo per fare: controllare i backup locali o remoti e Volume Shadow Copy Servizio (VSS).
  • Scopri cosa può essere ripristinato e cosa non può essere. Windows XP crea un punto di ripristino del sistema ogni 24 ore. In Windows 7, tuttavia, esiste un meccanismo di copia shadow del volume, che crea anche file di backup e così via. Tutte queste azioni si verificano automaticamente senza alcuna attività dell'utente. Se possibile, clonare l'intera unità. Se non è possibile a causa di un tempo limitato , spazio su disco o altro triaging, quindi accedi alle funzionalità di backup del sistema operativo integrato. Supponiamo Win7 o versione successiva per un secondo, e puoi seguire qui, ma originariamente ho avuto le idee dal libro Sistema operativo forense (ed è anche coperto in Incident Response & Computer Forensics, terza edizione):
C:\Windows\system32> vssadmin list shadows
[...]
  Contents of shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88}
    Contained 1 shadow copies at creation time: 3/4/2012 5:06:01 PM
     Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00}
      Original Volume: (C:)\\?\Volume{33faab95-9bc6-11df-9987-806e6f6e6963}\
      Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27
      Originating Machine: funhouse
      Service Machine: funhouse
      Provider: ‘Microsoft Software Shadow Copy provider 1.0’
      Type: ClientAccessibleWriters
      Attributes: Persistent, Client-accessible, No auto release,
Differential, Auto recovered

mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 e tu puoi cd \vss e dir per verificare se i file con estensione ransomware (ovvero i file o le directory crittografati) sono disponibili in uno stato non crittografato attraversandolo come percorso root. Puoi quindi rmdir \vss al termine, prova un'altra iterazione di HarddiskVolumeShadowCopy come preferisci. Harlan Carvey e Forensics Wiki hanno anche dettagliato questi metodi.

  • Assicurati di aver raccolto tutte le informazioni necessarie prima di riavviare. Con MalwareBytes installato, vorrà riavviare. Tuttavia, potresti voler installare alcuni altri pacchetti prima di riavviare. Se hai avuto un problema con Ripristino configurazione di sistema o ripristino VSS dei file, dai un'occhiata a Arsenal Recon Image Mounter (è particolarmente importante provare questo perché il ransomware può effettivamente andare dopo i punti di ripristino e VSS stesso, disabilitandoli). Un'altra cosa importante da fare prima di riavviare è eseguire un'operazione P2V di clonazione guest della macchina virtuale, generalmente con VMware vCenter Converter . Dato che probabilmente ti riconnetterai a Internet globale dopo il riavvio, assicurati anche di essere in grado di aggiornare le patch a livello di sistema operativo e app. Puoi provare la prova gratuita di Corporate Software Inspector da Flexera (precedentemente Secunia) se non hai nient'altro. Un altro preferito è il programma Microsoft Baseline Security Analyzer (MBSA). Controlla alcune impostazioni come Windows Firewall o la sezione Sicurezza e privacy di macOS in Preferenze di Sistema. Se vuoi vedere un ampio elenco di impostazioni di sicurezza, assicurati di controllare lo strumento gratuito, Airlock , da Lunarline (NB, funziona solo con le versioni 7, 8 e 8.1 del sistema operativo Windows e lo farà applica le impostazioni di sicurezza solo alle versioni 8, 9 e 10 di Internet Explorer, ma questo strumento è fantastico in termini di configurazione sicura). Assicurarsi che le condivisioni di rete non si colleghino/rimappino al riavvio del computer. Puoi verificarli in Windows e in macOS .
  • ripristino; Ristabilire; Ripristina. L'ultima cosa da fare prima di riavviare è controllare gli AutoRun. Per Windows, ciò significa eseguire Autoruns (di nuovo, provare a ottenerlo tramite USB o rete lab/recovery anziché Internet globale). Prova a rivedere ogni articolo con un esperto. In macOS, per rivedere gli elementi che verranno eseguiti all'avvio, vai in Preferenze di Sistema, Utenti e gruppi e Elementi di accesso. Ripristina riavviando e prestando attenzione a MalwareBytes se richiesto. Ripristina eseguendo nuovamente MalwareBytes. Ripristinare ottenendo l'approvazione per riconnettersi a Internet globale. Aggiorna MalwareBytes. Esegui nuovamente MalwareBytes. Aggiorna il tuo sistema operativo ed esegui qualsiasi programma di aggiornamento integrato o di terze parti a livello di sistema operativo e app. Ripristina lasciando che gli aggiornamenti vengano completati e riavviati se richiesto. Ora è sicuro copiare i file ripristinati dal backup e sovrascrivere i file crittografati. Assicurarsi di aver ripristinato tutti i servizi/dati nello stato in cui si trovava prima dell'incidente.
  • Usa il computer. Va bene? Tutto è tornato alla normalità? Va bene interrompere i processi o interrompere i servizi che ritieni ancora spaventosi. Se i file mancavano o non potevano essere individuati dai backup, qual è il ricorso successivo? Il mio suggerimento è di copiare tutti i file ancora crittografati nell'archivio offline, ad esempio un'unità USB. Forse in un secondo momento verrà creata un'utilità di ripristino per i file ransomware. Il computer si comporta come se avesse ancora malware (non solo ransomware)? In tal caso, metterlo in quarantena e intensificare le capacità di ricerca, competenza e DFIR.
  • Sii disposto a usare un computer diverso anche se sembra ok. Sii disposto a consegnare il tuo computer a un esperto. Sii disposto a permettergli di rimanere in quarantena più a lungo. Sii consapevole e preparato che durante la fase successiva e ultima, non potresti mai più vedere questo particolare computer.

Ciclo di eradicazione (acquisire comprensione situazionale, una revisione post-azione)

  • Scopri come è stato eseguito o installato il ransomware. Rivedi e registra cosa è successo, cosa hai documentato, ecc. Conserva le informazioni e lavorale con un sistema più formale, come Raquet , nightHawkResponse , SOF-ELK , malcom , malcontrollo oppure MISP . Utilizzare qualsiasi sistema SIEM o di ticketing formale per tenere traccia di questo problema o cercare problemi passati correlati, come MozDef . Arriva davvero in fondo al modo in cui è stato installato o eseguito, tuttavia, devi capire come funziona. Se non riesci a farlo manualmente, utilizza almeno l'analisi dei malware automatizzata (AMA) di qualche tipo. Se il tuo UTM in ufficio è Palo Alto Networks e la tua azienda ha una licenza per WildFire, allora hai già AMA. Altre piattaforme commerciali AMA includono: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense o ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID e Fortinet. Li ho identificati qui in modo che tu possa chiedere ai tuoi team di responsabili della tecnologia IT o InfoSec se ne esiste uno in modo che possano andare a vedere cosa hanno trovato. In caso contrario, forse chiamare il fornitore e chiedere perché no?
  • Estrai le caratteristiche e il comportamento del ransomware per la correlazione. Confronta hash e altri Indicatori di compromesso (IoC) con valori noti-cattivi altro in profondità ciò che è accaduto finora. Se l'infezione da ransomware proviene da una macro dannosa in un documento di Office (o anche direttamente dall'e-mail), quindi estrarre le macro VBA utilizzando strumenti Didier Stevens : emldump e - oledump . Per il comportamento completo di un eseguibile che hai trovato nella tua analisi forense della memoria, Cuckoo Sandbox nelle sue molte , molte iterazioni (incluso l'invio online servizio, Malwr , su cui si basa) è lo strumento di riferimento (anche per macOS binari!). Simile a Malwr sono Payload Security , Comodo Camas , Comodo Valkyrie , MalwareViz , ThreatExpert =, ThreatTrack e Vicheck , tutti estratti da libri che coprono schermate e tecniche di analisi approfondita con titoli come: Advanced Malware Analysis e Windows Malware Analysis Essentials. Per uno strumento commerciale economico, controlla JoeSecurity , un sito che ha molti riferimenti utili su AMA sul loro blog . Se il ransomware ha effettuato connessioni di rete (o altre comunicazioni dannose sono state trovate sul computer), scopri dove stavano andando e perché.
  • Conosci il tuo nemico e rispondi di conseguenza. Non devi essere (o assegnare o assumere) un esperto di DFIR o Threat Intelligence per raschiare la superficie del tuo attacco ransomware (anche se aiuta). Tuttavia, se sai di avere APT Ransomware invece di ransomware criminalmente motivato, allora hai un tipo speciale di problema. Forse il ransomware è stato consegnato sulla rete locale, ad esempio tramite un oggetto Criteri di gruppo di Microsoft Active Directory (AD GPO). Se hai il sospetto che gli attacchi siano mirati (ad esempio, solo i computer del tuo dirigente hanno avuto ransomware o solo individui di alto profilo), allora hai davvero bisogno che qualcun altro valuti i tuoi compiti per te. Se pensi di poterlo fare da solo, vai avanti - questo sito ti aiuterà nella tua ricerca - http://www.threathunting.net
  • Blocca in modo proattivo il danno prima del prossimo evento. Se fosse solo il tuo computer, considera di aggiornare il tuo sistema operativo o di abilitare il più alto livello di UAC possibile (o tutti e due). Controlla le impostazioni del pannello di controllo di Windows Update. Se sei un professionista IT o InfoSec che aiuta gli altri con il ransomware, è tempo di rivisitare due criteri: 1) La tua politica senza amministratore, cioè gli utenti finali regolari non devono avere accesso come amministratore, e 2) La tua politica di whitelisting delle app. Ci sono alcuni trucchi per la whitelisting delle app che devi conoscere, specialmente per Windows. Leggi questo mazzo di diapositive, soprattutto a partire dalla diapositiva 15 - http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - e nota che le prossime dieci diapositive (15-25) ti eviteranno di ottenere ransomware gratuitamente, praticamente permanentemente. Tuttavia, consiglio vivamente di leggere le diapositive 29-37 per capire che è necessario installare PowerShell v5 su tutti i computer degli utenti finali con la politica di whitelisting delle app di AppLocker. Non è un compito facile, ma se sei interessato, chiedi nei commenti e risponderò lì o aggiornerò la mia risposta qui.
  • Aggiornamento; Aggiornare; Aggiorna. Aggiorna tutti i sistemi operativi non supportati sulla tua rete (riducono le opzioni a medio termine e le capacità difensive, inclusa la postura). Aggiornamento a un nuovo sistema operativo. Esegui gli aggiornamenti del sistema operativo. Aggiorna le tue app. Aggiorna i tuoi plugin. Aggiorna la tua suite Office. Se è possibile eseguire l'aggiornamento a Office 2016, è possibile utilizzare un semplice AD ​​GPO (simile a quello di AppLocker descritto direttamente sopra) per Impedire l'esecuzione di macro in file di Office da Internet .
  • Assicurati di rimanere aggiornato. Non rendere facile dire di no all'aggiornamento (quindi perché la politica di non amministrazione). Push a GPO per modificare i criteri del computer locale - Configurazione computer - Modelli amministrativi - Componenti di Windows - Elementi di Windows Update. Ad esempio, modificare Re-Prompt for restart with scheduled installations per abilitare con 1440 (24 ore) dopo aver impostato No auto-restart with logged on users for scheduled automatic updates installations su Abilitato. Finito con Allow automatic updates immediate installation anche su Abilitato. Informare tutti gli utenti finali attraverso la politica scritta e attraverso l'orientamento dei dipendenti o degli appaltatori che la società presumerà che se il computer è acceso, la società potrebbe richiedere loro di riavviare almeno ogni due giorni. Questa è una politica giusta. Alcuni utenti, in particolare CAD, preferiscono lasciare i loro computer accesi per diversi giorni o settimane alla volta (alcuni mesi pari!). Assicurati di disporre di un processo di eccezione adeguato per questi utenti finali, ma assicurati anche che vengano applicati alcuni criteri di eccezione concordati con ulteriori controlli alternativi o di compensazione concordati. La maggior parte non lo farà, quindi non lasciarli! Apple possono avere un cronjob a livello di root che esegue softwareupdate -i -a quotidiano. Ricordi quella rete di avvio PXE utilizzata nel ciclo di contenimento? Assicurarsi che le immagini di installazione di base siano aggiornate in base alle stesse politiche (ad es. A giorni alterni), preferibilmente tramite l'automazione. Mentre sei lì, assicurati di aggiornare qualsiasi altro software locale (tramite Corporate Software Inspector o simili), e in particolare: aggiornamenti di software antivirus o agenti. Potresti aver (certamente) sentito parlare delle storie secondo cui un nuovo dipendente o appaltatore riceve un laptop appena ripreso e riceve malware o ransomware il primo giorno di lavoro! Impedisci che questi scenari si verifichino mantenendo aggiornate anche le tue immagini di base - e questo funziona benissimo insieme al sistema MMF che hai costruito su quella stessa rete isolata! Mantieni aggiornati questi hash noti! È anche un buon punto di partenza per tenere traccia dell'inventario delle risorse per tutti gli utenti e gli elementi che compongono la tua azienda.
  • Affila la sega. Il tuo team di InfoSec e/o la tua gestione IT devono sapere cosa stanno realmente facendo di sbagliato qui che il ransomware è attivamente nel loro ambiente. Ci sono così tante opzioni gratuite (o già pagate) che potrebbero avere. Uno che ho appena attraversato si chiama Microsoft RAP dai loro Proactive Premier Services. Se i vettori provengono da macro, risolvi quel problema; USB, quello; APT, beh, fai solo del tuo meglio per ogni problema (non il sintomo) che puoi. Il deck di diapositive che ho citato nella sezione Proactive Stem ha molte idee immediate e facili per le cose che puoi implementare a livello di rete, per lo streaming dei log, per il sistema a livello organizzativo o organizzativo. Vedi anche questo documento - https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download .pdf/Report_Ruag-Espionage-Case.pdf - che è dove ho avuto molte di queste idee.
2
atdre

NOTA: Poiché la "migliore risposta" sembra essere più orientata agli utenti avanzati (anche al livello dei team di risposta agli incidenti), questo sarà facilmente realizzabile per qualsiasi utente con conoscenza di Linux e CD live.

.

.

A rischio di sembrare ignorante, risponderò a una sola riga:

Spegni il PC e avvia il Live Linux CD.


DETTAGLIO:

Se si tratta di un sistema operativo Windows, spegnere il sistema e avviare un Live CD di Linux. Eseguire il backup dei dati e quindi clonare il backup. Mantieni uno sicuro e prova a eseguire l'altro sotto un sistema operativo pulito.

Se è Linux, il ransomeware è progettato per funzionare su Linux, quindi lo stesso processo di backup, ma è sufficiente eseguirlo su un sistema operativo diverso (ad es. * BSD, Windows, Android -completo su Linux ma enormemente diverso nella mia esperienza-).

Naturalmente, come ha detto lo sviluppatore di ransomeware, potresti anche lasciarlo finire. Se interrompi il processo intermedio, molto probabilmente non recupererai mai ciò che è già stato crittografato. Non avrai un ID con cui contattare gli sviluppatori e probabilmente potrebbero non aver ancora ricevuto la tua chiave di crittografia. Opzionalmente, puoi combinare entrambi. Usa quello che ho detto prima, quindi riavvia semplicemente il sistema infetto e lascialo finire.

Declaimer: sono una patata umana; cioè [~ # ~] non [~ # ~] uno sviluppatore di qualsiasi cosa

1
Mars

Il ransomware si sta diffondendo solo perché le persone lo pagano, domande e risposte aiutano a far diventare Ransomware una reputazione che probabilmente farà pagare le persone. È molto meglio investire del denaro in un buon antivirus piuttosto che dover pagare in seguito per recuperare i dati.

Se l'interruzione del processo nel mezzo può essere dannosa (perché gli sviluppatori volevano che tu non tentasse di interrompere la crittografia), non c'è nulla che impedisca un'interruzione anomala con relativa perdita di dati (tenendo premuto il pulsante RESET per alcuni secondi, un schermata blu causata da un autista difettoso ...). In generale i dati crittografati non tollerano più il piccolo errore di singoli bit (un bit errato non fa differenza in un file di testo, ma un bit errato nei dati crittografati causa la perdita di tutti i dati)

Inoltre, gli sviluppatori di Ransomware dovrebbero effettivamente pagare una piccola parte del prezzo del disco rigido, poiché molte operazioni di I/O riducono effettivamente la durata del disco rigido.

Un altro punto importante, basta reimpostare la password dei tuoi account, ma non inserire ancora il codice di riattivazione. Il danno di Ransomware può essere limitato se alcuni dati sono ospitati su servizi cloud o un qualche tipo di server, ciò significa che se il malware accede alle tue credenziali/sessioni può accedere ai dati archiviati in sicurezza aumentando il danno. Il ripristino delle password bloccherà ulteriormente l'accesso ai tuoi account (a condizione che lo smartphone non sia infetto e il codice di riattivazione non venga intercettato).

Molti servizi Web che forniscono un accesso univoco consentono anche di gestire l'accesso ai dispositivi e di eseguire alcune azioni in caso di credenziali rubate (o presunte credenziali rubate).

È come uno dei problemi matematici nella teoria dei giochi, pagherai per ottenere immediatamente un piccolo vantaggio (recupero dei tuoi dati) o semplicemente ignorerai il Ransomware lasciandolo andare fuori mercato facendo il "bene" a lungo termine per tutti?

0
CoffeDeveloper