Iberna il computer

Se il ransomware sta crittografando i file, la chiave che sta utilizzando per la crittografia si trova da qualche parte nella memoria. Sarebbe preferibile ottenere un dump della memoria, ma è improbabile che l'hardware appropriato sia immediatamente disponibile. Anche il dumping del processo giusto dovrebbe funzionare, ma scoprire quale potrebbe non essere banale (ad es. Il codice dannoso potrebbe essere in esecuzione all'interno di explorer.exe ) e dobbiamo scaricarlo ora .

L'ibernazione del computer è un modo economico per ottenere un'immagine di memoria¹ Quindi potrebbe essere montato in sola lettura su un computer pulito per

a) Valutazione del danno inflitto dal ransomware

b) Ripristino di file non crittografati²

c) Estrazione forense della chiave in memoria dal processo dannoso, altro ripristino avanzato di i file, ecc.

Si noti che per sola lettura intendo che non viene eseguita alcuna scrittura, per le massime possibilità di recupero. Il collegamento normale a un altro sistema Windows non lo fornirà.

Per (c) probabilmente avrai bisogno di supporto professionale. Può essere fornito gratuitamente dal tuo fornitore di antivirus.

Anche se non riesci a recuperare tutti i tuoi file o ti viene detto che è impossibile o troppo costoso, mantieni il disco con i file crittografati. Quello che è impossibile oggi potrebbe essere più economico o addirittura banale in pochi mesi.

Ti consiglio di eseguire semplicemente la nuova installazione su un disco diverso (stavi per reinstallare comunque, il computer è stato infettato, ricordi? ) e tieni quello infetto, etichettato in modo appropriato, in un cassetto.

-

Quanto alla seconda domanda, dove vuoi veramente pagare il riscatto Sono abbastanza sicuro che l'autore del ransomware potrebbe restituirti i tuoi file anche se non tutti sono stati crittografati. Ma se davvero necessario, puoi eseguire l'avvio dal disco ibernato dopo averlo clonato e lasciare che finisca di crittografare i tuoi file (ora sottoposti a backup) ...

¹ NB: se non si dispone di un file di ibernazione, questo potrebbe sovrascrivere le versioni in chiaro dei file ora crittografati che avrebbero potuto essere recuperati (non rilevante per il ransomware più recente, però).

² Supponendo che non siano infetti ...

Cosa farei:

1. Sospendi il processo. Non ucciderlo, mettilo in pausa.
2. Cerca nell'albero dei processi se ci sono dei genitori che potrebbero dover essere sospesi.
3. Tira il cavo di rete e / o spegni WiFi (e se sei paranoico, anche Bluetooth).
4. Controlla i file aperti da questi processi per vedere quale sta crittografando al momento. Se è particolarmente importante, potresti voler copiare il file nel suo stato corrente (mentre il processo è sospeso) e poi lasciarlo passare al file successivo, in modo che non venga danneggiato. Se anche il file successivo risulta essere importante, beh, o individua lo schema e copia un file un passo avanti oppure inizia a copiare già tutti i tuoi file.
5. Google come creare un dump della memoria di un processo su quel particolare sistema operativo, quindi eseguire il dump della memoria dei processi pertinenti. Diamine, potrei scaricare tutta la memoria virtuale dalla macchina.
6. Chiudi altri programmi.
7. Sincronizza i dischi in modo che non ci sia più cache di scrittura.
8. Tira il potere. Se un laptop: rimuovi la batteria, quindi scollega l'alimentazione (se collegata).

Ora sei in una posizione abbastanza buona: l'alimentazione è spenta, quindi possono succedere altre cose e hai qualsiasi crittografia chiave che stava usando più il programma originale. Il problema è trovare quella chiave di crittografia e il metodo di crittografia, ma deve essere da qualche parte nella sua memoria di processo: è solo questione di tempo. Chiama i tuoi amici hacker per decodificare il programma, o forse anche una società di antivirus: probabilmente hanno molti clienti con lo stesso ransomware e sarebbero molto curiosi di ottenere un dump della memoria per estrarre la chiave.

Hooking il disco rigido su un altro computer ripristinerà tutti i file che non sono stati ancora crittografati, senza troppi rischi. Basta non eseguire macro di Word o aprire file .exe dall'unità o qualcosa del genere.

Riepilogo

Metti in pausa il processo ransomware in modo da poterne fare una copia e la sua memoria per trovare la chiave di crittografia in un secondo momento. Quindi spegnere il sistema e seguire il buon senso da lì. Fai attenzione ai file danneggiati importanti (file crittografati a metà), quindi controlla quello su cui stava lavorando al momento dopo averlo messo in pausa.

In risposta ai commenti

Questo commento ha alcuni upvotes now:

La "chiave di crittografia" non aiuterebbe in molti casi, all'avvio il ransomware si connette al server di comando e controllo e richiede la creazione di una nuova coppia di crittografia (pubblica e privata) . Il server crea la coppia, memorizza il privato e invia il pubblico alla macchina infetta. Quindi la macchina infetta utilizza la chiave pubblica per crittografare i file e l'unico modo per invertirla è utilizzare la chiave privata, che non viene mai trasferita alla macchina della vittima fino al completamento del pagamento. - Anton Banchev

Questa è una preoccupazione a cui pensavo mentre scrivevo il post, ma non ho ancora affrontato.

Nessuno crittografa mai dati con crittografia asimmetrica (nota anche come crittografia a chiave pubblica). È semplicemente troppo lento, quindi la crittografia asimmetrica viene utilizzata solo negli schemi di crittografia ibrida. Anche benchmark come quello integrato in openssl riportano megabyte al secondo per AES e operazioni al secondo per RSA. Per niente paragonabile. L'unico successo che sono riuscito a trovare è questa risposta di Stack Overflow con una fonte che non ha nemmeno rivelato i loro metodi: la crittografia asimmetrica è 1000 volte più lenta della crittografia simmetrica.

Pertanto, la crittografia utilizzata per ogni file è quasi certamente una crittografia simmetrica (come AES), il che significa che possiamo anche decrittografarla con la stessa chiave con cui viene crittografata.

Aggiornamento: sembra che almeno una delle tante varianti di ransomware utilizzi solo la crittografia a chiave pubblica. Apparentemente è abbastanza veloce da essere utilizzabile, o ovviamente non lo userebbero. Immagino che faresti meglio a sperare di non avere questa variante? Fine aggiornamento.

Non conosco nessun ransomware che lo faccia, ma l'unico modo in cui questo potrebbe ancora essere un problema è quando ogni file ha una chiave di crittografia univoca. In tal caso, è possibile recuperare dalla memoria solo il file corrente. Ciò causerebbe loro un problema di gestione delle chiavi: ciascuna di queste chiavi dovrebbe essere trasmessa o archiviata in un database crittografato con una chiave master (simmetrica). In quest'ultimo caso potresti probabilmente recuperare anche la chiave master dalla memoria, nel primo caso hai un problema. Ma comunque sono solo speculazioni, non conosco nessun ransomware che lo faccia.

Ransom-ware (o qualsiasi software di crittografia per quella materia) non crittograferà il file sul posto, perché la dimensione del file crittografato non corrisponderà alla dimensione del file non crittografata bit per bit (a meno che non sia solo un xor shuffle, nel qual caso non è realmente crittografia). Ancora più importante, un aborto spontaneo del processo di crittografia (a causa di un arresto, esaurimento della batteria, ecc.) Creerebbe un file corrotto che non può essere riscattato. Invece, questi programmi creano sempre un nuovo file crittografato dal vecchio, quindi eliminano il vecchio. In effetti, la maggior parte dei programmi di ransomware dispone di controlli per riavviare file di grandi dimensioni parzialmente crittografati a causa di un arresto / riavvio.

Quindi, se scopri la tua crittografia intermedia, spegni il computer non appena possibile - e monta il disco rigido su una macchina non interessata per il backup.

Per quanto riguarda se pago o meno il riscatto - non ne ho idea. Dipende dalle dimensioni del riscatto e dalla natura del contenuto del mio disco rigido in quel momento. Dato che guadagno circa $ 2,50 l'ora e il mio disco rigido contiene principalmente dati scientifici disponibili pubblicamente, la risposta è molto probabilmente no.

MODIFICA:

Ibernazione , come consigliato dall'altro poster, è ipoteticamente superiore allo spegnimento del computer in molti modi. Tuttavia, praticamente, l'ibernazione potrebbe non funzionare. Qualsiasi processo può dire al sistema che è occupato e non può essere fermato in questo momento - anche un video di YouTube di un gatto che suona un pianoforte può farlo. Questo è vero per OSX, Windows e Linux (a seconda di come si ibernano per Linux). L'unica soluzione in questi casi in cui il processo si rifiuta di sospendere è terminare il processo, il che significa nessun dump della memoria. Quindi, personalmente, preferirei interrompere quella crittografia il prima possibile strappando il cavo di alimentazione, perché se c'è una cosa che posso garantire, è che il ransomware rimetterà la sua chiave in memoria al prossimo avvio del sistema, perché non ho lasciato che finisse il lavoro.

[ Nota mod: questa risposta sta ricevendo molte segnalazioni, ma non è degna di essere eliminata. Questa è una linea di condotta potenzialmente valida, sebbene rischiosa e potenzialmente illegale in alcune giurisdizioni. Da un punto di vista tecnico , questo ha la possibilità di essere un modo per preservare i dati. Vedere Meta per ulteriori discussioni.]

La cosa migliore da fare è niente. Fare qualcosa di stupido potrebbe portare alla perdita o al danneggiamento dei dati. Lascia che finisca e poi contatta le persone elencate lì, paga il riscatto e sei a posto. Siamo professionisti e ti aiuteremo a recuperare i tuoi file.

_{Dichiarazione di non responsabilità: sono uno sviluppatore di ransomware.}

La seconda domanda può generare molte opinioni come risposte. Mi concentrerò sulla prima domanda. Che cosa fai per interrompere una potenziale crittografia in corso di riscatto?

Passaggi:

1. Scollega immediatamente la tua macchina da Internet. Utilizza un altro computer per la ricerca di soluzioni su Internet.

2. Arresta il computer interessato con uno spegnimento a freddo. Non attendere che la macchina completi le normali ispezioni del software di spegnimento.

3. Scollegare il disco rigido dalla macchina.

4. Installa un nuovo disco rigido nella macchina e installa un nuovo sistema operativo pulito.

5. Collega l'unità originale alla scheda madre in modo che il nuovo sistema operativo possa accedere all'unità .

6. Accendi il nuovo sistema operativo, accedi alla vecchia unità ed esegui un backup.

7. Archivia il backup in un posizione fisicamente sicura separata dall'originale (in caso di incendio, inondazione, tornado, ecc.).

8. Migliora la sicurezza del tuo browser web. Gran parte del ransomeware viene installato tramite malware JavaScript.

Per quanto riguarda la seconda domanda: forse puoi ricostruire alcuni dei dati che sono stati crittografati. I seguenti passaggi possono essere utili, una volta completati i passaggi precedenti.

1. Controlla i dati sull'unità originale per determinare se i file sono stati crittografati correttamente. Nota quali file sono stati crittografati. (Questo controllo dovrebbe essere completato solo da un sistema operativo pulito.)

2. Dalla memoria (poiché non esiste un backup), prova a ricordare quali sono i contenuti dei file e quanto sono importanti lo sono.

3. Ora, concentrandoci sui file più importanti che sono stati crittografati, verifica se le tecniche di recupero dei file possono recuperare il file originale. Poiché la crittografia non può sovrascrivere sul posto (per molti motivi), il ransomware avrebbe avuto accesso al file originale durante la creazione della versione crittografata. Quindi potrebbe aver cancellato il file originale con vari gradi di successo. Contatta un esperto di recupero file per scoprire se i tuoi file originali scollegati esistono ancora sul tuo disco.

Ricordati di proteggerti in futuro. Esegui backup, mantienili offline e impedisce l'installazione di ransomware. Vedi In che modo il ransomware arriva sui computer delle persone?

Spegni immediatamente il computer. Se non stai per pagare il riscatto, tutti i dati elaborati dal virus andranno comunque persi. Quindi basta premere il pulsante di accensione e tenerlo premuto o scollegare il cavo.

Installa Ubuntu o un'altra distribuzione Linux portatile sulla tua chiavetta USB. L'ultima volta che l'ho fatto si adattava su chiavetta da 2 GB. Stavo clonando il mio HDD su SSD con il filesystem di Windows. Monta il tuo filesystem in sola lettura.

Esegui il backup solo dei dati non eseguibili. Non sono sicuro di quanti virus infettano altri eseguibili, ma se stessi creando un virus, lo farebbe infetta anche gli archivi Java JAR, gli script del server PHP, gli script batch e hash e qualsiasi altra cosa a cui potessi pensare. Qualsiasi programma in grado di eseguire comandi di sistema può potenzialmente contenere il virus ed eseguirlo. Non è probabile, ma è possibile. Puoi ad esempio codificare in base64 il binario in un file bash ...

Ti servirà un altro disco rigido. Riempilo con i tuoi documenti, foto o codice sorgente. Per quanto riguarda il punto precedente che ho fatto, controlla lo stato del codice sorgente. Se usi il controllo del codice sorgente, scarica il codice sorgente. Il processo richiederà molto tempo. Scegli con cura solo ciò di cui hai bisogno. Forse scoprirai quanto spazio sul tuo disco rigido è stato occupato da cose che non ricordi nemmeno o di cui hai bisogno.

Formatta il disco rigido infetto. Puoi anche farlo dal Sistema di ripristino di Linux o inserisci il disco di installazione del tuo sistema operativo preferito e lascia che il programma di installazione formatta il disco rigido.

Non consiglio di eseguire il backup del disco rigido infetto. Potresti essere incline a mantenere una copia del disco rigido infetto per il bene dei documenti che potresti aver dimenticato. È una trappola, lasciala andare . Troverai molti documenti nella tua casella di posta o nella cartella dei messaggi inviati.

Oltre all'approccio di copia di & di arresto, altri hanno menzionato c'è un altro fattore: il ransomware vuole nascondere quello che sta succedendo finché non è finito è malvagio - quindi i file crittografati sono di solito ancora leggibili come se non fossero crittografati finché non è pronto a chiedere il suo riscatto.

Dopo aver individuato i file che contano e sono stati crittografati, rimetti insieme la macchina non su Internet e prova a copiarli. Se funziona ma non li ottiene tutti, rimetti il ​​backup sull'HD e prendine un altro.

Valutare la situazione (invocare il principio della consapevolezza della situazione)

• Dov'è il computer adesso? In ufficio? A casa? Ad un hotel? Altrimenti per strada?
• Quali protezioni sono offerte qui? Se tiri il cavo di rete o spegni il WiFi, puoi spostare il computer in un ambiente più protetto? Puoi spostarlo in ufficio? Se è così, taglia la rete ora! AL PIÙ PRESTO!! Tuttavia, non chiudere alcun programma: lasciarli tutti aperti nello stato in cui si trovavano. Non chiudere le schede del browser. Non chiudere un documento o un'e-mail sospetta.
• Se portatile, porta il computer in ufficio. Chiedi al tuo team di infosec o alla direzione IT se hanno procedure in atto per gestire il ransomware, come le funzionalità di risposta agli incidenti di Data Forensics. Scopri se hanno piattaforme di sicurezza che impediscono le comunicazioni di malware, come gateway Web sicuri o soluzioni di gestione unificata delle minacce.

Ciclo di contenimento (eseguili in ordine dall'alto in basso)

• Mantieni il computer scollegato a Internet globale. Utilizza un altro computer e unità USB, se disponibili. Se non è disponibile, scopri cosa puoi sul ransomware. Trova i nomi dei processi, le estensioni dei file (ad es. .zepto per i file che si trovano sul desktop). Usa un computer separato per cercare il ransomware. Soprattutto visita - https://www.nomoreransom.org
• Mantieni tutti i programmi aperti come erano. Non arrestare o riavviare ancora. Se riesci a ottenere il programma di installazione di MalwareBytes da un computer separato senza riattivare la rete, copia il programma di installazione sul computer, ma non eseguirlo ancora. Non lasciare che o altro riavvii il computer. MalwareBytes è per Windows o macOS e dovresti utilizzare una versione con licenza se sei un'azienda. Se si tratta di un'emergenza, potrebbe essere eticamente accettabile acquistare la licenza in un secondo momento, chiamata della tua leadership IT.
• Lavora come un incidente. Documenta ciò che hai trovato a questo punto e ciò che continui a trovare. Un programma DFIR (Data Forensics and Incident Response) più maturo avrà alcune cose di base in atto. Potresti iniziare con questi ora. Includono: 1) Una rete sinkhole (come un hub isolato con un server DHCP, ma i CSIRT avanzati ne avranno di quelli con la capacità di VPN direttamente in), con, come minimo, DNS RPZ o funzionalità di DNS Blackhole, al massimo forse una piattaforma completa o una piattaforma di sistema ingannevole. 2) Potrebbe essere che questa rete isolata sia la tua piattaforma di imaging (ad esempio, Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, ex Altiris o Ghost) con avvio PXE capacità. Ciò costituirebbe un'ottima posizione per un Malware Management Framework (MMF), una funzionalità DFIR matura che aiuta in questi scenari. Se l'MMF può identificare manualmente o automaticamente processi, file, voci di registro e / o altri artefatti sospetti di ransomware, torna alla modalità di ricerca.
• (Facoltativo) Attiva qualsiasi processo o piattaforma DFIR. Un programma DFIR molto maturo disporrà di alcuni elementi avanzati. Continuando da prima (e si spera sulla stessa rete isolata, sebbene queste capacità siano ottime da avere anche nelle reti di produzione), queste potrebbero includere: 3) Un ambiente di analisi forense, in particolare un sistema forense distribuito, come Google Rapid Response. Un altro componente trovato qui sarebbe una capacità di imaging remoto basata su client, come NBDServer. La differenza principale è che GRR è un sistema orientato alla raccolta basato su agenti con un'interfaccia web, mentre NBDServer è un modo per collegare una workstation forense Linux a un computer Windows compromesso. Potresti volere entrambi, ma GRR funzionerà anche con macOS (controlla anche osquery). 4) Strumenti forensi che acquisiscono artefatti specifici per l'elaborazione su workstation forensi. Il mio preferito, incluso in GRR, è pmem (cioè winpmem, linpmem, osxpmem). Un repository recente per scaricarli direttamente è disponibile qui e potrebbero esserci aggiornamenti successivi qui. Apri una shell cmd.exe facendo clic con il pulsante destro del mouse su Esegui come amministratore (o shell terminale macOS / Linux con diritti sudo / root), quindi esegui l'utilità pmem. Una volta raccolto l'output, copia gli artefatti sulla tua stazione di lavoro forense e analizzali con rekall e / o Volatility Framework (entrambi sono ben noti nella comunità DFIR). È bello raccogliere un secondo dump della memoria usando BelkaSoft RAM Capturer per il confronto, che installa un driver di Windows. Un altro favorito è FTKImager (la versione Lite va bene) e mi piace iniziare solo con l'estrazione del file di paging in modo da poter sfruttare lo strumento page_brute. Partecipa a qualsiasi tradecraft DFIR dell'ultimo minuto.
• Discernere ciò che è noto bene e ciò che è noto male. Affidati al tuo MMF qui. Se non ne hai uno, imposta la versione più veloce che puoi. Inoltre, MalwareBytes funziona vedendo le cose in azione. Ecco perché è importante lasciare tutto com'era prima. Installa ed esegui MalwareBytes per la prima volta ora. Non permettergli di riavviare il computer. Invece di chiudere una scheda del browser, ricaricala. Invece di scorrere fino a un'altra e-mail in Outlook, riapri lo stesso documento notoriamente danneggiato che forse era la causa del ransomware. Esegui un rapido controllo della cronologia del browser e scorri il client di posta se aperto alla ricerca di altri eventi (di solito entro 10 minuti prima che l'utente finale pensi che si sia verificata l'infezione) e azione su quelli se sembrano correlati. Ricorda, non sei su Internet completo, ma solo una rete che risponde alle query DNS e le inoltra a un servizio fittizio localmente.

Ciclo di mitigazione (rimuovi il compromesso con qualsiasi mezzo e assicurati che non si ripresenti. Ripristina la macchina a uno stato funzionante)

• Riattaccati. Non hai riavviato, chiuso alcun programma, o ancora connesso a Internet globale, giusto? Buono. Chiama il DFIR completo per ora e chiudi tutti i programmi visibili. Hai eseguito MalwareBytes su una rete fasulla. Si spera che tu abbia anche raccolto artefatti della memoria in esecuzione (incluso il file di paging) con tutti i programmi aperti. Puoi persino uccidere processi dannosi ora (se MalwareBytes non lo ha già fatto). Fai riferimento al tuo MMF per determinare i processi noti e praticamente uccidere tutto tranne quelli necessari per mantenere il sistema operativo in esecuzione, a meno che non abbia a che fare con ciò che stiamo facendo in seguito: controllare i backup locali o remoti e Volume Shadow Copy Servizio (VSS).
• Scopri cosa può essere ripristinato e cosa no. Windows XP crea un punto di ripristino del sistema ogni 24 ore. Da Windows 7, tuttavia, esiste un meccanismo di Copia Shadow del volume, che crea anche file di backup e così via. Tutte queste azioni avvengono automaticamente senza alcuna attività dell'utente. Se puoi, clona l'intero disco. Se non è possibile a causa del tempo limitato, dello spazio su disco o di altri triaging, accedere alle funzionalità di backup del sistema operativo integrate. Supponiamo Win7 o versioni successive per un secondo, e puoi seguire qui, ma originariamente ho preso le idee dal libro Operating System Forensics (ed è anche trattato in Incident Response & Computer Forensics, terza edizione):

  C: \ Windows \ system32> vssadmin list shadows [...] Contenuto dell'ID set di copie shadow: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Conteneva 1 copie shadow al momento della creazione : 3/4/2012 5:06:01 PM ID copia shadow: {670353fe-16ff-4739-ad5e-12b1c09aff00} Volume originale: (C:) \\? \ Volume {33faab95-9bc6-11df-9987-806e6f6e6963} \ Shadow Copy Volume: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy27 Macchina originaria: funhouse Macchina di servizio: funhouse Provider: "Microsoft Software Shadow Copy provider 1.0" Tipo: ClientAccessibleWriters Attributi: Persistente, Accessibile dal client, Nessun rilascio automatico, Differenziale, Auto recuperato  

mklink / D c: \ vss \\? \ GLOBALROOT \ D evice \ HarddiskVolumeShadowCopy27 e puoi cd \ vss e dir per vedere se i file che avevano l'estensione del file ransomware (cioè i file o le directory che sono stati crittografati ) sono disponibili in uno stato non crittografato attraversandolo come percorso di root. Puoi quindi rmdir \ vss al termine, provare un'altra iterazione HarddiskVolumeShadowCopy come preferisci. Anche Harlan Carvey e Forensics Wiki hanno descritto in dettaglio questi metodi.

• Assicurati di aver raccolto tutte le informazioni necessarie prima di riavviare. Con MalwareBytes installato, vorrà riavviarsi. Tuttavia, potresti voler installare alcuni altri pacchetti prima di riavviare. Se hai avuto un problema con Ripristino configurazione di sistema o ripristino VSS dei file, controlla l ' Arsenal Recon Image Mounter (è particolarmente importante provare questo perché il ransomware potrebbe effettivamente andare dopo i punti di ripristino e VSS stesso, disabilitandoli). Un'altra grande cosa da fare prima di riavviare è eseguire un'operazione di clonazione guest della macchina virtuale P2V, di solito con VMware vCenter Converter. Poiché probabilmente ti riconnetterai a Internet globale dopo il riavvio, assicurati anche di essere in grado di aggiornare le patch a livello di sistema operativo e di app. Puoi provare la versione di prova gratuita di Corporate Software Inspector di Flexera (ex Secunia) se non hai nient'altro. Un altro preferito è il programma Microsoft Baseline Security Analyzer (MBSA). Controlla alcune impostazioni come Windows Firewall o la sezione MacOS Security & Privacy delle Preferenze di Sistema. Se vuoi vedere un lungo elenco di impostazioni di sicurezza, assicurati di controllare lo strumento gratuito, Airlock, da Lunarline (NB, funziona solo con le versioni del sistema operativo Windows 7, 8 e 8.1 e lo farà applica le impostazioni di sicurezza solo alle versioni di Internet Explorer 8, 9 e 10, ma questo strumento è fantastico per quanto riguarda la configurazione sicura). Assicurati che le condivisioni di rete non si colleghino / rimappino al riavvio del computer. Puoi controllarli in Windows e in macOS.
• Ripristina; Ristabilire; Ripristina. L'ultima cosa da fare prima del riavvio è controllare gli AutoRun. Per Windows, questo significa eseguire Autoruns (di nuovo, prova a scaricarlo tramite USB o lab / rete di ripristino anziché Internet globale). Prova a rivedere ogni articolo con un esperto. In macOS, per esaminare gli elementi che verranno eseguiti all'avvio, vai in Preferenze di Sistema, Gruppi & degli utenti e Elementi di accesso. Ripristina riavviando e prestando attenzione a MalwareBytes se richiesto. Ripristina eseguendo nuovamente MalwareBytes. Ripristina ottenendo l'approvazione per riconnettersi a Internet globale. Aggiorna MalwareBytes. Esegui nuovamente MalwareBytes. Aggiorna il tuo sistema operativo ed esegui programmi di aggiornamento a livello di sistema operativo e app incorporati o di terze parti. Ripristina lasciando completare gli aggiornamenti e riavviando se richiesto. È ora possibile copiare i file ripristinati dal backup e sovrascrivere i file crittografati. Assicurati di aver ripristinato tutti i servizi / dati allo stato in cui si trovavano prima che si verificasse l'incidente.
• Usa il computer. Va bene? È tornato tutto normale? Va bene interrompere i processi o interrompere i servizi che ritieni ancora spaventosi. Se i file mancavano o non potevano essere individuati dai backup, qual è la prossima risorsa? Il mio suggerimento è di copiare tutti i file ancora crittografati nella memoria offline, come un'unità USB. Forse in un secondo momento verrà creata un'utilità di ripristino per i file ransomware. Il computer si comporta come se avesse ancora malware (non solo ransomware)? In tal caso, mettilo in quarantena e intensifica la ricerca, le competenze e le capacità DFIR.
• Sii disposto a utilizzare un computer diverso anche se sembra a posto. Sii disposto a cedere il tuo computer a un esperto. Sii disposto a lasciare che rimanga in quarantena più a lungo. Sii consapevole e preparato che durante la prossima e ultima fase, non potrai mai più vedere questo particolare computer.

Ciclo di eradicazione (acquisire una comprensione della situazione, una revisione dopo l'azione)

• Scopri come è stato eseguito o installato il ransomware. Controlla e registra cosa è successo, cosa hai documentato, ecc. Archivia le informazioni e utilizzale con un sistema più formale, come Raquet, nightHawkResponse, SOF-ELK , malcom, malcontrol o MISP. Utilizza qualsiasi SIEM formale o sistema di ticketing per tenere traccia di questo problema o cercare problemi passati correlati, come MozDef. Tuttavia, vai davvero in fondo a come è stato installato o eseguito: devi capire come funziona. Se non puoi farlo manualmente, utilizza almeno l'Automated Malware Analysis (AMA) di qualche tipo. Se il tuo UTM in ufficio è Palo Alto Networks e la tua azienda ha una licenza per WildFire, allora hai già AMA. Altre piattaforme AMA commerciali includono: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense o ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID e Fortinet. Li ho identificati qui in modo che tu possa chiedere al tuo team InfoSec o leader di tecnologia IT se ne esiste uno in modo che possano andare a vedere cosa ha trovato. Se non altro, forse chiama il venditore e chiedi perché no?
• Estrai le funzionalità e il comportamento del ransomware per la correlazione. Confronta gli hash e altri indicatori di compromesso (IoC) con valori noti e negativi più approfonditi di quanto è accaduto. lontano. Se l'infezione da ransomware proviene da una macro dannosa in un documento di Office (o anche direttamente dall'e-mail), estrai le macro VBA utilizzando gli strumenti di Didier Stevens: emldump e oledump. Per il comportamento completo di un eseguibile che hai trovato nelle analisi forensi della memoria, Cuckoo Sandbox nelle sue molte, molte iterazioni (incluso l'invio online servizio, Malwr, su cui si basa) è lo strumento di riferimento (anche per i binari di macOS!). Simili a Malwr sono Payload Security, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack e Vicheck, tutti estratti da libri che trattano screenshot e tecniche di analisi approfondita con titoli come: Advanced Malware Analysis, nonché: Windows Malware Analysis Essentials. Per uno strumento commerciale economico, dai un'occhiata a JoeSecurity, un sito che ha molti riferimenti utili su AMA nel loro blog. Se il ransomware ha effettuato connessioni di rete (o qualsiasi altra comunicazione dannosa è stata rilevata sul computer), scopri dove stavano andando e perché.
• Conosci il tuo nemico e rispondi di conseguenza. Non devi essere (o assegnare o assumere) un esperto di DFIR o Threat Intelligence per raschiare la superficie del tuo attacco ransomware (anche se aiuta). Tuttavia, se sai di avere APT Ransomware invece di un ransomware a scopo criminale, allora hai un tipo speciale di problema. Forse il ransomware è stato distribuito sulla rete locale, ad esempio tramite un oggetto Criteri di gruppo di Microsoft Active Directory (AD GPO). Se hai il sospetto che gli attacchi siano mirati (ad esempio, solo i computer del tuo dirigente hanno avuto ransomware, o solo persone di alto profilo), allora hai davvero bisogno che qualcun altro valuti i tuoi compiti per te. Se pensi di poterlo fare da solo, vai avanti: questo sito ti aiuterà nella tua ricerca: http://www.threathunting.net
• Blocca in modo proattivo il danno prima del prossimo evento. Se era solo il tuo computer, valuta la possibilità di aggiornare il tuo sistema operativo o abilitare il livello più alto possibile di UAC (o entrambi). Controlla le impostazioni del pannello di controllo di Windows Update. Se sei un professionista IT o InfoSec che aiuta gli altri con il ransomware, allora è il momento di rivedere due criteri: 1) il tuo criterio di non amministratore, ovvero gli utenti finali regolari non devono avere accesso come amministratore e 2) il tuo criterio di whitelisting dell'app. Ci sono alcuni trucchi per il whitelisting delle app che devi conoscere, specialmente per Windows. Leggi questa presentazione, soprattutto a partire dalla diapositiva 15: http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - e nota che le prossime dieci diapositive (15-25) ti eviteranno di ottenere ransomware gratuitamente, praticamente in modo permanente. Tuttavia, consiglio vivamente di leggere le diapositive 29-37 per capire che è necessario installare PowerShell v5 su ogni computer dell'utente finale con i criteri di whitelisting delle app di AppLocker. Non è un compito facile, ma se sei interessato chiedi nei commenti e ti risponderò lì o aggiornerò la mia risposta qui.
• Aggiorna; Aggiornare; Aggiorna. Aggiorna tutti i sistemi operativi non supportati sulla rete (riducono le opzioni a medio termine e le capacità difensive, inclusa la postura). Aggiorna a un sistema operativo più recente. Esegui gli aggiornamenti del sistema operativo. Aggiorna le tue app. Aggiorna i tuoi plugin. Aggiorna la tua suite Office. Se è possibile eseguire l'aggiornamento a Office 2016, è possibile utilizzare un semplice oggetto Criteri di gruppo AD (simile a quello di AppLocker descritto direttamente sopra) per bloccare l'esecuzione delle macro nei file di Office da Internet.
• Assicurati di rimanere aggiornato. Non rendere facile dire no all'aggiornamento (ecco perché la politica di no-admin). Esegui il push di un oggetto Criteri di gruppo per modificare i criteri del computer locale - Configurazione computer - Modelli amministrativi - Componenti di Windows - Elementi di Windows Update. Ad esempio, modifica Nuovo prompt per riavvio con installazioni pianificate in Abilita con 1440 (24 ore) dopo aver impostato Nessun riavvio automatico con utenti connessi per installazioni di aggiornamenti automatici pianificati su Abilitato. Termina anche con Consenti installazione immediata degli aggiornamenti automatici su Abilitato. Avvisare tutti gli utenti finali tramite politica scritta e orientamento a dipendenti o appaltatori che l'azienda presumerà che se il computer è acceso, potrebbe richiedere loro di riavviarsi almeno a giorni alterni. Questa è una politica giusta. Alcuni utenti, in particolare i lavoratori CAD, preferiscono lasciare i computer accesi per diversi giorni o settimane alla volta (alcuni addirittura mesi!). Assicurati di disporre di un processo di eccezione adeguato per questi utenti finali, ma assicurati anche che vengano applicati patch a criteri di eccezioni concordati con controlli alternativi o compensativi concordati aggiuntivi. La maggior parte non lo farà, quindi non lasciarli! I computer Apple possono avere un cronjob a livello di root che esegue softwareupdate -i -a ogni giorno. Ricordi quella rete di avvio PXE utilizzata nel ciclo di contenimento? Assicurati che le immagini di installazione di base vengano aggiornate in base a queste stesse politiche (ad esempio, a giorni alterni), preferibilmente tramite l'automazione. Mentre sei lì, assicurati di aggiornare qualsiasi altro software locale (tramite Corporate Software Inspector o simile), e in particolare: software antivirus o aggiornamenti dell'agente. Potresti aver sentito (sicuramente ho) sentito parlare di storie secondo cui un nuovo dipendente o appaltatore riceve un laptop di nuova immagine e riceve malware o ransomware il primo giorno di lavoro! Impedisci che questi scenari si verifichino mantenendo aggiornate anche le tue immagini di base - e questo funziona alla grande insieme al sistema MMF che hai costruito sulla stessa rete isolata! Mantieni aggiornati questi hash noti! È anche un buon punto di partenza per monitorare l'inventario delle risorse per tutti gli utenti e gli elementi che compongono la tua azienda.
• Affila la sega. Il tuo team InfoSec e / o la tua direzione IT devono sapere cosa stanno davvero facendo di sbagliato in questo caso il ransomware è attivo nel loro ambiente. Ci sono così tante opzioni gratuite (o già a pagamento) che potrebbero avere. Uno che ho appena esaminato si chiama Microsoft RAP dai loro servizi Proactive Premier. Se i vettori provengono da macro, risolvi il problema; USB, quello; APT, beh, fai del tuo meglio per ogni problema (non il sintomo) che puoi. Il mazzo di diapositive che ho citato nella sezione Proactive Stem contiene molte idee immediate, facili e gratuite per cose che si possono implementare a livello di rete, per lo streaming di log, per la gestione del sistema oa livello organizzativo. Vedi anche questo documento - https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf, da cui ho preso molte di queste idee.

NOTA: poiché la "risposta migliore" sembra essere più orientata agli utenti avanzati (anche al livello dei team di risposta agli incidenti), ciò sarà prontamente fattibile per qualsiasi utente con conoscenza di Linux e Live CD.

.

.

A rischio di sembrare ignorante, risponderò a una battuta:

Spegni il PC e avvia Live Linux CD.

DETTAGLI:

Se è un sistema operativo Windows, spegni il sistema e avviare un Live CD di Linux. Esegui il backup dei dati e poi clona il backup. Tienine uno al sicuro e prova a eseguire l'altro con un sistema operativo pulito.

Se è Linux, il ransomeware è progettato per funzionare sotto Linux, quindi è lo stesso processo di backup, ma eseguilo semplicemente con un sistema operativo diverso (ad es * BSD, Windows, Android -costruito su Linux ma molto diverso nella mia esperienza-).

Ovviamente, come ha detto lo sviluppatore di ransomeware, potresti anche lasciarlo finire. Se interrompi il processo a metà, molto probabilmente non recupererai mai ciò che è già stato crittografato. Non avrai un ID con cui contattare gli sviluppatori e probabilmente potrebbero non aver ancora ricevuto la tua chiave di crittografia. Facoltativamente, puoi combinare entrambi. Usa quello che ho detto prima, quindi riavvia semplicemente il sistema infetto e lascia che finisca.

Declinazione di responsabilità: sono una patata umana; cioè NON uno sviluppatore di nulla

Il ransomware si sta diffondendo solo perché le persone lo pagano, le domande e le risposte aiutano a ottenere una reputazione che è probabile che le persone paghino. È molto meglio investire un po 'di soldi in un buon antivirus che dover pagare in un secondo momento per recuperare i dati.

Se interrompere il processo nel mezzo può essere dannoso (perché gli sviluppatori volevano che tu non provassi a interrompere la crittografia ), non c'è nulla che impedisca un'interruzione anomala con relativa perdita di dati (tenendo premuto il pulsante RESET per alcuni secondi, una schermata blu causata da un guidatore difettoso ...). In generale i dati crittografati non tollerano più piccoli errori di singoli bit (un bit sbagliato non fa differenza in un file di testo, ma un bit sbagliato nei dati crittografati causa la perdita di tutti i dati)

Anche il Gli sviluppatori di ransomware dovrebbero effettivamente pagarti una piccola frazione del prezzo del tuo disco rigido, perché molte operazioni di I / O riducono effettivamente la durata del tuo disco rigido.

Un altro punto importante, basta reimpostare la password dei tuoi account , ma non inserire ancora il codice di riattivazione . Il danno di Ransomware può essere limitato se alcuni dati sono ospitati su servizi cloud o su qualche tipo di server, ciò significa che se il malware ha accesso alle tue credenziali / sessioni può accedere ai dati archiviati in modo sicuro aumentando il danno. Il ripristino delle password bloccherà ulteriori accessi ai tuoi account (a condizione che il tuo smartphone non sia infetto e il codice di riattivazione non sia intercettato).

Molti servizi web che forniscono un login univoco permettono anche di gestire l'accesso ai dispositivi e azione in caso di credenziali rubate (o presunte credenziali rubate).

È come uno dei problemi di matematica nella teoria dei giochi, pagherai per ottenere immediatamente un piccolo vantaggio (recupero dei tuoi dati), o ignorare semplicemente il ransomware lasciandolo fallire facendo il "bene" a lungo termine per tutti?