Frage:
Was sollten Sie tun, wenn Sie während des Betriebs Verschlüsselungs-Ransomware abfangen?
Revetahw says Reinstate Monica
2016-04-17 20:07:31 UTC
view on stackexchange narkive permalink

Sie starten eines Tages Ihren Computer und stellen bei der Verwendung fest, dass Ihr Laufwerk ungewöhnlich ausgelastet ist. Sie überprüfen den Systemmonitor und stellen fest, dass ein unbekannter Prozess die CPU verwendet und viel auf das Laufwerk liest und schreibt. Sie führen sofort eine Websuche nach dem Prozessnamen durch und stellen fest, dass es sich um den Namen eines Ransomware-Programms handelt. Es wird auch eine Nachricht veröffentlicht, die Ihnen erzählt, wie eine beliebte Software-Distributions-Site kürzlich kompromittiert und zur Verbreitung derselben Ransomware verwendet wurde. Sie haben kürzlich ein Programm von dieser Site installiert. Offensichtlich ist die Ransomware dabei, ihre Drecksarbeit zu erledigen.

Sie haben große Mengen wichtiger Daten auf dem internen Laufwerk und keine Sicherung. Es gibt auch eine beträchtliche Menge unwichtiger Daten auf dem Laufwerk.

Der Titel dieser Frage lautet "Mid" -Operation, aber in diesem Beispiel haben wir noch nicht untersucht, wie weit die Ransomware tatsächlich haben könnte Wir können uns zwei Situationen ansehen:

  1. Sie möchten so viele Daten wie möglich erhalten. Die Zahlung eines Lösegeldes kommt jedoch nicht in Frage.

  2. Wenn möglich, möchten Sie ohne Risiko wissen, ob die wichtigen Teile Ihrer Daten tatsächlich verschlüsselt und überschrieben sind. Sie möchten auch versuchen, so viele Daten wie möglich zu extrahieren, ohne die Situation zu verschlimmern. Sie würden es hassen, ein Lösegeld zu zahlen. Aber bestimmte Teile der Daten sind für Sie so wichtig, dass Sie letztendlich als letztes Mittel immer noch für eine Chance bezahlen möchten, sie zurückzubekommen, anstatt zu riskieren, sie zu verlieren .

  3. ol>

    Schritt für Schritt, was ist das Ideale in Situation 1 und 2? Und warum?

    Hinweis: Dies ist hypothetisch. Es ist mir eigentlich nicht passiert. Ich führe immer Offsite-Backups meiner wichtigen Daten durch und war noch nie von Ransomware betroffen.

Die zweite Option hat * potenzielle * rechtliche Auswirkungen, die ein * tangentialer Faktor * sein könnten, aber dies macht sie nicht zu einer rechtlichen Frage.Es ist eindeutig eine technische Frage.Beachten Sie: Die Zahlung von Lösegeld kann rechtliche Auswirkungen auf Ihre Gerichtsbarkeit haben.Bitte konsultieren Sie Ihre örtlichen Gesetze.
Meine erste Reaktion auf einen verdächtigen Prozess besteht darin, ihn auszusetzen.Wenn es sich tatsächlich um einen legitimen Prozess handelt, kann ich einfach fortfahren.Wenn es sich um Malware handelt, kann ich beispielsweise geöffnete Dateien, Sockets usw. überprüfen. Wenn sich das Programm automatisch neu startet, kann dieser automatische Neustart möglicherweise nicht zum Anhalten führen.
Eine andere zu berücksichtigende Sache ist die Ethik im Allgemeinen, Lösegeld zu zahlen.Ich bin der Meinung, dass Lösegeld unter keinen Umständen gezahlt werden sollte, da dies zu mehr kriminellem Verhalten führt.
Sie sollten nur eine Frage pro Frage stellen.Bitte bearbeiten Sie Ihre Frage entsprechend.Ihre erste Frage ist eine beantwortbare technische Frage.Ich schlage vor, Sie bearbeiten Ihre Frage, um nur die erste zu stellen, und entfernen die zweite - Sie können die zweite immer separat posten.
@D.W.Frage 1 und 2 sind sehr ähnlich.Der Unterschied zwischen ihnen besteht darin, dass wir in # 2 sehr vorsichtig vorgehen wollen, um unsere Chance, das Lösegeld möglicherweise als absoluten letzten Ausweg zu zahlen, nicht zu beeinträchtigen. IMO 1 und 2 sind sich so ähnlich, dass es nahe wäre, sie in getrennte Fragen zu stellenDuplikate in dem Sinne, dass dies die Diskussion fragmentieren würde. Was mehrere verwandte Fragen im selben Beitrag betrifft: Ich habe hier unzählige Fragen gesehen, die dies tun.Können Sie auf einen Meta-Beitrag oder eine FAQ verweisen, die darauf hinweist, dass dies nicht empfohlen oder erlaubt ist? Wenn mehr Personen zustimmen, werde ich meine Frage bearbeiten.
Mein Eindruck ist, dass Ransomware Daten in neue Dateien verschlüsselt und die alten Dateien erst löscht, wenn die Verschlüsselung abgeschlossen ist.Auf diese Weise können Sie das Problem nicht auf halbem Weg entdecken, indem Sie eine verschlüsselte Datei aufrufen und Ihre verbleibenden Daten retten.Wenn dies der Fall ist, können Sie die Datendateien wiederherstellen, indem Sie einfach den Computer herunterfahren und die Festplatte auf einem anderen Computer bereitstellen.
@RossMillikan Ich fand das so interessant, dass ich es als separate Frage stellte: http://security.stackexchange.com/questions/121080/does-most-ransomware-delete-the-original-files-as-it-goes-oder-in-a-big-Bulk-Dele
"Was sollten Sie tun, wenn Sie während der Operation Ransomware abfangen?"- (1) Ziehen Sie schnell am Netzkabel.(2) Stellen Sie fest, dass nichts passiert ist. Drücken Sie den Netzschalter, bis sich der Laptop ausschaltet.(3) Gehen Sie zu einem anderen Computer und verwenden Sie die bevorzugte Suchmaschine, um zu verstehen, wie Sie von dort aus vorgehen müssen.
@RossMillikan Dies wurde nun hier ausführlich besprochen: http://security.stackexchange.com/a/121711/105562
Zehn antworten:
#1
+186
Ángel
2016-04-18 04:12:08 UTC
view on stackexchange narkive permalink

Ruhezustand des Computers

Wenn die Ransomware die Dateien verschlüsselt, befindet sich der für die Verschlüsselung verwendete Schlüssel irgendwo im Speicher. Es wäre vorzuziehen, einen Speicherauszug zu erhalten, aber es ist unwahrscheinlich, dass Sie die entsprechende Hardware dafür zur Verfügung haben. Es sollte auch funktionieren, genau den richtigen Prozess zu sichern, aber herauszufinden, welcher möglicherweise nicht trivial ist (z. B. der Schadcode wird möglicherweise in explorer.exe ausgeführt), und wir müssen ihn jetzt sichern .

Der Ruhezustand des Computers ist eine kostengünstige Möglichkeit, um ein Speicherabbild zu erhalten¹. Dann kann es für

schreibgeschützt auf einem sauberen Computer bereitgestellt werden > a) Bewertung des durch die Ransomware verursachten Schadens

b) Wiederherstellung unverschlüsselter Dateien²

c) Forensische Extraktion des In-Memory-Schlüssels aus dem böswilligen Prozess, andere erweiterte Wiederherstellung von die Dateien usw.

Beachten Sie, dass schreibgeschützt bedeutet, dass überhaupt kein Schreibvorgang ausgeführt wird, um maximale Wiederherstellungschancen zu erzielen. Eine normale Verbindung zu einem anderen Windows-System bietet dies nicht.

Für (c) benötigen Sie wahrscheinlich professionellen Support. Möglicherweise wird es von Ihrem Antiviren-Anbieter kostenlos zur Verfügung gestellt.

Auch wenn Sie nicht alle Dateien wiederherstellen können oder wenn Ihnen mitgeteilt wird, dass dies unmöglich oder zu teuer ist, bewahren Sie die Festplatte mit den verschlüsselten Dateien auf. Was heute unmöglich ist, kann in ein paar Monaten billiger oder sogar trivial sein.

Ich empfehle, dass Sie die Neuinstallation einfach auf einer anderen Festplatte durchführen (Sie wollten sie trotzdem neu installieren, der Computer war infiziert, erinnern Sie sich? ) und bewahren Sie den Infizierten - ordnungsgemäß etikettiert - in einer Schublade auf.

-

Bei der zweiten Frage, bei der Sie das Lösegeld wirklich bezahlen möchten Ich bin mir ziemlich sicher, dass der Ransomware-Autor Ihnen Ihre Dateien zurückgeben könnte, selbst wenn nicht alle verschlüsselt wären. Bei Bedarf können Sie jedoch nach dem Klonen vom Ruhezustand booten und die Verschlüsselung Ihrer (jetzt gesicherten) Dateien beenden.

¹ Hinweis: Wenn Sie keine Ruhezustandsdatei hatten, werden möglicherweise Klartextversionen von jetzt verschlüsselten Dateien überschrieben, die möglicherweise wiederhergestellt wurden (für die neueste Ransomware jedoch nicht relevant).

² Vorausgesetzt, sie sind nicht infiziert…

Der Ruhezustand, um eine Kopie des Schlüssels zu erhalten, ist eine gute Idee, aber es hilft nur dann wirklich, wenn der für die Verschlüsselung verwendete Schlüssel auch für die Entschlüsselung nützlich ist.Wenn die Ransomware so geschrieben ist, dass für jede Datei ein neuer symmetrischer Schlüssel generiert und diese mit einem öffentlichen Schlüssel verschlüsselt werden (wie beispielsweise PGP / GnuPG funktioniert), befindet sich der zum Entschlüsseln der dateispezifischen Schlüssel erforderliche private Schlüssel möglicherweise nicht mehrErinnerung;Möglicherweise wurde es bereits an einen Remote-Server übergeben.Das heißt, es scheint unwahrscheinlich, dass dies weh tun könnte (nicht mehr als das, was der Benutzer bereits durchmachen würde), und es könnte einfach * helfen *.
@Fiksdal Nr.Ich empfehle nicht zu zahlen, aber selbst wenn Sie dies erwartet haben, wäre es ein kluger Schritt, den Ruhezustand und die Aufnahme eines Disk-Images (mit allen noch nicht verschlüsselten Dateien zusätzlich zu den forensischen Artefakten) zu machen, bevor Sie die zerstörerische Aktion fortsetzen.
Eine gut geschriebene Ransomware könnte für jede Datei einen neuen Schlüssel verwenden und den vorherigen Schlüssel löschen, nachdem die Verschlüsselung jeder Datei abgeschlossen ist.Aber ich glaube nicht, dass sie sich noch auf dieses Niveau entwickelt haben.
Ist c) eine reine Hypothese oder gibt es kostenpflichtige AV-Programme, die dies tatsächlich tun?Ich habe immer nur ein kostenloses AV-Tool verwendet.Diese potenzielle Notfallwiederherstellung reicht jedoch aus, um über ein kostenpflichtiges Abonnement nachzudenken.(Solange es nicht auf Enterprisy-Produkte beschränkt ist, die sowieso viel mehr kosten als ein typischer Lösegeldbetrag.)
@DanNeely Es ist echt.Einige AV-Anbieter bieten ihren Kunden einen solchen Ransomware-Entschlüsselungsdienst an.Normalerweise würden sie nach ein paar verschlüsselten Dateien mit bekanntem Klartext fragen, der Lösegeldmeldung, vielleicht sogar der Binärdatei, wenn sie die Ransomware-Variante nicht erkennen könnten.Damit erstellen sie einen Impfstoff, der Ihre Dateien entschlüsselt.Natürlich sind sie nicht immer in der Lage, den Verschlüsselungsschlüssel herauszufinden, aber sie haben bessere Chancen als eine Einzelperson (sie haben die Malware wahrscheinlich bereits analysiert und verfügen über eine große Factoring-Hardware).
@DanNeely Es ist überhaupt nicht teuer, sie bieten das sogar für Heimlizenzen an (wenn auch mit niedrigerer Priorität, denke ich).Ich denke, es ist eher eine zusätzliche als eine versteckte Funktion, die mit der ursprünglichen Lizenzgebühr in Rechnung gestellt wird.YMMV, nicht alle AV-Anbieter bieten dies an, und sie können ihre Bedingungen ändern.
@ Ángel Es gibt einen großen Unterschied zwischen dem, was Sie in Ihrer Antwort beschrieben haben (Ziehen von Schlüsseln aus einer laufenden Kopie aus einem RAM-Image) und dem, was Sie in Ihrem Kommentar angegeben haben.Das Abgleichen von Opfern mit einem der wenigen heruntergefahrenen C & C-Server ist weitaus einfacher (und etwas, das ein technisch versiertes Opfer selbst tun könnte).In dem üblichen Fall, in dem die Schlüssel nicht vom Autor wiederhergestellt wurden und die Krypto richtig ausgeführt wurde, kann selbst ein Cluster mit NSA-Größe keinen Schlüssel herausrechnen.
@MichaelKjörling: Der symmetrische Schlüssel befindet sich zu diesem Zeitpunkt wahrscheinlich noch im RAM.Die vollständige asymmetrische Verschlüsselung ist zu langsam.
@Joshua Ja, * vorausgesetzt *, dass für jede Datei derselbe Schlüssel verwendet wird.Andernfalls erhalten Sie möglicherweise einen nützlichen Schlüssel, der jedoch nur für die eine (oder eine sehr kleine Anzahl) Dateien nützlich ist, die zu diesem Zeitpunkt verschlüsselt wurden.Ich zögere es, Malware-Autoren * zu * viele Ideen zu geben, aber wenn ich mir überlegen kann, wie ich ein solches Schema umgehen kann, obwohl ich RAM auf die Festplatte kopieren kann (Ruhezustand), kann es nicht so schwer sein.(Obwohl CodesInChaos dies bereits getan hat und mein früherer Kommentar sich möglicherweise qualifiziert ...)
Als zusätzliche Vorsichtsmaßnahme kopieren Sie das Disk-Image von einem anderen Computer und bearbeiten Sie es.Dies ist hilfreich, wenn sich herausstellt, dass eine schreibgeschützte Operation nicht so schreibgeschützt ist, wie Sie es sich vorgestellt haben.
Haben Sie jemals versucht, das oben genannte zu tun?
Es sieht so aus, als hätte ich meine Stimme irgendwie in eine Abwertung geändert. Es muss ein Fehlklick auf das Telefon gewesen sein oder könnten Sie eine triviale Änderung vornehmen?
Der Ruhezustand löscht das Dateisystem.Dadurch werden alle "Sicherungen" der Dateivorverschlüsselung zerstört, da sie im Speicher gespeichert werden.Wenn Sie stattdessen die Malware aussetzen, können Sie den Dateisystem-Cache trotzdem sichern.
#2
+78
Luc
2016-04-18 05:12:23 UTC
view on stackexchange narkive permalink

Was ich tun würde:

  1. Unterbrechen Sie den Vorgang. Töte es nicht, halte es einfach an.
  2. Schau im Prozessbaum nach, ob es Eltern gibt, die möglicherweise ebenfalls angehalten werden müssen.
  3. Ziehe am Netzwerkkabel und / oder schalte es aus WiFi (und wenn Sie paranoid sind, auch Bluetooth).
  4. Überprüfen Sie geöffnete Dateien anhand dieser Prozesse, um festzustellen, welche derzeit verschlüsselt werden. Wenn es besonders wichtig ist, möchten Sie möglicherweise die Datei in ihrem aktuellen Zustand kopieren (während der Prozess angehalten ist) und sie dann zur nächsten Datei übergehen lassen, damit sie nicht beschädigt wird. Wenn sich herausstellt, dass die nächste Datei ebenfalls wichtig ist, finden Sie entweder das Muster heraus und kopieren Sie eine Datei einen Schritt voraus oder kopieren Sie einfach alle Ihre Dateien bereits.
  5. Google, wie man einen Speicherauszug von a erstellt Prozess auf diesem bestimmten Betriebssystem, dann machen Sie diesen Speicherauszug der relevanten Prozesse. Heck, ich könnte den gesamten virtuellen Speicher von der Maschine sichern.
  6. Schließen Sie andere Programme.
  7. Synchronisieren Sie die Festplatte (n), damit kein Schreibcache mehr vorhanden ist.
  8. Ziehen Sie die Stromversorgung. Wenn ein Laptop: Entfernen Sie den Akku und dann die Stromversorgung (falls angeschlossen).
  9. ol>

    Sie befinden sich jetzt in einer ziemlich guten Position: Die Stromversorgung ist ausgeschaltet, sodass nicht mehr passieren kann und Sie über eine beliebige Verschlüsselung verfügen Schlüssel, den es benutzte, plus das ursprüngliche Programm. Das Problem besteht darin, diesen Verschlüsselungsschlüssel und die Verschlüsselungsmethode zu finden, aber er muss sich irgendwo im Prozessspeicher befinden: nur eine Frage der Zeit. Rufen Sie Ihre Hacker-Freunde an, um das Programm zurückzuentwickeln, oder vielleicht sogar eine Antiviren-Firma: Sie haben wahrscheinlich viele Kunden mit derselben Ransomware und wären sehr neugierig, einen Speicherauszug zum Extrahieren des Schlüssels zu erhalten.

    Hooking Wenn Sie die Festplatte auf einen anderen Computer übertragen, werden alle noch nicht verschlüsselten Dateien ohne großes Risiko wiederhergestellt. Führen Sie einfach keine Word-Makros aus und öffnen Sie keine EXE-Dateien vom Laufwerk oder Ähnlichem.

    Zusammenfassung

    Unterbrechen Sie den Ransomware-Prozess, damit wir eine Kopie davon und seines Speichers erstellen können, um den Verschlüsselungsschlüssel später zu finden. Schalten Sie dann das System aus und folgen Sie von dort aus dem gesunden Menschenverstand. Achten Sie auf wichtige beschädigte Dateien (halb verschlüsselte Dateien). Überprüfen Sie daher die Datei, an der gerade gearbeitet wurde, nachdem Sie sie angehalten haben.


    Als Antwort auf Kommentare

    Dieser Kommentar enthält einige upvotes now:

    Der "Verschlüsselungsschlüssel" würde in vielen Fällen nicht helfen. Beim Start stellt die Ransomware eine Verbindung zum Befehls- und Steuerungsserver her und fordert die Erstellung eines neuen Verschlüsselungspaars (öffentlich und privat) an . Der Server erstellt das Paar, speichert das private und sendet das öffentliche an den infizierten Computer. Dann verwendet der infizierte Computer den öffentlichen Schlüssel, um die Dateien zu verschlüsseln. Die einzige Möglichkeit, ihn umzukehren, besteht darin, den privaten Schlüssel zu verwenden, der erst nach Abschluss einer Zahlung auf den Computer des Opfers übertragen wird. - Anton Banchev

    Dies ist ein Problem, an das ich beim Schreiben des Beitrags gedacht habe, das ich aber noch nicht angesprochen habe.

    Niemand verschlüsselt jemals data ​​em> mit asymmetrischer Verschlüsselung (auch als Public-Key-Verschlüsselung bezeichnet). Es ist einfach zu langsam, daher wird asymmetrische Krypto nur in Hybridverschlüsselungsschemata verwendet. Selbst Benchmarks wie der in openssl integrierte geben Megabyte pro Sekunde für AES und Operationen pro Sekunde für RSA an. Überhaupt nicht vergleichbar. Der einzige Treffer, den ich finden konnte, ist diese Stapelüberlauf-Antwort mit einer Quelle, die nicht einmal ihre Methoden offengelegt hat: asymmetrische Verschlüsselung ist 1000-mal langsamer als symmetrische Verschlüsselung.

    Daher ist die für jede Datei verwendete Verschlüsselung mit ziemlicher Sicherheit eine symmetrische Verschlüsselung (wie AES), was bedeutet, dass wir sie auch mit demselben Schlüssel entschlüsseln können, mit dem sie verschlüsselt wird.

    Update: Es scheint, dass mindestens eine der vielen Ransomware-Varianten nur die Verschlüsselung mit öffentlichem Schlüssel verwendet. Anscheinend ist es gerade schnell genug, um verwendet werden zu können, oder sie würden es offensichtlich nicht verwenden. Ich denke, Sie hoffen besser, dass Sie diese Variante nicht haben? Ende des Updates.

    Ich kenne keine Ransomware, die dies tut, aber der einzige Weg, wie dies immer noch ein Problem sein kann, ist, wenn jede Datei einen eindeutigen Verschlüsselungsschlüssel hat. In diesem Fall konnte nur die aktuelle Datei aus dem Speicher wiederhergestellt werden. Dies würde jedoch zu einem Problem bei der Schlüsselverwaltung führen: Jeder dieser Schlüssel müsste entweder übertragen oder in einer Datenbank gespeichert werden, die mit einem (symmetrischen) Hauptschlüssel verschlüsselt ist. Im letzteren Fall könnten Sie wahrscheinlich auch den Hauptschlüssel aus dem Speicher wiederherstellen, im ersteren Fall haben Sie ein Problem. Aber das ist sowieso alles nur Spekulation, ich kenne keine Ransomware, die dies tut.

Beeindruckend.Ich denke, diese Antwort braucht mehr Aufmerksamkeit.
Der von mir beschriebene Prozess ist auch der Grund, warum ein Entschlüsselungsschlüssel nur auf dem Computer funktioniert, für den er bestimmt war.
Ich habe nach unten gescrollt, um genau dieselbe Antwort zu schreiben.Das Anhalten eines Prozesses ist auf modernen Betriebssystemen trivial.Leider muss ich auch @AntonBanchev zustimmen.
@AntonBanchev (Zu Ihrem ersten Kommentar :) Das bezweifle ich sehr.Ich weiß, dass ein öffentlicher / privater Schlüssel sehr gut in diesem Prozess verwendet werden kann ([hybride Krypto] (https://en.wikipedia.org/wiki/Hybrid_cryptosystem)), aber das Verschlüsseln vieler Daten mit der Verschlüsselung mit öffentlichem Schlüssel ist extrem langsam.Es ist so ungewöhnlich, dass ich kaum RSA-Benchmarks finden kann, die mit AES vergleichbar sind.Von vielleicht 20 Treffern ist dies die einzige echte Antwort, und es werden keine rohen Zahlen oder Methoden veröffentlicht. Es heißt lediglich, dass es 1000-mal langsamer ist: http://stackoverflow.com/a/118488
Ich sehe keine Option, um einen Prozess in Windows 7 anzuhalten. Und unter Linux benötigt es wahrscheinlich einen verrückten Bash-Befehl - hängt natürlich von der Verteilung ab.
@Luc Es scheint, dass es davon abhängt, um welche Malware es sich handelt. Wenn Sie dieses Dokument unter https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf überprüfen, können Sie feststellen, dass verschiedene Implementierungen unterschiedliche verwendenAlgorithmen, CryptoWall scheint RSA zu verwenden, die asymmetrisch ist.Die anderen verwenden symmetrische Algorithmen (oder zumindest zum Zeitpunkt des Schreibens).
@TomášZato Schritt 1: https://duckduckgo.com/?q=suspend+process+windows+7&t=ffsb Schritt 2: http://superuser.com/q/426351/121343 - Auf den meisten Linux-Systemen ist es in der Version enthaltenSystemmonitor (auch in htop können Sie ein STOP-Signal über die "GUI" senden), und auf Servern kann Google schnell feststellen, dass es sich um "kill -STOP processid" handelt.
@Luc Ich habe nicht gesagt, dass es unmöglich ist.Aber es ist nicht schnell und hier geht es imho um Zeit.Sie töten die Macht, die Sie eine Datei verlieren.Sie spielen mit dem Prozess-Explorer oder suchen, wo Sie dieses praktische Dienstprogramm installiert haben, und verlieren 1000 Dateien.
@TomášZato Das ist eigentlich ein guter Punkt.Ich bin mir nicht sicher, wie ich das lösen soll. Wenn Sie den Strom ziehen, erhalten Sie möglicherweise keine der Dateien zurück.Wenn Sie nach einer Unterbrechung des Prozesses suchen und den Speicher sichern, können Sie wahrscheinlich alles zurückbekommen.Wenn Sie jedoch Letzteres tun und es nicht funktioniert, haben Sie tatsächlich eine Reihe von Dateien verloren.Schwer zu sagen, was besser ist.
@Luc Sie können alle Dateien nur verlieren, wenn die Ransomware sie während der Verschlüsselung im Speicher gehalten hat, was nicht wahrscheinlich ist.Oder vielleicht, wenn es ein verrücktes zufälliges Muster zum Ändern von Dateien verwendet - nicht sicher, wie genau es aussehen würde.Oder wenn Sie es zu spät bemerkt haben - aber in diesem Fall können Sie einfach erneut booten und versuchen, den Schlüssel zu bekommen oder das Lösegeld zu bezahlen.
@AntonBanchev Ich verstehe.Ich würde es fast in einer virtuellen Maschine installieren, nur um zu sehen, ob es langsam genug ist, um die Polizei anzurufen und das Forensik-Team anzuzeigen, bevor alle Dateien verschlüsselt sind!Spaß beiseite, ich bin neugierig auf seine Leistung.Ich werde auch den Beitrag aktualisieren.
"Jeder dieser Schlüssel müsste entweder übertragen oder in einer Datenbank gespeichert werden, die mit einem (symmetrischen) Hauptschlüssel verschlüsselt ist." Warum müsste der Hauptschlüssel symmetrisch sein?Genau dafür würde der öffentliche Schlüssel verwendet.
Bei dieser Antwort wird davon ausgegangen, dass Sie bereits wissen, welche Prozesse die Verschlüsselung durchführen. Dies ist nun, da ich die Frage überprüfe, eine gültige Annahme. Allerdings ist die meiste Ransomware meiner Meinung nach intelligent genug, um <10% CPU zu verwenden oder nur dann aktiv zu werden, wenn festgestellt wird, dass der Computer nicht verwendet wird.Das Finden dieser "intelligenteren" Arten von Ransomeware-Prozessen kann für einen erfahrenen Benutzer eine erhebliche Zeitspanne von 0,5 bis 3 Stunden (möglicherweise länger) in Anspruch nehmen. Dies kann es dem Prozess ermöglichen, das Lösegeld abzuschließen und gültig zu machen.
@Luc Die Verschlüsselung mit öffentlichen Schlüsseln ist langsam, aber die Daten werden nicht damit verschlüsselt. Sie werden nur zum Schutz des Sitzungsschlüssels für einen symmetrischen Algorithmus wie AES verwendet.Sobald der Sitzungsschlüssel entschlüsselt ist, erfolgt die Verschlüsselung mit hoher Geschwindigkeit.
#3
+57
J.J
2016-04-17 20:38:12 UTC
view on stackexchange narkive permalink

Ransom-ware (oder eine andere Verschlüsselungssoftware) verschlüsselt die Datei nicht direkt, da die verschlüsselte Dateigröße nicht Bit für Bit mit der unverschlüsselten Dateigröße übereinstimmt (es sei denn, es handelt sich in diesem Fall nur um eine xor-Zufallswiedergabe) es ist nicht wirklich Verschlüsselung). Noch wichtiger ist, dass ein spontaner Abbruch des Verschlüsselungsprozesses (aufgrund eines Herunterfahrens, eines leeren Akkus usw.) eine beschädigte Datei erzeugen würde, die nicht freigegeben werden kann. Stattdessen erstellen diese Programme immer eine neue verschlüsselte Datei aus der alten und löschen dann die alte. Tatsächlich haben die meisten Lösegeldprogramme Überprüfungen, um halbverschlüsselte große Dateien aufgrund eines Herunterfahrens / Neustarts neu zu starten.

Wenn Sie also Ihre mittlere Verschlüsselung herausfinden, schalten Sie Ihren Computer aus - sobald möglich - und montieren Sie die Festplatte zur Sicherung auf einem nicht betroffenen Computer.

Ob ich das Lösegeld bezahle oder nicht - ich habe keine Ahnung. Hängt von der Größe des Lösegelds und der Art der aktuellen Daten auf meiner Festplatte ab. Da ich ungefähr 2,50 USD pro Stunde verdiene und meine Festplatte hauptsächlich öffentlich verfügbare wissenschaftliche Daten enthält, lautet die Antwort höchstwahrscheinlich Nein.

BEARBEITEN:

Ruhezustand , wie vom anderen Poster empfohlen, ist dem Ausschalten des Computers in vielerlei Hinsicht hypothetisch überlegen. In der Praxis funktioniert der Ruhezustand jedoch möglicherweise nicht. Jeder Prozess kann dem System mitteilen, dass es beschäftigt ist und momentan nicht gestoppt werden kann - selbst ein YouTube-Video einer Katze, die Klavier spielt, kann dies tun. Dies gilt für OSX, Windows und Linux (je nachdem, wie Sie für Linux den Ruhezustand aktivieren). Die einzige Lösung in diesen Fällen, in denen der Prozess das Anhalten verweigert, besteht darin, den Prozess abzubrechen - was bedeutet, dass kein Speicherauszug vorhanden ist. Ich persönlich möchte diese Verschlüsselung lieber so schnell wie möglich beenden, indem ich den Power-Akkord herausziehe, denn wenn ich eines garantieren kann, ist es, dass die Ransomware ihren Schlüssel beim nächsten Systemstart wieder in den Speicher legt. weil ich nicht zugelassen habe, dass es den Job beendet.

Ich wusste definitiv * nicht * über den ersten Teil Bescheid!Das ist ziemlich interessant.Warum haben verschlüsselte Dateigrößen nicht die gleiche Anzahl von Bytes wie die Originale?Ich sehe keinen fundamentalen Grund dafür ...
"(es sei denn, es ist nur ein xor-Shuffle, in welchem Fall es nicht wirklich verschlüsselt ist)."- xor mit was?AIUI, die meisten Stream-Chiffren können als "xor shuffle" beschrieben werden, wobei der kryptografische Teil darin besteht, wie der Bitstrom, mit dem der Chiffretext xor'd ist, erzeugt wird.
@Mehrdad: Blockgrößenausrichtung, und wie ich mich erinnere, generieren die meisten dieser Programme einen eindeutigen Schlüssel für jede betroffene Datei, der den verschlüsselten Daten vorangestellt werden müsste.
Random832 - Die Analyse der frühen (2013) Ransom-Ware zeigte, dass ihre Autoren offensichtlich versuchten, so viele Daten des Benutzers wie möglich zu "verschlüsseln", indem sie keine lange, CPU-intensive Verschlüsselung durchführten, sondern nur Bits in einer Datei mischtenein bekanntes Muster - manchmal mit einem Schlüssel, manchmal nur fest codiert.Diese Skripte wurden fast sofort unbrauchbar, als Sicherheitsanalytiker sie in die Hände bekamen und Dateien mit bekannten Daten verschlüsseln ließen, da das Muster leicht zu erkennen war und daher Software entwickelt werden konnte, um es umzukehren.Jetzt führen sie alle eine "richtige" Verschlüsselung durch.
Was machst du, das 2,50 $ / Stunde zahlt?
Das Bezahlen des Lösegelds kann Sie auch einer stärkeren kriminellen Ausbeutung aussetzen.Ransom-ware verwendet keine vertrauenswürdigen Zahlungskanäle.Sie verlangen oft die Zahlung in Bitcoin, einer Währung, die die meisten gesetzestreuen Menschen wie die Pest vermeiden wollen.
@user1717828 Nach den Klängen des letzten Absatzes würde ich sagen, ein wissenschaftlicher Praktikant, vielleicht an einer Universität
@user1717828 Ich lebe in Indien, und hier wäre ein solches Gehalt für eine gebildete Person der Mittelklasse normal.J. J lebt wahrscheinlich in einem Land mit Dollar als Währung.Aber nur sagen.
@cat Ich bin Doktorandin an einem Max-Planck-Institut in Deutschland.Sie zahlen mir 1300 Dollar im Monat, und die unausgesprochene Regel lautet, dass ich im Gegenzug jede wache Stunde arbeite.Wochenenden, Feiertage usw., also durchschnittlich 2,50 US-Dollar.Es ist nicht besonders viel (und die Miete beträgt 700 Dollar pro Monat), also würde mein Lösegeld in Kaugummi, Flusen und losen Schnüren gemessen.bei Fiksdal - sie zahlen mich in Euro, ich bin einfach zu faul, um ein Euro-Symbol zu finden: P.
@J.J Keine der mir bekannten Chiffren erweitert die Datengröße.In allen von ihnen haben Eingabe und Ausgabe genau die gleiche Größe (was auch Blockgröße ist).
@ ŁukaszNiemier: Nur 7zip auf kleinen Dateien überprüfen, um zu überprüfen.whooops.Dadurch wurde meine 3-KB-Textdatei zu 50 KB als Zip-Datei.Klingt für mich nicht so gleich, wenn ich über das Erreichen nachdenke, ist das gleiche in Bezug auf Chiffren.
@Zaibis,, also haben Sie Komprimierung und dann Verschlüsselung verwendet.Überprüfen Sie den Größenunterschied zwischen unverschlüsselter und verschlüsselter Zip-Datei.Es sollte keine geben, es sei denn, es gibt einige zusätzliche Metadaten.Die reine Verschlüsselung sollte die Dateigröße nicht ändern. Sie können sie mit "gpg" überprüfen.
Wenn Sie "alte löschen" sagen, meine ich damit, dass sie die tatsächlichen Daten löschen und nicht nur die Datei löschen?Andernfalls könnte für einige Daten eine Dateiwiederherstellung möglich sein.
@ ŁukaszNiemier: Nein, aber genau das war mein Punkt.Bei solchen Prozessen ist es ziemlich fair anzunehmen, dass auch einige Metadaten gespeichert werden.
@JJ Ich denke, einiges davon könnte in der Antwort enthalten sein: 1. Was machen Sie mit dem Laufwerk, nachdem Sie es auf einem anderen Computer installiert haben?2. Erstellen Sie zuerst ein Disk-Image und arbeiten Sie dann mit diesem Image?3. Führen Sie Software wie Filerec aus, um nach Dateien zu suchen, die möglicherweise aus dem Index gelöscht, aber nicht überschrieben wurden?4. Besteht die Möglichkeit, dass die noch auf dem Laufwerk befindliche Ransomware versucht, den neuen Computer zu infizieren?5. Hat es einen Vorteil, von einem anderen Betriebssystem als dem infizierten Computer aus zu arbeiten, um das Risiko von 4 zu minimieren?Verhalten Sie sich im OP-Fall Nr. 1 gegenüber Nr. 2 anders?
Alles gute Fragen Fiksdal, aber ich denke, es geht über den Rahmen des OP hinaus und wird dann zu einer sehr allgemeinen / meinungsbasierten Frage, da es so viel gibt, was man tun könnte.Aber alles, was Sie vorgeschlagen haben, wäre gut: D.
Aber persönlich würde ich wahrscheinlich damit beginnen, eine Live-CD mit Backtrack / Kali Linux einzulegen und in den forensischen Modus zu booten.
Unter Windows können Sie den Stopp überschreiben, indem Sie den Befehl über die Remote-Shutdown-Schnittstelle ausgeben.Herunterfahren / m \\ 127.0.0.1 / h / f / t 0
Beendet das die Blockierungsprozesse oder speichert sie ihren Speicher auf der Festplatte?
@user1751825 Warum sollten gesetzestreue Menschen Bitcoin vermeiden wollen?Schlagen Sie vor, dass der Kauf von Humble Bundles mit Bitcoins mich zum Verbrecher macht?
@user31389 Ich denke, er / sie sagt, dass es für die meisten Menschen nicht viel Grund gibt, es für legitime Aktivitäten zu verwenden. Der einzige Effekt der Verwendung besteht darin, verdächtig auszusehen.
#4
+14
Dasya
2016-04-18 01:03:46 UTC
view on stackexchange narkive permalink

[ Mod Hinweis: Diese Antwort erhält viele Flags, ist jedoch nicht löschenswert. Dies ist eine potenziell gültige Vorgehensweise, obwohl sie in einigen Ländern riskant und möglicherweise illegal ist. Aus technischer Sicht besteht die Möglichkeit, dass die Daten erhalten bleiben. Weitere Informationen finden Sie unter Meta.]

Das Beste, was Sie tun können, ist nichts. Etwas Dummes zu tun kann zu Datenverlust oder Korruption führen. Lassen Sie es zu Ende gehen und kontaktieren Sie dann die dort aufgeführten Personen, zahlen Sie das Lösegeld und Sie können loslegen. Wir sind Profis und helfen Ihnen, Ihre Dateien zurückzubekommen.

Haftungsausschluss: Ich bin ein Ransomware-Entwickler. Sub>

Sie können nicht ernsthaft vorschlagen, "vertrauen Sie uns" als Risikominderungsprozess ...
Oh, und willkommen!Wir haben hier unzählige Ransomware-Fragen (wie Sie sich vorstellen können) - wir würden uns über Ihr Feedback und Ihre Perspektive freuen.
Für diejenigen, die dies nicht für eine Antwort halten, ist Folgendes zu beachten: Nichts zu tun * könnte * der beste Weg sein, um sicherzustellen, dass Daten nicht beschädigt werden (abhängig davon, wie die Malware geschrieben wurde).Dies scheint ein durchaus gültiger Vorschlag zu sein.
Dies ist sicherlich die beste Lösung für den Ransomware-Autor. Jede andere Lösung würde Ihren Interessen widersprechen.Es gibt jedoch viele schlecht codierte Ransomwares (und ihre Wiederherstellungswerkzeuge), die z.Machen Sie die Sache noch schlimmer, indem Sie Dateien zweimal verschlüsseln oder sogar [die Dateien nicht wiederherstellbar machen] (http://www.bleepingcomputer.com/news/security/shoddy-programming-causes-new-ransomware-to-destroy-your-data/).
@ Ángel Das ist sehr wichtig.Einige Ransomwares sind so schlecht geschrieben, dass sie Ihre Daten nicht wiederherstellen können, selbst wenn Sie bezahlen.
Dies setzt voraus, dass Sie es mit kompetenten Ransomware-Autoren zu tun haben.Wie können Sie professionell entwickelte Ransomware von einer Nachahmerkatze unterscheiden, die den Schlüssel nicht einmal geheim halten kann (http://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html)?Vielleicht braucht die Ransomware-Industrie ein Zertifizierungssystem ...;)
-1 für "Wir sind Profis" und "gut zu gehen", da diese Sätze die Situation nicht objektiv beschreiben.Darüber hinaus wird in dieser Antwort nicht auf den Fall eingegangen, in dem ein Opfer das Lösegeld nicht zahlen möchte. In diesem Fall wird das Stoppen der Malware so schnell wie möglich minimiert, um den Teil der verlorenen Daten zu minimieren.
Fast erstickt, als ich "Wir sind Profis" las.Sie sind bestenfalls ein Experte, niemals ein Profi.
@StephenKing Ein Experte hat mehr Autorität als ein Fachmann.Wenn Ransomware der Beruf dieser Person ist, dann ist sie ein Profi.Ein professioneller Einbrecher ist immer noch ein Profi, aber sie können ein erfahrener Einbrecher sein oder auch nicht.
#5
+12
Brent Kirkpatrick
2016-04-17 20:16:46 UTC
view on stackexchange narkive permalink

Die zweite Frage kann viele Meinungen als Antworten generieren. Ich werde mich auf die erste Frage konzentrieren. Was tun Sie, um eine potenzielle Lösegeldverschlüsselung zu stoppen?

Schritte:

  1. Trennen Sie Ihren Computer sofort vom Internet. Verwenden Sie einen anderen Computer für Ihre Internetsuche nach Lösungen.

  2. Fahren Sie den betroffenen Computer mit einem kalten Ausschalten herunter. Warten Sie nicht, bis das Gerät seine normalen Inspektionen der Software zum Herunterfahren abgeschlossen hat.

  3. Trennen Sie die Festplatte vom Gerät.

  4. Installieren Sie eine neue Festplatte im Computer und installieren Sie ein neues, sauberes Betriebssystem.

  5. Schließen Sie das ursprüngliche Laufwerk an das Motherboard an, damit das neue Betriebssystem auf das Laufwerk zugreifen kann

  6. Schalten Sie das neue Betriebssystem ein, greifen Sie auf das alte Laufwerk zu und erstellen Sie eine Sicherung.

  7. Speichern Sie die Sicherung in a physisch sicherer Ort, der vom Original getrennt ist (im Falle eines Brandes, einer Überschwemmung, eines Tornados usw.).

  8. Verbessern Sie die Sicherheit Ihres Webbrowsers. Ein Großteil der Ransomeware wird über JavaScript-Malware installiert.

  9. ol>

    Was die zweite Frage betrifft: Vielleicht können Sie einige der Daten rekonstruieren, die verschlüsselt wurden. Die folgenden Schritte können hilfreich sein, nachdem die obigen Schritte ausgeführt wurden.

    1. Überprüfen Sie die Daten auf dem ursprünglichen Laufwerk, um festzustellen, ob Dateien erfolgreich verschlüsselt wurden. Beachten Sie, welche Dateien verschlüsselt wurden. (Diese Prüfung sollte nur von einem sauberen Betriebssystem aus durchgeführt werden.)

    2. Versuchen Sie aus dem Speicher (da keine Sicherung vorhanden ist), sich daran zu erinnern, was der Inhalt der Dateien ist und wie wichtig sie sind.

    3. Konzentrieren Sie sich nun auf die wichtigsten Dateien, die verschlüsselt wurden, und prüfen Sie, ob die Dateiwiederherstellungstechniken die Originaldatei wiederherstellen können. Da die Verschlüsselung (aus vielen Gründen) nicht überschrieben werden kann, hätte die Ransomware beim Erstellen der verschlüsselten Version auf die Originaldatei zugegriffen. Dann hat es möglicherweise die Originaldatei mit unterschiedlichem Erfolg gelöscht. Wenden Sie sich an einen Experten für die Wiederherstellung von Dateien, um herauszufinden, ob Ihre nicht verknüpften Originaldateien noch auf Ihrer Festplatte vorhanden sind.

    4. ol>

      Denken Sie daran, sich in Zukunft zu schützen. Erstellen Sie Backups, halten Sie sie offline und verhindern Sie die Installation von Ransomware. Siehe Wie gelangt Ransomware auf die Computer von Personen?

"1. Trennen Sie Ihren Computer sofort vom Internet ... 2. Fahren Sie die betroffenen Computer bei kaltem Strom herunter" - das Herausziehen des Netzwerks kostet Zeit.Warum nicht zuerst den Netzstecker ziehen?
Auch wenn ich einen Virus entwerfen würde, würde es sicherlich keine permanente Internetverbindung benötigen, um zu funktionieren.
@TomášZato-ReinstateMonica, um zu verhindern, dass es sich in Ihrem LAN ausbreitet
#6
+9
Tomáš Zato - Reinstate Monica
2016-04-18 17:12:06 UTC
view on stackexchange narkive permalink

Fahren Sie den Computer sofort herunter. Vorausgesetzt, Sie zahlen das Lösegeld nicht, gehen alle Daten, die der Virus verarbeitet, trotzdem verloren. Drücken Sie einfach den Netzschalter und halten Sie ihn gedrückt oder ziehen Sie das Kabel ab.

Installieren Sie Ubuntu oder eine andere tragbare Linux-Distribution auf Ihrem USB-Stick. Das letzte Mal, als ich das getan habe, hat es gepasst auf 2GB Stick. Ich habe meine Festplatte mit dem Windows-Dateisystem auf SSD geklont. Hängen Sie Ihr Dateisystem schreibgeschützt ein.

Sichern Sie nur nicht ausführbare Daten. Ich bin nicht sicher, wie viele Viren andere ausführbare Dateien infizieren, aber wenn ich einen Virus erstellen würde, würde dies der Fall sein infizieren Sie auch Java JAR-Archive, PHP-Server-Skripte, Batch- und Hash-Skripte und alles andere, was mir einfällt. Jedes Programm, das Systembefehle ausführen kann, kann den Virus möglicherweise enthalten und ausführen. Es ist nicht wahrscheinlich, aber es ist möglich. Sie können beispielsweise base64-Binärdateien in Bash-Dateien codieren ...

Sie benötigen eine weitere Festplatte. Füllen Sie diese mit Ihren Dokumenten, Fotos oder Ihrem Quellcode. Überprüfen Sie in Bezug auf den vorherigen Punkt den Status des Quellcodes. Wenn Sie die Quellcodeverwaltung verwenden, geben Sie den Quellcode aus. Der Vorgang wird lange dauern. Wählen Sie sorgfältig nur das aus, was Sie benötigen. Vielleicht finden Sie heraus, wie viel Speicherplatz auf Ihrer Festplatte mit Dingen belegt war, an die Sie sich nicht einmal erinnern oder die Sie nicht benötigen.

Formatieren Sie die infizierte Festplatte. Führen Sie dies entweder über die aus Linux-Rettungssystem oder legen Sie Ihre bevorzugte Installationsdiskette für das Betriebssystem ein und lassen Sie das Installationsprogramm die Festplatte formatieren.

Ich empfehle nicht, die infizierte Festplatte zu sichern. Möglicherweise möchten Sie sie behalten eine Kopie der infizierten Festplatte für die Dokumente, die Sie möglicherweise vergessen haben. Es ist eine Falle, lass es einfach los . Sie finden viele Dokumente in Ihrem Posteingang oder im gesendeten Ordner.

Ich bin anderer Meinung und empfehle, ein Bild des Lösegeldlaufwerks zu behalten, nur für den Fall, dass [die Krypto Mist war und geknackt wurde] (http://superuser.com/a/1063700/483801).
Sie können auch nur verschlüsselte Dokumente sichern.Es gibt überhaupt keinen Grund, ausführbare Dateien und andere Dinge zu sichern, die leicht infiziert werden können.
In meinem Beispiel wurden tatsächlich einige spezifische Daten von der Festplatte selbst benötigt, was beweist, dass Ihr Ansatz, nur verschlüsselte Dateien (aber nicht die gesamte Festplatte) zu sichern, nicht immer ausreicht.
#7
+8
Loren Pechtel
2016-04-17 23:30:51 UTC
view on stackexchange narkive permalink

Neben dem &-Kopieransatz, den andere erwähnt haben, gibt es noch einen weiteren Faktor: Die Ransomware möchte verbergen, was vor sich geht, bis es fertig ist. Es ist böse. Daher sind die verschlüsselten Dateien normalerweise noch lesbar, als wären sie erst verschlüsselt Bereit, das Lösegeld zu verlangen.

Wenn Sie die wichtigen und verschlüsselten Dateien gefunden haben, stellen Sie das Gerät nicht im Internet wieder zusammen und versuchen Sie, sie zu kopieren. Wenn dies funktioniert, aber nicht alle funktionieren, legen Sie das Backup wieder auf die Festplatte und holen Sie sich etwas mehr.

#8
+2
atdre
2016-08-15 02:41:26 UTC
view on stackexchange narkive permalink

Triage the Situation (unter Berufung auf das Situationsbewusstseinsprinzip)

  • Wo befindet sich der Computer jetzt? Im Büro? Zuhause? In einem Hotel? Andernfalls unterwegs?
  • Welche Schutzmaßnahmen werden hier angeboten? Wenn Sie am Netzwerkkabel ziehen oder WLAN ausschalten, können Sie den Computer in eine besser geschützte Umgebung bringen? Können Sie es ins Büro verschieben? Wenn ja, schneiden Sie das Netzwerk jetzt! SCHNELLSTMÖGLICH!! Schließen Sie jedoch keine Programme - lassen Sie sie alle in dem Zustand geöffnet, in dem sie sich befanden. Schließen Sie keine Browser-Registerkarten. Schließen Sie kein verdächtiges Dokument oder keine E-Mail.
  • Wenn Sie tragbar sind, bringen Sie den Computer ins Büro. Sie fragen Ihr Infosec-Team oder Ihre IT-Leitung, ob entsprechende Verfahren vorhanden sind Umgang mit Ransomware, z. B. Funktionen zur Reaktion auf Data Forensics-Vorfälle. Sie finden heraus, ob sie über Sicherheitsplattformen verfügen, die Malware-Kommunikation verhindern, z. B. Secure-Web-Gateways oder Unified Threat Management-Lösungen.

Containment-Zyklus (führen Sie diese in der Reihenfolge von oben aus nach unten)

  • Lassen Sie den Computer nicht mit dem globalen Internet verbunden. Verwenden Sie einen anderen Computer und USB-Laufwerke, falls verfügbar. Wenn nicht verfügbar, finden Sie heraus, was Sie über die Ransomware können. Suchen Sie nach Prozessnamen und Dateierweiterungen (z. B. .zepto für Dateien, die sich auf dem Desktop befinden). Verwenden Sie einen separaten Computer, um nach der Ransomware zu suchen. Besuchen Sie insbesondere - https://www.nomoreransom.org
Halten Sie alle Programme offen, wie sie waren. Fahren Sie noch nicht herunter oder starten Sie den Computer neu. Wenn Sie das MalwareBytes -Installationsprogramm von einem separaten Computer herunterladen können, ohne das Netzwerk wieder einzuschalten, kopieren Sie das Installationsprogramm auf den Computer, führen Sie es jedoch noch nicht aus. Lassen Sie den Computer nicht durch irgendetwas anderes neu starten. MalwareBytes ist entweder für Windows oder MacOS - und Sie sollten eine lizenzierte Version verwenden, wenn Sie ein Unternehmen sind. Wenn dies ein Notfall ist, kann es ethisch vertretbar sein, die Lizenz später zu erwerben - der Anruf Ihrer IT-Führung.
  • Arbeiten Sie dies als Vorfall. Dokumentieren Sie, was Sie zu diesem Zeitpunkt gefunden haben und was Sie weiterhin finden. Ein ausgereifteres Programm für Datenforensik und Incident Response (DFIR) wird einige grundlegende Dinge enthalten. Vielleicht möchten Sie jetzt damit beginnen. Dazu gehören: 1) Ein Sinkhole-Netzwerk (z. B. ein isolierter Hub mit einem DHCP-Server, aber fortgeschrittene CSIRTs verfügen über solche mit direktem VPN-Anschluss) mit mindestens DNS RPZ oder DNS Blackhole -Funktionen - höchstens eine Full-Honeynet- oder Täuschungssystem-Plattform. 2) Möglicherweise handelt es sich bei diesem isolierten Netzwerk um Ihre Imaging-Plattform (z. B. Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, ehemals Altiris oder Ghost) mit PXE-Boot Fähigkeiten. Dies wäre ein großartiger Ort für ein Malware Management Framework (MMF), eine ausgereifte DFIR-Funktion, die in diesen Szenarien hilfreich ist. Wenn der Geldmarktfonds verdächtige Ransomware-Prozesse, Dateien, Registrierungseinträge und / oder andere Artefakte manuell oder automatisch identifizieren kann, kehren Sie in den Forschungsmodus zurück.
  • (Optional) Aktivieren Sie alle DFIR-Prozesse oder -Plattformen. In einem sehr ausgereiften DFIR-Programm sind einige erweiterte Elemente vorhanden. Wenn Sie von früher fortfahren (und hoffentlich im selben isolierten Netzwerk, obwohl diese Funktionen auch in den Produktionsnetzwerken großartig sind), können dies Folgendes umfassen: 3) Eine forensische Analyseumgebung, insbesondere ein verteiltes forensisches System wie Google Rapid Response. Eine weitere hier gefundene Komponente wäre eine clientbasierte Remote-Imaging-Funktion wie NBDServer. Der Hauptunterschied besteht darin, dass GRR ein agentenbasiertes, sammlungsorientiertes System mit einer Webschnittstelle ist, während NBDServer eine Möglichkeit ist, eine forensische Linux-Workstation an einen kompromittierten Windows-Computer anzuschließen. Möglicherweise möchten Sie beides, aber GRR funktioniert auch mit macOS (siehe auch osquery). 4) Forensische Tools, die bestimmte Artefakte für die Verarbeitung auf forensischen Workstations erfassen. Mein Favorit, und das ist in GRR enthalten, ist pmem (d. H. Winpmem, linpmem, osxpmem). Ein aktuelles Repo zum direkten Herunterladen ist hier verfügbar, und möglicherweise gibt es spätere Updates hier. Öffnen Sie eine cmd.exe-Shell, indem Sie mit der rechten Maustaste auf Als Administrator ausführen (oder auf die macOS / Linux-Terminal-Shell mit sudo- / root-Rechten) klicken und dann das Dienstprogramm pmem ausführen. Wenn Sie die Ausgabe gesammelt haben, kopieren Sie die Artefakte auf Ihre Forensik-Workstation und analysieren Sie sie mit rekall und / oder dem Volatility Framework (beide sind in der DFIR-Community bekannt). Es ist schön, einen zweiten Speicherauszug mit BelkaSoft RAM Capturer zum Vergleich zu erstellen, der einen Windows-Treiber installiert. Ein weiterer Favorit ist FTKImager (die Lite-Version ist in Ordnung), und ich beginne gerne nur mit der Extraktion von Auslagerungsdateien, damit ich das Tool page_brute nutzen kann. Engagieren Sie ein DFIR-Handwerk in letzter Minute.
  • Erkennen Sie, was als gut und was als schlecht bekannt ist. Verlassen Sie sich hier auf Ihren Geldmarktfonds. Wenn Sie keine haben, richten Sie die schnellste Version einer ein, die Sie möglicherweise können. Außerdem - MalwareBytes sieht Dinge in Aktion. Deshalb ist es wichtig, alles so zu lassen, wie es vorher war. Installieren und führen Sie MalwareBytes jetzt zum ersten Mal aus. Lassen Sie nicht zu, dass der Computer neu gestartet wird. Laden Sie eine Browser-Registerkarte neu, anstatt sie zu schließen. Anstatt zu einer anderen E-Mail in Ihrem Outlook zu scrollen, öffnen Sie dasselbe bekanntermaßen fehlerhafte Dokument erneut, das möglicherweise die Ursache für die Ransomware war. Führen Sie eine schnelle Überprüfung des Browserverlaufs durch und scrollen Sie durch den E-Mail-Client, wenn Sie geöffnet sind, um nach anderen Ereignissen zu suchen (normalerweise innerhalb von 10 Minuten, bevor der Endbenutzer glaubt, dass die Infektion aufgetreten ist), und ergreifen Sie Maßnahmen, wenn diese verwandt erscheinen. Denken Sie daran, dass Sie nicht im vollständigen Internet sind - nur ein Netzwerk, das auf DNS-Anfragen antwortet und diese an einen lokal gefälschten Dienst weiterleitet.

  • Schadensbegrenzungszyklus (entfernen Sie den Kompromisse mit welchen Mitteln auch immer und stellen Sie sicher, dass es nicht zurückkommt. Stellen Sie den Computer wieder in einen funktionsfähigen Zustand.

    • Hunker down. Sie haben keine Programme neu gestartet, geschlossen. oder schon mit dem globalen Internet verbunden, oder? Gut. Rufen Sie das DFIR jetzt vollständig auf und schließen Sie alle sichtbaren Programme. Sie haben MalwareBytes in einem gefälschten Netzwerk ausgeführt. Sie haben hoffentlich auch Artefakte des laufenden Speichers (einschließlich der Auslagerungsdatei) mit allen geöffneten Programmen gesammelt. Sie können jetzt sogar fehlerhafte Prozesse beenden (falls MalwareBytes dies noch nicht getan hat). Wenden Sie sich an Ihren MMF, um bekanntermaßen gute Prozesse zu ermitteln und so gut wie alles zu beenden, außer denjenigen, die für den Betrieb des Betriebssystems erforderlich sind, es sei denn, dies hat mit den nächsten Schritten zu tun: Überprüfen der lokalen oder Remote-Sicherungen und der Volume Shadow Copy Service (VSS).
    • Finden Sie heraus, was wiederhergestellt werden kann und was nicht. Windows XP erstellt alle 24 Stunden einen Systemwiederherstellungspunkt. Seit Windows 7 gibt es jedoch einen Volume Shadow Copy-Mechanismus, mit dem auch Sicherungsdateien usw. erstellt werden. Alle diese Aktionen werden automatisch ohne Benutzeraktivität ausgeführt. Wenn Sie können, klonen Sie das gesamte Laufwerk. Wenn dies aufgrund der begrenzten Zeit, des begrenzten Speicherplatzes oder anderer Tests nicht möglich ist, greifen Sie auf die integrierten Sicherungsfunktionen des Betriebssystems zu. Nehmen wir für eine Sekunde Win7 oder höher an, und Sie können hier mitlesen, aber ich habe ursprünglich die Ideen aus dem Buch Operating System Forensics (und es wird auch in Incident Response & Computer Forensics, dritte Ausgabe) behandelt:
      C: \ Windows \ system32> vssadmin list shadow [...] Inhalt der Schattenkopiensatz-ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Enthält 1 Schattenkopien zur Erstellungszeit : 04.03.2012 17:06:01 Schattenkopie-ID: {670353fe-16ff-4739-ad5e-12b1c09aff00} Original-Volume: (C :) \\? \ Volume {33faab95-9bc6-11df-9987-806e6f6e6963} \ Shadow Copy Volume: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy27 Ursprungsmaschine: Funhouse Service Maschine: Funhouse Anbieter: 'Microsoft Software Shadow Copy Provider 1.0' Typ: ClientAccessibleWriters Attribute: Persistent, Client-zugänglich, Keine automatische Freigabe, Differential, Auto wiederhergestellt  

    mklink / D c: \ vss \\? \ GLOBALROOT \ D. evice \ HarddiskVolumeShadowCopy27 und Sie können cd \ vss und dir , um festzustellen, ob die Dateien die Ransomware-Dateierweiterung hatten (dh die Dateien oder Verzeichnisse, die verschlüsselt wurden ) sind in einem unverschlüsselten Zustand verfügbar, indem Sie diesen als Root-Pfad durchlaufen. Sie können dann rmdir \ vss ausführen, wenn Sie fertig sind, und nach Belieben eine andere HarddiskVolumeShadowCopy-Iteration ausprobieren. Harlan Carvey und das Forensics Wiki haben diese Methoden ebenfalls detailliert beschrieben.

    • Stellen Sie vor dem Neustart sicher, dass Sie alle erforderlichen Informationen gesammelt haben. Wenn MalwareBytes installiert ist, wird ein Neustart erforderlich sein. Möglicherweise möchten Sie jedoch vor dem Neustart einige andere Pakete installieren. Wenn Sie ein Problem mit der Systemwiederherstellung oder der VSS-Wiederherstellung von Dateien hatten, lesen Sie den Arsenal Recon Image Mounter (es ist besonders wichtig, dies zu versuchen, da Ransomware möglicherweise tatsächlich nach den Wiederherstellungspunkten und VSS selbst sucht. Deaktivieren). Eine weitere gute Sache, die Sie vor dem Neustart tun sollten, ist die Ausführung eines Gastklonvorgangs für virtuelle Maschinen P2V, normalerweise mit VMware vCenter Converter. Da Sie nach dem Neustart wahrscheinlich auch wieder eine Verbindung zum globalen Internet herstellen, stellen Sie außerdem sicher, dass Sie auf Patches auf Betriebssystem- und App-Ebene aktualisieren können. Sie können sich die kostenlose Testversion von Corporate Software Inspector von Flexera (ehemals Secunia) ansehen, wenn Sie nichts anderes haben. Ein weiterer Favorit ist das Programm Microsoft Baseline Security Analyzer (MBSA). Überprüfen Sie einige Einstellungen wie die Windows-Firewall oder den Abschnitt zum Schutz der Privatsphäre von macOS Security & in den Systemeinstellungen. Wenn Sie eine große Liste von Sicherheitseinstellungen anzeigen möchten, lesen Sie unbedingt das kostenlose Tool Airlock von Lunarline (Hinweis: Es funktioniert nur mit den Windows-Betriebssystemversionen 7, 8 und 8.1 und wird es auch Wenden Sie die Sicherheitseinstellungen nur auf die Internet Explorer-Versionen 8, 9 und 10 an. Dieses Tool ist jedoch in Bezug auf die sichere Konfiguration fantastisch. Stellen Sie sicher, dass Netzwerkfreigaben beim Neustart des Computers nicht angehängt / neu zugeordnet werden. Sie können diese in Windows und in macOS überprüfen.
    • Wiederherstellen; Wiederherstellen; Wiederherstellen. Vor dem Neustart müssen Sie als letztes die AutoRuns überprüfen. Für Windows bedeutet dies, dass Sie Autoruns ausführen (versuchen Sie erneut, es über USB oder ein Labor- / Wiederherstellungsnetzwerk anstelle des globalen Internets abzurufen). Versuchen Sie, jeden Artikel mit einem Experten zu überprüfen. Um in macOS die Elemente zu überprüfen, die beim Start ausgeführt werden, gehen Sie zu Systemeinstellungen, Benutzer-&-Gruppen und Anmeldeelemente. Stellen Sie die Wiederherstellung wieder her, indem Sie MalwareBytes neu starten und darauf achten, wenn Sie dazu aufgefordert werden. Stellen Sie die Wiederherstellung wieder her, indem Sie MalwareBytes erneut ausführen. Stellen Sie die Wiederherstellung wieder her, indem Sie die Genehmigung zum Herstellen einer Verbindung zum globalen Internet erhalten. Aktualisieren Sie MalwareBytes. Führen Sie MalwareBytes erneut aus. Aktualisieren Sie Ihr Betriebssystem und führen Sie alle integrierten Aktualisierungsprogramme auf Betriebssystem- und App-Ebene von Drittanbietern oder Drittanbietern aus. Stellen Sie die Wiederherstellung wieder her, indem Sie die Updates abschließen und neu starten lassen, wenn Sie dazu aufgefordert werden. Es ist jetzt sicher, die aus der Sicherung wiederhergestellten Dateien zu kopieren und die verschlüsselten Dateien zu überschreiben. Stellen Sie sicher, dass Sie alle Dienste / Daten in dem Zustand wiederhergestellt haben, in dem sie sich vor dem Auftreten des Vorfalls befanden.
    • Verwenden Sie den Computer. Ist dies in Ordnung? Ist alles wieder normal? Es ist in Ordnung, Prozesse abzubrechen oder Dienste zu stoppen, die Ihrer Meinung nach immer noch beängstigend aussehen. Wenn Dateien fehlten oder nicht in Backups gefunden werden konnten, wie lautet dann der nächste Rückgriff? Mein Vorschlag ist, alle noch verschlüsselten Dateien in einen Offline-Speicher wie ein USB-Laufwerk zu kopieren. Möglicherweise wird zu einem späteren Zeitpunkt ein Wiederherstellungsdienstprogramm für die Ransomware-Dateien erstellt. Verhält sich der Computer so, als ob er noch Malware (nicht nur Ransomware) hat? Wenn ja, stellen Sie es unter Quarantäne und eskalieren Sie Forschung, Fachwissen und DFIR-Funktionen.
    • Seien Sie bereit, einen anderen Computer zu verwenden, auch wenn dies in Ordnung erscheint. Seien Sie bereit, Ihren Computer zu übergeben zu einem Experten. Seien Sie bereit, es länger in Quarantäne zu lassen. Seien Sie sich bewusst und darauf vorbereitet, dass Sie diesen bestimmten Computer in der nächsten und letzten Phase nie wieder sehen können.

    Ausrottungszyklus (Situationsverständnis erlangen, eine Überprüfung nach der Aktion)

    • Finden Sie heraus, wie die Ransomware ausgeführt oder installiert wurde. Überprüfen und notieren Sie, was passiert ist, was Sie haben die Informationen dokumentiert usw. Speichern Sie die Informationen und arbeiten Sie sie mit einem formelleren System wie Raquet, nightHawkResponse, SOF-ELK , Malcom, Malcontrol oder MISP. Verwenden Sie ein formelles SIEM- oder Ticketing-System, um dieses Problem zu verfolgen oder nach verwandten früheren Problemen zu suchen, z. B. MozDef. Gehen Sie jedoch wirklich auf den Grund, wie es installiert oder ausgeführt wurde - Sie müssen verstehen, wie es funktioniert. Wenn Sie dies nicht manuell tun können, verwenden Sie zumindest eine Art automatisierte Malware-Analyse (AMA). Wenn Ihre UTM im Büro Palo Alto Networks ist und Ihr Unternehmen eine Lizenz für WildFire besitzt, haben Sie bereits AMA. Weitere kommerzielle AMA-Plattformen sind: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense oder ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID und Fortinet. Ich habe diese hier identifiziert, damit Sie Ihre InfoSec- oder IT-Technologieführerteams fragen können, ob eines vorhanden ist, damit sie sehen können, was es gefunden hat. Wenn nichts, rufen Sie vielleicht den Verkäufer an und fragen Sie, warum nicht?
    • Extrahieren Sie die Funktionen und das Verhalten der Ransomware für die Korrelation. Vergleichen Sie Hashes und andere Kompromissindikatoren (IoCs) mit bekanntermaßen fehlerhaften Werten, die detaillierter sind als die aufgetretenen weit. Wenn die Ransomware-Infektion von einem schädlichen Makro in einem Office-Dokument (oder sogar direkt aus einer E-Mail) stammt, extrahieren Sie die VBA-Makros mit den Tools Didier Stevens: emldump und oledump. Für das vollständige Verhalten einer ausführbaren Datei, die Sie in Ihren forensischen Speicheranalysen gefunden haben, Cuckoo Sandbox in ihren vielen, vielen Iterationen (einschließlich der Online-Übermittlung) Service, Malwr, auf dem es basiert) ist das Go-to-Tool (sogar für MacOS -Binärdateien!). Ähnlich wie Malwr sind Payload Security, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack und Vicheck stammen alle aus Büchern, die Screenshots und Tiefenanalysetechniken mit Titeln wie: Erweiterte Malware-Analyse sowie: Windows Malware Analysis Essentials behandeln. Ein günstiges kommerzielles Tool finden Sie unter JoeSecurity, einer Website mit vielen nützlichen Referenzen zu AMA in ihrem Blog. Wenn die Ransomware Netzwerkverbindungen hergestellt hat (oder andere schädliche Kommunikationen auf dem Computer gefunden wurden), finden Sie heraus, wohin sie gehen und warum.
    • Kennen Sie Ihren Feind und reagieren Sie entsprechend. Sie müssen kein DFIR- oder Threat Intelligence-Experte sein (oder zuweisen oder einstellen), um die Oberfläche Ihres Ransomware-Angriffs abzukratzen (obwohl dies hilfreich ist). Wenn Sie jedoch wissen, dass Sie APT Ransomware anstelle von kriminell motivierter Ransomware haben, haben Sie ein besonderes Problem. Möglicherweise wurde die Ransomware über das lokale Netzwerk bereitgestellt, z. B. über ein AD-Gruppenrichtlinienobjekt (Microsoft Active Directory-Gruppenrichtlinienobjekt). Wenn Sie den Verdacht haben, dass die Angriffe zielgerichtet sind (z. B. hatten nur die Computer Ihrer Führungskraft Ransomware oder nur hochkarätige Personen), muss Ihre Hausaufgabe von einer anderen Person bewertet werden. Wenn Sie glauben, dass Sie dies selbst tun können, fahren Sie fort - diese Website hilft Ihnen bei Ihrer Suche - http://www.threathunting.net
    Reduzieren Sie den Schaden proaktiv vor dem nächsten Ereignis. Wenn es sich nur um Ihren Computer handelte, sollten Sie Ihr Betriebssystem aktualisieren oder die höchstmögliche Benutzerkontensteuerung (oder beides) aktivieren. Überprüfen Sie die Einstellungen der Windows Update-Systemsteuerung. Wenn Sie ein IT- oder InfoSec-Experte sind, der anderen mit Ransomware hilft, ist es an der Zeit, zwei Richtlinien zu überdenken: 1) Ihre Richtlinie ohne Administratorrechte, d. H. Normale Endbenutzer, dürfen keinen Administratorzugriff haben, und 2) Ihre App-Whitelist-Richtlinie. Es gibt einige Tricks zur App-Whitelist, die Sie kennen müssen, insbesondere für Windows. Lesen Sie dieses Dia-Deck, insbesondere beginnend mit Folie 15 - http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - und beachten Sie, dass Sie mit den nächsten zehn Folien (15-25) so gut wie dauerhaft keine kostenlose Ransomware erhalten. Ich empfehle jedoch dringend, die Folien 29-37 zu lesen, um zu verstehen, dass Sie PowerShell v5 mit der AppLocker-App-Whitelist-Richtlinie auf jedem Endbenutzercomputer installieren müssen. Keine leichte Aufgabe, aber wenn Sie interessiert sind, fragen Sie bitte in den Kommentaren und ich werde dort antworten oder meine Antwort hier aktualisieren.
  • Update; Aktualisieren; Aktualisieren. Aktualisieren Sie alle nicht unterstützten Betriebssysteme in Ihrem Netzwerk (sie reduzieren Ihre mittelfristigen Optionen und Verteidigungsfähigkeiten, einschließlich der Körperhaltung). Update auf ein neueres Betriebssystem. Führen Sie Ihre Betriebssystem-Updates aus. Aktualisieren Sie Ihre Apps. Aktualisieren Sie Ihre Plugins. Aktualisieren Sie Ihre Office-Suite. Wenn Sie auf Office 2016 aktualisieren können, können Sie ein einfaches AD-Gruppenrichtlinienobjekt (ähnlich dem direkt oben beschriebenen AppLocker) verwenden, um die Ausführung von Makros in Office-Dateien aus dem Internet zu blockieren.
  • Stellen Sie sicher, dass Sie stets auf dem neuesten Stand sind. Machen Sie es sich nicht leicht, Nein zur Aktualisierung zu sagen (daher die Richtlinie "Kein Administrator"). Drücken Sie auf ein Gruppenrichtlinienobjekt, um die Richtlinie für lokalen Computer - Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update-Elemente zu ändern. Ändern Sie beispielsweise Erneut zum Neustart mit geplanten Installationen auffordern in Aktivieren mit 1440 (24 Stunden), nachdem Kein automatischer Neustart mit angemeldeten Benutzern für geplante Installationen mit automatischen Updates festgelegt wurde Aktiviert. Beenden Sie mit Automatische Updates zulassen. Sofortige Installation wird ebenfalls aktiviert. Benachrichtigen Sie alle Endbenutzer durch schriftliche Richtlinien sowie durch Mitarbeiter- oder Auftragnehmerorientierung, dass das Unternehmen davon ausgeht, dass das Unternehmen bei eingeschaltetem Computer möglicherweise mindestens alle zwei Tage einen Neustart verlangt. Dies ist eine faire Politik. Einige Benutzer, insbesondere CAD-Mitarbeiter, ziehen es vor, ihre Computer mehrere Tage oder Wochen am Stück eingeschaltet zu lassen (manche sogar Monate!). Stellen Sie sicher, dass Sie für diese Endbenutzer einen ordnungsgemäßen Ausnahmevorgang haben, stellen Sie jedoch auch sicher, dass sie mit zusätzlichen vereinbarten alternativen oder kompensierenden Steuerelementen auf eine vereinbarte Ausnahmerichtlinie gepatcht werden. Die meisten werden es nicht, also lass sie nicht! Apple-Computer können einen Cronjob auf Root-Ebene haben, auf dem softwareupdate -i -a täglich ausgeführt wird. Denken Sie daran, dass das PXE-Boot-Netzwerk im Containment-Zyklus verwendet wird? Stellen Sie sicher, dass die Baseline-Installationsimages gemäß denselben Richtlinien (d. H. Jeden zweiten Tag) aktualisiert werden, vorzugsweise durch Automatisierung. Aktualisieren Sie während Ihres Aufenthalts unbedingt jede andere lokale Software (über Corporate Software Inspector oder ähnliches), insbesondere: Antivirensoftware oder Agentenaktualisierungen. Sie haben vielleicht (ich habe es sicherlich gehört) von den Geschichten gehört, dass ein neuer Mitarbeiter oder Auftragnehmer einen neu abgebildeten Laptop erhält und am ersten Arbeitstag Malware oder Ransomware erhält! Verhindern Sie das Auftreten dieser Szenarien, indem Sie auch Ihre Basisbilder auf dem neuesten Stand halten - und dies funktioniert hervorragend zusammen mit dem MMF-System, das Sie in demselben isolierten Netzwerk aufgebaut haben! Halten Sie diese bekanntermaßen guten Hashes auf dem neuesten Stand! Es ist auch ein guter Ort, um das Asset-Inventar für alle Benutzer und Elemente Ihres Unternehmens zu verfolgen.
  • Schärfen Sie die Säge. Ihr InfoSec-Team und / oder Ihr IT-Management müssen wissen, was sie hier wirklich falsch machen, da Ransomware in ihrer Umgebung aktiv ist. Es gibt so viele kostenlose (oder bereits bezahlte) Optionen, die sie möglicherweise haben. Eine, die ich gerade durchlaufen habe, heißt Microsoft RAP von ihren Proactive Premier Services. Wenn die Vektoren von Makros stammen, beheben Sie dieses Problem. USB, dieser; APT, na ja - geben Sie einfach Ihr Bestes für jedes Problem (nicht für das Symptom), das Sie können. Das Dia-Deck, das ich im Abschnitt "Proaktiver Stamm" zitiert habe, enthält viele sofort einfache, kostenlose Ideen für Dinge, die auf Netzwerkebene, für Protokoll-Streaming, für die Systemverwaltung oder auf Organisationsebene implementiert werden können. Siehe auch dieses Dokument - https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf - hier habe ich viele dieser Ideen.
  • http://ransomwareprevention.com/ransomware-notes/
    #9
    +1
    Mars
    2016-08-15 08:39:56 UTC
    view on stackexchange narkive permalink

    HINWEIS: Da die 'beste Antwort' eher auf fortgeschrittene Benutzer ausgerichtet zu sein scheint (selbst auf die Ebene der Incident-Response-Teams), ist dies für jeden Benutzer mit Linux- und Linux-Kenntnissen problemlos möglich Live-CDs.

    .

    .

    Mit dem Risiko, ignorant zu klingen, antworte ich einem Einzeiler:

    Schalten Sie den PC aus und starten Sie die Live Linux-CD.


    DETAIL:

    Wenn es sich um ein Windows-Betriebssystem handelt, schalten Sie das System ein aus und booten Sie eine Linux Live CD. Sichern Sie Ihre Daten und klonen Sie die Sicherung. Bewahren Sie eine auf und versuchen Sie, die andere unter einem sauberen Betriebssystem auszuführen.

    Wenn es sich um Linux handelt, ist die Ransomeware so konzipiert, dass sie unter Linux funktioniert, also der gleiche Sicherungsprozess, aber führen Sie sie einfach unter einem anderen Betriebssystem aus (z * BSD, Windows, Android - gebaut unter Linux, aber meiner Erfahrung nach sehr unterschiedlich -).

    Natürlich können Sie es, wie der Ransomeware-Entwickler sagte, genauso gut beenden lassen. Wenn Sie mitten im Prozess anhalten, werden Sie höchstwahrscheinlich nie das wiederherstellen, was bereits verschlüsselt wurde. Sie haben keine ID, mit der Sie die Entwickler kontaktieren können, und sie haben möglicherweise Ihren Verschlüsselungsschlüssel noch nicht erhalten. Optional können Sie beide kombinieren. Verwenden Sie das, was ich zuvor gesagt habe, und starten Sie das infizierte System einfach wieder und lassen Sie es fertig werden.

    Haftungsausschluss: Ich bin eine menschliche Kartoffel. d.h. NICHT ein Entwickler von irgendetwas

    #10
      0
    CoffeDeveloper
    2016-04-21 13:47:55 UTC
    view on stackexchange narkive permalink

    Ransomware verbreitet sich nur, weil die Leute dafür bezahlen. Fragen und Antworten helfen dabei, Ransomware einen Ruf zu verschaffen, der wahrscheinlich dazu führt, dass die Leute zahlen. Es ist viel besser, etwas Geld in ein gutes Antivirenprogramm zu investieren, als später zahlen zu müssen, um Ihre Daten wiederherzustellen.

    Wenn eine Unterbrechung des Prozesses in der Mitte schädlich sein kann (weil Entwickler wollten, dass Sie nicht versuchen, die Verschlüsselung zu stoppen ), nichts verhindert eine abnormale Unterbrechung mit damit verbundenem Datenverlust (einige Sekunden lang die RESET-Taste gedrückt halten, ein blauer Bildschirm, der von einem fehlerhaften Fahrer verursacht wird ...). Im Allgemeinen sind verschlüsselte Daten nicht länger tolerant gegenüber kleinen Fehlern einzelner Bits (ein falsches Bit macht in einer Textdatei keinen Unterschied, aber ein falsches Bit in verschlüsselten Daten führt zum Verlust aller Daten).

    Auch die Ransomware-Entwickler sollten Ihnen tatsächlich einen kleinen Bruchteil Ihres Festplattenpreises zahlen, da viele E / A-Vorgänge die Lebensdauer Ihrer Festplatte verkürzen.

    Ein weiterer wichtiger Punkt: Setzen Sie einfach das Kennwort Ihrer Konten zurück , aber geben Sie den Reaktivierungscode noch nicht ein. Der Schaden von Ransomware kann begrenzt werden, wenn einige Daten auf Cloud-Diensten oder einer Art Server gehostet werden. Wenn die Malware Zugriff auf Ihre Anmeldeinformationen / Sitzungen erhält, kann sie auf die sicher gespeicherten Daten zugreifen, was den Schaden erhöht. Durch das Zurücksetzen der Kennwörter wird der weitere Zugriff auf Ihre Konten blockiert (vorausgesetzt, Ihr Smartphone ist nicht infiziert und der Reaktivierungscode wird nicht abgefangen).

    Viele Webservices mit eindeutiger Anmeldung ermöglichen auch die Verwaltung des Zugriffs auf Geräte und einige dieser Aktionen Aktion im Fall von gestohlenen Anmeldeinformationen (oder angeblich gestohlenen Anmeldeinformationen).

    Es ist wie eines der mathematischen Probleme in der Spieltheorie, werden Sie bezahlen, um sofort einen kleinen Vorteil zu erzielen (Wiederherstellung Ihrer Daten), oder werden Sie Ignorieren Sie einfach die Ransomware, damit sie auf lange Sicht für alle das "Gute" tut.

    Ihr erster Punkt ist, dass das Stellen und Beantworten von Fragen zu Ransomware den Entwicklern von Ransomware tatsächlich zugute kommt, indem mehr Menschen dafür bezahlen?Durch welche Art von Korrelation könnte dies unterstützt werden? Ich stimme Ihrem zweiten Punkt zu.Wir sollten die Passwörter von Cloud-Speicherkonten ändern, falls die Ransomware sie gestohlen hat. Ihr letzter Punkt scheint zu sein, dass es unmoralisch ist, das Lösegeld zu zahlen, weil es kriminelle Aktivitäten finanziert.Dem stimme ich teilweise zu.Aber wenn die Daten zum Beispiel dringend benötigte medizinische Daten wären, die jemandem das Leben retten würden, würde ich wahrscheinlich bezahlen.
    Vielen Dank für die Zusage, ja, ich würde niemanden bezahlen, der nicht den Ruf hat, meine Daten wiederherzustellen.Ich schlage vor, dass es eine Korrelation mit Fragen und Antworten mit dem Ruf von Ramsomware geben könnte.Kein Ruf = kein Geld, wie kann jemand sicher sein, dass Daten zurückgegeben werden und es keine zweite Ramson-Infektion mehr gibt?Es gibt kein Versprechen oder eine Garantie, nur den Ruf.(Übrigens hat mir Ihr Kommentar sehr gut gefallen, er verdeutlicht meinen Standpunkt.) Wie auch immer, kritische medizinische Daten sollten nicht regelmäßig gesichert werden?
    Zur Reputation: Ransomware-Autoren sind bekannte Gauner, aber Sie können die genaue fragliche Ransomware untersuchen, um festzustellen, ob bekannt ist, dass sie die Daten wiederherstellt.Bei einer wiederholten Infektion nehmen Sie einfach die benötigten Daten und formatieren dann Ihre Festplatte.Sie müssten Ihre abgerufenen Dateien in der Tat sehr sorgfältig auf mögliche Infektionen scannen.Mein Standpunkt zu medizinischen Daten war nur hypothetisch, um einen Fall zu veranschaulichen, in dem die Daten unglaublich wichtig sind.Was Ihre Vorstellung von Q & A-Korrelation betrifft, verstehe ich immer noch nicht, was Sie meinen.
    Übrigens würde ich es auch hassen, ein Lösegeld zu zahlen, und würde versuchen, es um die meisten Kosten zu vermeiden.Zum Glück war ich noch nie in der Situation.
    Die Tatsache, dass Sie behaupten, sie seien "bekannte Gauner", zeigt genau meinen Standpunkt. Woher wissen wir das?Es ist nur eine (schlechte oder gute) Reputationssache.Am effektivsten sind Viren und Malware, die auch auf soziale Mechanismen einwirken.Solange die Leute lesen "Ich muss bezahlen, es gibt keine anderen möglichen Lösungen", werden die Leute bezahlen.Solange die Leute lesen "Es ist gleichbedeutend mit einem Festplattenausfall", werden die Backups nur regulärer und es ist weniger wahrscheinlich, dass sie zahlen, um Daten zurückzubekommen.
    Sie haben keine absolute Garantie.Angenommen, einige der Dokumente waren Millionen von Dollar wert, und Sie hatten kein Backup.In einer solchen Situation würde ich bezahlen, wenn ich die genaue Art der fraglichen Ransomware gegoogelt und festgestellt hätte, dass sie normalerweise die Daten wiederherstellt / entschlüsselt.Ich mache nur ein extremes Beispiel, um einen Punkt zu veranschaulichen.
    Tatsächlich haben sie einen guten Ruf, und das ist ihre Stärke.Es ist für mich unbezahlte Arbeit, ihnen zu helfen, durch "frei" einen guten Ruf aufzubauen.Eine andere Tatsache, nehmen wir an, Ramsomware hat mit wirklich guten Absichten begonnen, angenommen, Sie waren der Programmierer, der es zuerst erstellt hat, und Sie haben ein paar Dollar für die Wiederherstellung von Sachen im Wert von Millionen Dollar verlangt.Jetzt bist du "gut".Aber es ist ein Kinderspiel, die einmal erstellte Binärdatei zu kopieren und für böse Zwecke zu verwenden.Ein Unternehmen, das normalerweise Kreditkarteninformationen gestohlen hat, hat diese nette Software in die Hand genommen und allen Menschen viel Geld abverlangt, selbst am Computer von Krankenhäusern.
    Lassen Sie uns [diese Diskussion im Chat fortsetzen] (http://chat.stackexchange.com/rooms/38680/discussion-between-fiksdal-and-dariooo).


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...