您有一天启动计算机,在使用计算机时,会注意到驱动器异常繁忙。您检查系统监视器,发现有一个未知进程正在使用CPU,并且对该驱动器进行了大量读写操作。您立即在网络上搜索了进程名称,并发现它是勒索软件程序的名称。还有一个新闻故事,告诉您最近流行的软件分发站点是如何被破坏并用于分发相同的勒索软件的。您最近从该站点安装了一个程序。显然,勒索软件正在从事其肮脏的工作。

内部驱动器上有大量重要数据,并且没有备份。该驱动器上还存在大量非重要数据。

该问题的标题为“中”操作,但在此示例中,我们尚未调查勒索软件可能实际上已经入侵了多远。它的“工作”。

我们可以看两种情况:


您想保留尽可能多的数据。但是,支付任何赎金是不可能的。
如果没有风险,您想知道数据的重要部分是否实际上已加密和覆盖。您还希望尝试提取尽可能多的数据,而又不会使情况变得更糟。您不愿支付赎金。但是,数据的某些部分对您是如此重要,以至于您最终还是会愿意仍然有机会为将它们找回而付出的代价而不是冒失去任何一个的风险。

分步进行,情况1和2的理想做法是什么?为什么?

注意:这是假设的。这实际上并没有发生在我身上。我始终对重要数据进行异地备份,而且从未受到勒索软件的影响。

评论

第二种选择确实具有潜在的法律含义,这可能是切线因素,但这并没有使其成为法律问题。显然这是一个技术问题。请注意:支付赎金可能会对您的司法管辖区造成法律影响。请查阅您当地的法律。

我对可疑过程的第一个反应是暂停它。如果这实际上是合法程序,我可以恢复。如果是恶意软件,我可以例如检查打开的文件,套接字等。如果程序自动重新启动,则此自动重新启动可能无法处理挂起。

要考虑的另一件事是支付赎金的一般道德。我认为,在任何情况下都不应支付赎金,因为这样做会鼓励更多的犯罪行为。

每个问题您只能问一个问题。请相应地编辑您的问题。您的第一个问题是一个可回答的技术问题。建议您将问题编辑为仅询问第一个,然后删除第二个-您始终可以分别发布第二个。

“如果您在运行中遇到勒索软件,该怎么办?” -(1)快速拉电源线。 (2)意识到没有任何反应,因此请按电源按钮,直到笔记本计算机自行关闭。 (3)转到不同的机器,并使用喜欢的搜索引擎来了解如何从那里继续。

#1 楼

休眠计算机

如果勒索软件正在加密文件,则用于加密的密钥将位于内存中的某个位置。最好进行一次内存转储,但是您不太可能拥有合适的硬件来立即获得该内存。转储正确的进程也应该可行,但要找出哪个可能并不容易(例如,恶意代码可能正在explorer.exe内部运行),我们现在就应该转储它。

使计算机休眠是获取内存映像的廉价方法¹,然后可以将其只读安装在干净的计算机上,以用于

a)评估勒索软件造成的损害

b)恢复未加密的文件²

c)从恶意进程中取证提取内存中的密钥,进行文件的其他高级恢复等。

请注意,这是只读的我的意思是根本不执行任何写操作,以最大程度地恢复机会。通常无法连接到其他Windows系统。

对于(c),您可能需要专业的支持。您的防病毒供应商可能会免费提供该文件。

即使您无法恢复所有文件,或者被告知不可能或太昂贵,也请保留包含加密文件的磁盘。今天不可能的事可能会在几个月后变得更便宜或更便宜。

我建议您仅在不同的磁盘上执行新安装(无论如何您都要重新安装,计算机已被感染,请记住吗?),然后将被感染的一个人(正确贴上标签)放在抽屉里。

-

关于第二个问题,您真正想在哪里支付赎金?我非常确定勒索软件的作者可以将文件退还给您,即使并非所有文件都已加密。但是,如果确实需要,您可以在克隆后从休眠磁盘启动,并让它完成对您的文件(现在已备份)的加密...

¹注意:如果您没有休眠文件,则这可能会覆盖可能已经恢复的现在加密文件的纯文本版本(不过,与最新的勒索软件无关)。

²假定它们没有被感染...

评论


休眠以获取密钥的副本是个好主意,但只有在用于加密的密钥对解密也有用的情况下,它才真正有用。如果编写了勒索软件以为每个文件生成一个新的对称密钥,并使用公共密钥对它们进行加密(例如PGP / GnuPG的工作方式),则解密特定于文件的密钥所需的私钥可能不再存在。记忆;它可能已经移交给了远程服务器。也就是说,这似乎不太可能造成伤害(比用户已经经历的伤害更大),而且只会有所帮助。

–用户
16年4月18日在8:31

@Fiksdal号我不建议您付费,但是即使您希望这样做,在继续执行破坏性操作之前,休眠并获取磁盘映像(除法医伪像外,还包含所有尚未加密的文件)将是明智之举。 。

–Ángel
16年4月18日在9:58

@Ángel在答案中所描述的内容(从运行中的副本中拉出ram图像中的键)和注释中所描述的内容之间存在巨大差异。将受害者与已拆除的少数c&c服务器之一相匹配要容易得多(这是精通技术的受害者可以自己做的事情);在通常情况下,还没有从作者那里获得密钥,并且加密工作已经正确完成,即使NSA大小的群集也无法将密钥排除在外。

–丹在火光中摆弄
16年4月19日在10:31

@MichaelKjörling:此时对称密钥可能仍在RAM中。完全非对称加密太慢。

–约书亚
16年4月19日在18:11

@Joshua是的,假设每个文件都使用相同的密钥。否则,您很可能会获得一个有用的密钥,但是该密钥仅对当时正在加密的一个(或很少数量)文件有用。我不愿给恶意软件作者太多的想法,但是如果我能想到击败这种方案的方法,即使允许将RAM转储到磁盘(休眠),也就不那么困难了。 (尽管CodesInChaos已经做到了,我之前的评论可能有资格...)

–用户
16-4-19在18:56



#2 楼

我该怎么做:


暂停该过程。不要杀死它,只需暂停它即可。
如果有任何父母也需要暂停,请查看进程树。
拔出网络电缆和/或关闭WiFi(如果您偏执狂,蓝牙也是如此)。
通过那些进程检查打开的文件,以查看当前正在加密的文件。如果这是一个特别重要的文件,则您可能希望将文件复制到当前状态(在进程暂停期间),然后将其移至下一个文件,这样就不会损坏它。如果下一个文件也很重要,那么,要么找出模式并向前复制一个文件,要么就已经开始复制所有文件。
Google如何在该文件上进行进程的内存转储特定的操作系统,然后进行相关进程的内存转储。哎呀,我可能会从计算机上转储所有虚拟内存。
关闭其他程序。
同步磁盘,这样就不再有写缓存了。
关闭电源。如果是笔记本电脑:请先卸下电池,然后再断开电源(如果已插入电源)。

您现在处于很好的位置:电源关闭,因此可能会发生更多事情,并且您拥有原来的加密密钥使用加上原始程序。麻烦在于找到加密密钥和加密方法,但是它必须位于过程内存中的某个位置:只是时间问题。叫您的黑客伙伴对程序进行逆向工程,甚至对一家防病毒公司进行逆向工程:他们可能有许多拥有相同勒索软件的客户,因此非常想获得内存转储以提取密钥。

将硬盘驱动器连接到另一台计算机将恢复所有尚未加密的文件,没有太大的风险。只是不要执行任何Word宏或从驱动器或其他文件中打开.exe文件。

摘要

暂停勒索软件过程,以便我们可以对其进行复制并复制其内存,以便稍后找到加密密钥。然后关闭系统,并从那里按照常识进行操作。当心重要的损坏文件(半加密文件),因此在暂停后检查当前正在处理的文件。


回应评论

此评论现在有一些支持:


在许多情况下,“加密密钥”将无济于事,勒索软件在启动时会连接到命令和控制服务器并请求一个新的加密对(公共和私人)创建。服务器创建该对,存储私有,然后将公共发送到受感染的计算机。然后,受感染的计算机使用公共密钥对文件进行加密,而对其进行逆转的唯一方法是使用私有密钥,在完成付款之前,该私有密钥永远不会转移到受害计算机。 – Anton Banchev


写这篇文章时我曾想到这个问题,但尚未解决。

没有人使用非对称加密来加密数据(也称为公钥加密)。它太慢了,因此非对称加密仅用于混合加密方案。甚至openssl内置的基准测试也报告每秒兆字节的AES数据和每秒操作数RSA的数据。根本不具有可比性。我唯一能找到的是这个Stack Overflow答案,其来源甚至没有公开其方法:非对称加密比对称加密慢1000倍。

,用于每个文件几乎都可以肯定是对称加密(例如AES),这意味着我们还可以使用与被加密时相同的密钥对其进行解密。

更新:似乎至少是勒索软件变种中的一种仅使用公共密钥加密。显然,它足够快就可以使用,否则他们显然不会使用它。我想您最好希望您没有这个变体?更新结束。

我不知道有任何勒索软件可以执行此操作,但是唯一可能仍然存在问题的方法是每个文件都具有唯一的加密密钥。在这种情况下,只能从内存中恢复当前文件。但是,这将给他们带来密钥管理问题:每个密钥要么必须传输,要么存储在用(对称)主密钥加密的数据库中。在后一种情况下,您可能还可以从内存中恢复主密钥,在前一种情况下,您遇到了问题。但这仅仅是猜测,我不知道有任何勒索软件可以做到这一点。

评论


哇。我认为这个答案需要更多关注。

– Revetahw说恢复Monica
16年4月18日在9:01

@AntonBanchev(对您的第一条评论:)我对此非常怀疑。我知道在此过程中很可能会使用公钥/私钥(混合加密),但是使用公钥加密来加密大量数据非常慢。这样做非常罕见,我几乎找不到与AES相比的RSA基准。在大约20次点击中,这是唯一的答案,它没有透露原始数字或方法,只是说它慢了1000倍:stackoverflow.com/a/118488

–吕克
16年4月18日在11:45

我没有看到在Windows 7中挂起进程的选项。在Linux上,它可能需要一些疯狂的bash命令-当然取决于分发情况。

–TomášZato-恢复莫妮卡
16年4月18日在12:16

@TomášZato步骤1:duckduckgo.com/?q = suspend + process + windows + 7&t = ffsb步骤2:superuser.com/q/426351/121343-在大多数Linux系统上,它都包含在系统监视器中(也可以在htop中找到)可以通过“ GUI”发送STOP信号),并且在服务器上,它是一个快速的Google来发现它是kill -STOP processid。

–吕克
16-4-18在13:09



@Luc我不是说不可能。但这不是很快,而时间就是这里的恕我直言。您杀死失去一个文件的力量。您用进程浏览器弄弄或搜索在哪里安装了该方便实用程序,并且丢失了1000个文件。

–TomášZato-恢复莫妮卡
16年4月18日在13:11

#3 楼

勒索软件(或与此有关的任何加密软件)将不会就地加密文件,因为加密的文件大小将与未加密的文件大小逐位匹配(除非只是xor随机播放,在这种情况下,它不是真正的加密)。更重要的是,加密过程的自发中止(由于关闭,电池电量耗尽等)将创建无法被赎回的损坏文件。而是,这些程序总是从旧文件创建一个新的加密文件,然后删除旧文件。实际上,由于关闭/重新启动,大多数勒索软件程序都会检查重新启动半加密的大文件。

因此,如果您发现中间加密,则可以关闭计算机-尽快尽可能-将硬盘驱动器安装在不受影响的计算机上进行备份。

关于我是否支付赎金-我不知道。取决于赎金的大小以及当时我的硬盘驱动器上的内容的性质。由于我每小时的收入约为2.50美元,并且我的硬盘驱动器主要包含可公开获得的科学数据,因此答案很可能不是。

编辑:

休眠,如假设其他海报比以多种方式关闭计算机的效果更好。但是,实际上,休眠可能不起作用。任何进程都可以告诉系统它很忙,无法立即停止-甚至是一只猫在弹钢琴的YouTube视频都可以做到这一点。对于OSX,Windows和Linux,这是正确的(取决于您对Linux休眠的方式)。在这些情况下,该进程拒绝暂停的唯一解决方案是终止该进程-这意味着没有内存转储。因此,就我个人而言,我宁愿通过取消电源线来尽快停止该加密,因为如果有我可以保证的事情,那就是勒索软件将在下次系统启动时将其密钥放回内存中,因为我没有让它完成工作。

评论


“(除非它只是一个xor shuffle,在这种情况下它并不是真正的加密)。” -xor和什么? AIUI,大多数流密码可以描述为“异或混排”,而密码部分是如何生成与密文进行异或运算的比特流。

–Random832
16年4月17日在18:06

Random832-对早期(2013)勒索软件的分析表明,他们的作者显然在尝试通过不进行长时间的,占用大量CPU的加密来“加密”尽可能多的用户数据,而只是对文件中的位进行混洗一些已知的模式-有时使用密钥,有时只是硬编码。当安全分析人员开始使用这些脚本并让它们使用已知数据加密文件时,这些脚本几乎立即变得无用,因为这种模式很容易看到,因此可以开发软件来对其进行逆转。现在他们都进行“适当的”加密。

–J.J
16年4月17日在19:51

您每小时支付$ 2.50的费用是多少?

–user1717828
16-4-17的23:15

@ user1717828我住在印度,在这里,这样的薪水对于受过良好教育的中产阶级是正常的。 J. J可能生活在一个以美元为货币的国家。但是,只是说。

– Revetahw说恢复Monica
16年4月18日在4:27

@cat我是德国马克斯·普朗克学院的博士研究生。他们每月付给我1300美元,而潜规则是,我每隔一小时醒来就会工作。周末,节假日等,因此平均约为$ 2.50。这不是什么特别的事(租金是每月700美元),是的,我的赎金将以口香糖,皮棉和松散的绳子来衡量。在菲克斯达尔(Fiksdal)-他们用欧元支付我,我太懒了,找不到欧元符号:P

–J.J
16-4-18在7:23



#4 楼

[Mod注:此答案收到很多标志,但不值得删除。这是一种潜在的有效措施,尽管在某些辖区中存在风险且可能是非法的。从技术角度来看,这有可能成为保存数据的一种方式。请参阅Meta进行进一步的讨论。]

最好的事情就是什么都不做。做一些愚蠢的事情可能会导致数据丢失或损坏。让它结束,然后联系那里列出的人,支付赎金,您就可以开始了。我们是专业人士,将帮助您找回文件。

免责声明:我是勒索软件开发人员。

评论


您不能认真地建议“信任我们”作为降低风险的过程...

– schroeder♦
16-4-17的20:38

哦,欢迎光临!我们这里有很多勒索软件问题(您可以想象)-我们很乐意获得您的反馈和看法。

– schroeder♦
16年4月17日在20:39

对于那些不认为这是答案的人,请考虑一下:不采取任何措施可能是确保数据不会受到破坏的最佳方法(取决于恶意软件的编写方式)。这似乎是一个完全有效的建议。

– schroeder♦
16年4月17日在20:49

对于勒索软件作者来说,这无疑是最好的解决方案,任何其他解决方案都将不利于您的利益。但是,例如,存在许多编码错误的勒索软件(及其恢复工具)。通过两次加密文件甚至使文件无法恢复,使情况变得更糟。

–Ángel
16年4月17日在23:18

@Ángel这非常重要。有些勒索软件编写得很糟糕,以至于即使您付款,它们也无法真正还原您的数据。

– Revetahw说恢复Monica
16年4月18日在6:26

#5 楼

第二个问题可能会产生很多意见作为答案。我将专注于第一个问题。您如何阻止可能正在进行的赎回加密?

步骤:


立即从互联网上拔下计算机插头。使用另一台计算机在Internet上搜索解决方案。
通过冷关机关闭受影响的计算机。不要等待计算机完成正常的关机软件检查。
从计算机上拔下硬盘驱动器。
在计算机中安装新的硬盘驱动器,然后安装新的干净操作系统。
将原始驱动器插入主板,以便新操作系统可以访问该驱动器。
启动新操作系统,访问旧驱动器并进行备份。
将备份存储在物理上安全的位置与原始位置分开(如果发生火灾,洪水,龙卷风等)。
提高网络浏览器的安全性。许多勒索软件是通过JavaScript恶意软件安装的。

关于第二个问题:也许您可以重构一些已加密的数据。完成上述步骤后,以下步骤可能会有所帮助。


审核原始驱动器上的数据,以确定是否成功加密了任何文件。注意哪些文件已加密。 (此审核只能在干净的OS上完成。)
从内存中(由于没有备份),请尝试回顾文件的内容以及它们的重要性。
现在,重点关注在最重要的已加密文件上,查看文件恢复技术是否可以恢复原始文件。由于加密无法就位覆盖(由于多种原因),勒索软件在创建加密版本时会访问原始文件。然后,它可能以不同程度的成功删除了原始文件。请与文件恢复专家联系,以查明磁盘上是否仍存在未链接的原始文件。

请记住,以后要保护自己。进行备份,使其离线,并防止安装勒索软件。请参阅勒索软件如何在人们的计算机上传播?

评论


“ 1.立即从互联网上拔下您的计算机的电源... 2.在断电的情况下关闭受影响的计算机” –拔掉网络会浪费时间;为什么不先拔掉电源?

–user253751
16-4-17在22:22



另外,如果我正在设计病毒,那么它肯定不需要永久的互联网连接即可运行。

–TomášZato-恢复莫妮卡
16年4月18日在12:14

@TomášZato-ReinstateMonica是为了防止它通过您的局域网传播

–伊万·加西亚·托皮特(IvanGarcíaTopete)
2月14日23:34

#6 楼

立即关闭计算机。如果您不打算支付赎金,则该病毒正在处理的任何数据都将丢失。因此,只需按下电源按钮并按住它,或拔下电线即可。

将Ubuntu或其他便携式Linux发行版安装到USB记忆棒上。上次我这样做时,确实适合2GB的记忆棒。我正在使用Windows文件系统将硬盘克隆到SSD。挂载文件系统为只读。

仅备份不可执行的数据。我不确定会感染其他可执行文件的病毒有多少,但是如果我正在制造病毒,它也会感染Java JAR存档,PHP服务器脚本,批处理和哈希脚本以及其他所有我能想到的东西。任何可以执行系统命令的程序都可能感染该病毒并执行它。不太可能,但是有可能。例如,您可以将base64编码为bash文件中的二进制文件...

您将需要另一个硬盘驱动器。用您的文档,照片或源代码填充它。关于我之前提到的观点,请检查源代码的状态。如果使用源代码管理,请转储源代码。该过程将花费很长时间。仔细选择您需要的东西。也许您会发现您什至不记得或不需要的东西占用了HDD空间的多少。

格式化受感染的硬盘。从Linux救援系统中执行此操作,或者插入首选的OS安装磁盘,然后让安装程序格式化硬盘驱动器。

我不建议备份受感染的硬盘驱动器。您可能会为了保留您忘记的文件而倾向于保留受感染硬盘的副本。这是一个陷阱,随它去吧。您会在邮件收件箱或已发送文件夹中找到许多文档。

评论


我不同意并建议保留勒索驱动器的映像,以防万一加密失败并最终被破解。

–AndréBorie
16-4-20在15:31

您也可以只备份加密的文档。没有任何理由备份可执行文件和其他容易被感染的东西。

–TomášZato-恢复莫妮卡
16年4月28日在14:13

好吧,我的示例实际上需要硬盘驱动器本身的一些特定数据,证明仅备份加密文件(而不是整个驱动器)的方法并不总是足够的。

–AndréBorie
16年4月28日在23:14

#7 楼

除了关闭和复制方法外,其他人还提到了另一个因素:勒索软件想要隐藏发生的事情,直到完成为止,这是邪恶的-因此,加密文件通常仍然可读,就像在准备好需要时才加密一样。

一旦您找到了重要的文件并进行了加密,就将机器放回到互联网上而不是Internet上,然后尝试将其复制掉。如果这行得通,但又无法解决所有问题,请将备份放回到HD上,然后再抓取更多内容。

#8 楼

分类情况(调用情况意识原则)


计算机现在在哪里?在办公室?在家?在酒店?否则在路上?

这里提供什么保护?如果拔出网络电缆或关闭WiFi,可以将计算机移到受保护的环境中吗?您可以将其移到办公室吗?如果是这样,请立即断开网络!尽快!!但是,请勿关闭任何程序-使其全部处于打开状态。请勿关闭浏览器选项卡。请勿关闭可疑文档或电子邮件。

如果便于携带,请将计算机带到办公室。您询问您的信息安全团队或IT领导是否有适当的程序来处理勒索软件,例如数据取证事件响应功能。您可以确定它们是否具有阻止恶意软件通信的任何安全平台,例如安全Web网关或Unified Threat Management解决方案。


遏制周期(从上到下依次执行)


使计算机保持未连接到全球Internet的状态。使用另一台计算机和USB驱动器(如果有)。如果不可用,请找出您可以使用的勒索软件。查找进程名称,文件扩展名(例如,.zepto表示台式机上的文件)。使用单独的计算机搜索勒索软件。尤其要访问-https://www.nomoreransom.org


使所有程序保持原样打开。请勿关闭或重新启动。如果您可以从另一台计算机上获取MalwareBytes安装程序而无需重新打开网络,请将该安装程序复制到计算机上,但不要运行它。不要让它或其他任何方式重新启动计算机。 MalwareBytes适用于Windows或macOS-如果您是企业,则应使用许可版本。如果是紧急情况,从道德上讲,以后可以购买许可证-您的IT领导的电话。

将此作为事件处理。记录此时您发现的内容以及您继续发现的内容。更为成熟的数据取证和事件响应程序(DFIR)将具备一些基本功能。您可能现在想开始这些。它们包括:1)一个宿坑网络(例如带有DHCP服务器的隔离集线器,但是高级CSIRT将具有直接进入VPN的能力),至少具有DNS RPZ或DNS Blackhole功能-大多数,也许是全蜜网或欺骗性系统平台。 2)可能是该隔离的网络是具有PXE引导功能的映像平台(例如Microsoft SCCM,CloneZilla,FogProject,Symantec Client Management,以前的Altiris或Ghost)。这将为恶意软件管理框架(MMF)(一种成熟的DFIR功能,可在这些情况下提供帮助)提供一个理想的位置。如果MMF可以手动或自动识别可疑勒索软件进程,文件,注册表项和/或其他工件,则返回研究模式。

(可选)激活任何DFIR流程或平台。一个非常成熟的DFIR程序将拥有一些高级项目。从此继续(并希望在同一个隔离的网络上,尽管这些功能在生产网络中也很重要),它们可能包括:3)法证分析环境,尤其是分布式法证系统,例如Google Rapid Response 。此处找到的另一个组件是基于客户端的远程映像功能,例如NBDServer。主要区别在于GRR是具有Web界面的基于代理,面向集合的系统,而NBDServer是将Linux法医工作站连接到受感染Windows计算机的一种方式。您可能两者都想要,但是GRR也可以与macOS一起使用(也请查看osquery)。 4)取证特定工件的取证工具,以在取证工作站上进行处理。我最喜欢的并且包含在GRR中的是pmem(即winpmem,linpmem,osxpmem)。可从此处直接下载这些文件的最新存储库,此处可能有更高版本的更新。右键单击“以管理员身份运行”(或具有sudo / root权限的macOS / Linux Terminal Shell),然后打开cmd.exe Shell,然后运行pmem实用程序。收集到输出后,将工件复制到取证工作站,并使用rekall和/或Volatility Framework(两者在DFIR社区中都是众所周知的)进行分析。最好使用BelkaSoft RAM Capturer收集第二个内存转储进行比较,以安装Windows驱动程序。另一个最喜欢的是FTKImager(精简版很不错),我想从页面文件提取开始,以便可以利用page_brute工具。参与最后的DFIR贸易战。

辨别已知的好坏。在这里依靠您的MMF。如果您没有,请设置最快的版本。另外-MalwareBytes通过查看实际操作来进行操作。这就是为什么重要的事情要像以前一样重要。现在第一次安装并运行MalwareBytes。不允许它重新启动计算机。无需关闭浏览器选项卡,而是重新加载它。不用滚动到Outlook中的另一封电子邮件,而是重新打开可能是勒索软件的原因的已知不良文档。快速浏览浏览器历史记录,并滚动浏览电子邮件客户端(如果打开)以查找其他事件(通常在最终用户认为感染发生之前的10分钟之内),并对这些事件采取相关措施。请记住,您并没有使用完整的Internet,而只是一个响应DNS查询并将其转发到某些本地伪造服务的网络。


缓解周期(通过任何方式消除危害表示并确保它不会回来。将机器恢复到工作状态)


断电。您尚未重新启动,关闭任何程序或尚未连接到全球Internet,对吗?好。暂时将DFIR调用完成,并关闭所有可见程序。您已经在假网络上运行了MalwareBytes。希望您在所有程序打开的情况下也收集了运行内存(包括页面文件)的工件。您现在甚至可以杀死不良进程(如果尚未删除MalwareBytes)。返回到您的MMF来确定已知良好的进程,除保持操作系统运行所必需的进程外,几乎杀死所有其他进程,除非它与我们接下来要做的事情有关:检查本地或远程备份和卷影复制服务(VSS)。

找出可以恢复的内容和不能恢复的内容。 Windows XP每24小时创建一个系统还原点。但是,从Windows 7开始,有一种卷影复制机制,该机制还可以创建备份文件等。所有这些操作都会自动发生,而无需任何用户活动。如果可以,请克隆整个驱动器。如果由于时间,磁盘空间或其他分类原因而无法进行操作,请访问内置的OS备份功能。让我们假设Win7或更高版本为一秒钟,您可以按照此处进行操作,但是我最初是从《操作系统取证》一书中获得的想法(《事件响应与计算机取证》(第三版)中也有介绍):


C:\Windows\system32> vssadmin list shadows
[...]
  Contents of shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88}
    Contained 1 shadow copies at creation time: 3/4/2012 5:06:01 PM
     Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00}
      Original Volume: (C:)\?\Volume{33faab95-9bc6-11df-9987-806e6f6e6963}\
      Shadow Copy Volume: \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27
      Originating Machine: funhouse
      Service Machine: funhouse
      Provider: ‘Microsoft Software Shadow Copy provider 1.0’
      Type: ClientAccessibleWriters
      Attributes: Persistent, Client-accessible, No auto release,
Differential, Auto recovered


mklink /D c:\vss \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27,您可以cd \vssdir来查看带有勒索软件扩展名的文件(即,已加密的文件或目录)是否处于未加密状态通过遍历作为根路径。然后,您可以在完成后rmdir \vss,根据需要尝试另一个HarddiskVolumeShadowCopy迭代。哈兰·卡维(Harlan Carvey)和法医Wiki也详细介绍了这些方法。


重新启动之前,请确保已收集了所需的所有信息。安装了MalwareBytes后,它将要重新启动。但是,您可能需要在重启之前安装其他一些软件包。如果您在系统还原或VSS还原文件时遇到问题,请检查Arsenal Recon Image Mounter(尝试这样做特别重要,因为勒索软件实际上可能会追随还原点和VSS本身,从而使它们禁用)。重启之前,另一件很棒的事情是执行P2V虚拟机来宾克隆操作,通常是使用VMware vCenter Converter。由于重启后您还很可能会重新连接到全局Internet,因此请确保您能够更新到操作系统级别和应用程序级别的补丁程序。如果没有其他内容,您可能想从Flexera(以前称为Secunia)那里免费试用Corporate Software Inspector。另一个喜欢的是Microsoft Baseline Security Analyzer(MBSA)程序。检查一些设置,例如Windows防火墙或“系统偏好设置”中的“ macOS安全性和隐私”部分。如果要查看大量安全设置列表,请务必从Lunarline签出免费工具Airlock(注意,该工具仅适用于Windows OS版本7、8和8.1,并且仅将安全设置应用于Internet Explorer版本8、9和10-但此工具在安全配置方面非常出色)。确保计算机重新启动时网络共享不会附加/重新映射。您可以在Windows和macOS中进行检查。

恢复;恢复;恢复。重新启动之前,最后要做的就是检查自动运行。对于Windows,这意味着要运行“自动运行”(再次尝试通过USB或实验室/恢复网络而不是全球Internet来获取它)。尝试与专家一起审查每个项目。在macOS中,要查看将在启动时运行的项目,请进入“系统偏好设置”,“用户和组”和“登录项目”。通过重新启动并注意MalwareBytes(如果系统提示您)来进行还原。通过再次运行MalwareBytes进行还原。通过获得批准以连接回全球Internet进行还原。更新MalwareBytes。再次运行MalwareBytes。更新您的操作系统,并运行任何内置或第三方操作系统级别和应用程序级别的更新程序。通过让更新完成并在提示您进行更新时重新引导来进行还原。现在可以安全地复制从备份还原的文件,并覆盖加密的文件。确保已将所有服务/数据恢复到发生事件之前的状态。

使用计算机。可以吗一切恢复正常了吗?可以终止您认为仍然令人恐惧的进程或停止服务。如果文件丢失或无法从备份中找到文件,那么下一个解决方案是什么?我的建议是将所有仍加密的文件复制到离线存储,例如USB驱动器。也许以后会为勒索软件文件构建恢复实​​用程序。该计算机是否仍然像是在存在任何恶意软件(不仅是勒索软件)一样工作?如果是这样,则隔离它并提升研究,专业知识和DFIR功能。

即使看起来还可以,也愿意使用其他计算机。愿意将您的计算机交给专家。愿意让它更长的隔离时间。请注意并做好准备,在接下来的最后阶段,您将再也看不到这台特定计算机。


根除周期(了解情况,进行事后审查)


了解勒索软件是如何执行或安装的。查看并记录发生了什么情况,记录的内容等。存储信息并使用更正式的系统(例如Raquet,nightHawkResponse,SOF-ELK,malcom,malcontrol或MISP)进行处理。使用任何正式的SIEM或票务系统来跟踪此问题或搜索过去的相关问题,例如MozDef。不过,要真正了解它是如何安装或执行的-您需要了解它是如何工作的。如果您无法手动执行此操作,请至少利用某种形式的自动恶意软件分析(AMA)。如果您办公室的UTM是Palo Alto Networks,并且您的公司拥有WildFire许可证,则您已经拥有AMA。其他商用AMA平台包括:Lastline,Cyphort,Check Point,McAfee Sandbox(高级威胁防御或ATD),Symantec Blue Coat,FireEye,趋势科技深度威胁发现设备沙箱,Fidelis,Cisco ThreatGRID和Fortinet。我在这里已经确定了这些内容,因此您可以询问您的InfoSec或IT技术负责人团队是否存在,以便他们可以查看发现的内容。如果没有,则可以致电供应商并询问为什么不这样做?

提取勒索软件的功能和行为以进行关联。将哈希值和其他危害指标(IoC)与已知的不良值进行更深入的比较(到目前为止已发生的情况)。如果勒索软件感染来自Office文档中的恶意宏(甚至直接来自电子邮件),请使用Didier Stevens工具(emldump和oledump)提取VBA宏。对于您在内存取证分析中发现的可执行文件的完整行为,Cuckoo Sandbox的许多很多迭代(包括基于它的在线提交服务Malwr)都是首选工具(甚至适用于macOS二进制文件)! )。与Malwr相似的是Payload Security,Comodo Camas,Comodo Valkyrie,MalwareViz,ThreatExpert,ThreatTrack和Vicheck,它们均从书中提取,这些书涵盖了屏幕截图和深度分析技术,其标题包括:Advanced Malware Analysis,以及:Windows Malware Analysis Essentials。有关便宜的商业工具,请访问JoeSecurity,该网站的博客上有许多关于AMA的有用参考资料。如果勒索软件建立了任何网络连接(或在计算机上发现了任何其他恶意通信),请找出它们的去向以及原因。
了解你的敌人并做出相应的反应。您不必成为(或分配或雇用)DFIR或威胁情报专家来了解勒索软件攻击的表面(尽管它可以帮助您)。但是,如果您知道拥有APT勒索软件而不是出于犯罪动机的勒索软件,那么您将遇到一种特殊的问题。勒索软件也许是通过本地网络交付的,例如通过Microsoft Active Directory组策略对象(AD GPO)。如果您怀疑攻击是针对性的(例如,只有高管的计算机装有勒索软件,或者只有知名人士),那么您确实需要让其他人为您的作业评分。如果您认为自己可以做到这一点,请继续-该网站将为您的寻求帮助-http://www.threathunting.net


下一个事件。如果只是您的计算机,请考虑升级您的操作系统或尽可能启用最高级别的UAC(或同时启用这两者)。检查您的Windows Update控制面板设置。如果您是IT或InfoSec专业人员,可以通过勒索软件帮助他人,那么现在该重新审视两个策略了:1)您的非管理员策略,即常规最终用户一定不能具有管理员访问权限,以及2)您的应用白名单策略。您必须了解一些将应用列入白名单的技巧,尤其是对于Windows。阅读此幻灯片,尤其是从幻灯片15开始-http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf-请注意接下来的十张幻灯片(15-25)将使您免于永久免费获得勒索软件。但是,我强烈建议您阅读幻灯片29-37,以了解需要使用AppLocker应用白名单策略将PowerShell v5安装到每台最终用户计算机上。这不是一件容易的事,但是如果您有兴趣,请在评论中提问,我将在此处回答或在此处更新我的答案。

更新;更新;更新。更新网络上所有不受支持的操作系统(它们会减少您的中期选择和防御能力,包括姿势)。更新到较新的操作系统。运行您的操作系统更新。更新您的应用程序。更新您的插件。更新您的Office套件。如果可以更新到Office 2016,则可以使用简单的AD GPO(类似于上面直接描述的AppLocker)来阻止宏在Internet上的Office文件中运行。

确保您保持最新状态。不要轻易说不接受更新(因此为什么要使用no-admin策略)。推动GPO更改本地计算机策略–计算机配置–管理模板– Windows组件– Windows更新项目。例如,将Re-prompt for restart with scheduled installations设置为Enabled后,将No auto-restart with logged on users for scheduled automatic updates installations更改为1440(24小时)启用。也将Allow automatic updates immediate installation设为已启用。通过书面政策以及通过员工或承包商的指导通知所有最终用户,公司将假定您的计算机已打开,则公司可能至少每隔一天要求他们重新启动一次。这是一个公平的政策。一些用户,尤其是CAD工作者,更喜欢一次将其计算机打开几天或几周(甚至几个月!)。确保您对这些最终用户有适当的例外处理程序,但也要确保他们已通过一些已达成共识的备用或补偿控件,被补丁到某些已同意的例外策略。大多数不会,所以不要让他们!苹果计算机可以具有每天运行softwareupdate -i -a的根级cronjob。还记得遏制周期中使用的PXE引导网络吗?确保根据这些相同的策略(即每隔一天)更新基准安装映像,最好是通过自动化。在您在那里时,请确保更新任何其他本地软件(通过Corporate Software Inspector或类似软件),尤其是:防病毒软件或代理更新。您可能(我当然已经)听说过这样的故事:新员工或承包商在工作的第一天就收到一台新映像的笔记本电脑,并获得了恶意软件或勒索软件!通过同时保持基准图像为最新状态来防止发生这些情况-这与您在同一隔离网络上构建的MMF系统一起使用时效果很好!保持那些已知的良好哈希值为最新!这也是开始跟踪组成企业的所有用户和元素的资产清单的好地方。

敏锐的发现。您的InfoSec团队和/或您的IT管理人员必须知道勒索软件在他们的环境中处于活跃状态的真正错误所在。他们可能有太多免费(或已经付费)的选择。我刚经历过的一个叫做Proactive Premier Services中的Microsoft RAP。如果向量来自宏,请解决该问题; USB,那个; APT,很好-尽力解决每个问题(而不是症状)。我在“主动干式”部分中引用的幻灯片组提供了许多即时,免费的想法,可帮助人们在网络,日志流,系统管理或组织级别实现这些功能。另请参阅此文档-https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf-我有很多这样的想法。


评论


ransomwareprevention.com/ransomware-notes

– atdre
16 Sep 10'在19:08

#9 楼

注意:由于“最佳答案”似乎更面向高级用户(甚至是事件响应团队的水平),因此,对于任何了解Linux和Live CD的用户来说,这都是可行的。





冒着听起来无知的危险,我将回答一个问题:

关闭PC并启动Live Linux CD。


详细信息:

如果是Windows操作系统,请关闭系统并启动Linux Live CD。备份数据,然后克隆备份。确保一个安全,然后尝试在一个干净的操作系统上运行另一个。

如果是Linux,则该勒索软件旨在在Linux下运行,因此备份过程相同,但是只能在另一个OS上运行(即* BSD,Windows和Android(基于Linux构建,但根据我的经验有很大不同)。

当然,正如勒索软件开发人员所说的,您最好还是完成它。如果您停止中间过程,则很可能永远不会恢复已经加密的内容。您没有与开发人员联系的ID,他们可能还没有收到您的加密密钥。 (可选)您可以将两者结合使用。使用我之前所说的内容,然后简单地启动受感染的系统并使其完成。

免责声明:我是人类的马铃薯;我是人类。即不是任何东西的开发者

#10 楼

勒索软件之所以传播是因为人们在付款,问题和答案有助于使勒索软件获得声誉,从而有可能使人们付款。最好花一些钱买一个好的防病毒软件,而不是以后再付费来恢复您的数据。

如果中断中间的过程可能有害(因为开发人员希望您不要尝试停止)加密),没有任何措施可以防止异常中断以及相关的数据丢失(按住RESET按钮几秒钟,由有故障的驱动程序引起的蓝屏...)。通常,加密数据不再容忍单个位的小错误(错误位在文本文件中没有区别,但是加密数据中的错误位会导致所有数据丢失)

也勒索软件开发人员实际上应该向您支付硬盘价格的一小部分,因为许多I / O操作实际上会减少硬盘的使用寿命。

另一个重要的点是,只需重置帐户密码,但尚未输入重新激活代码。如果某些数据托管在云服务或某种类型的服务器上,则可以限制勒索软件的损坏,这意味着,如果恶意软件可以访问您的凭据/会话,则可以访问安全存储的数据,从而增加了损坏的风险。重置密码将阻止进一步访问您的帐户(前提是您的智能手机未受到感染并且未拦截到重新激活代码)。

许多提供唯一登录的Web服务还可以管理对设备的访问并执行凭证被盗(或假定凭证被盗)时采取的一些措施。

就像博弈论中的数学问题之一一样,您会付费以立即获得小额利益(恢复数据),还是从长远来看,勒索软件会让其倒闭而对所有人都没有好处吗?

评论


您的第一点是,提出有关勒索软件的问题并予以回答,实际上是通过让更多人付款来使勒索软件的创建者受益吗?可以支持哪种关联?我同意你的第二点。如果勒索软件窃取了云存储帐户的密码,我们应该更改它们。您的最后一点似乎是,支付赎金是不道德的,因为这是在资助犯罪活动。我部分同意这一点。但是,例如,如果这些数据是急需的医疗数据,可以挽救某人的性命,那么我可能会付钱。

– Revetahw说恢复Monica
16-4-21 9:00



谢谢您的赞赏,是的,我不会付钱给那些没有恢复我的数据声誉的人。我建议与Ramsomware的声誉与问答相关。没有声誉=没有钱,有人可以确保将数据退回并且不再有第二次Ramson感染?没有承诺或保证,只有信誉。 (顺便说一句,我非常喜欢您的评论,这很清楚地表明了我的观点)无论如何,关键医疗数据是否应该定期备份?

–CoffeDeveloper
16年4月21日在9:10



关于信誉:勒索软件的作者是骗子,但您可以调查确切的勒索软件,以了解是否已知他们可以还原数据。至于重复感染,您只需获取所需的数据,然后格式化硬盘即可。实际上,您确实必须非常仔细地扫描检索到的文件以查找可能的感染。我对医学数​​据的观点只是假设性的,以说明其中的数据极其重要的情况。至于您对问答关联的想法,我仍然不明白您的意思。

– Revetahw说恢复Monica
16-4-21在9:20



顺便说一句,我也不想支付赎金,并且会尽量避免付出任何代价。幸运的是,我从未遇到过这种情况。

– Revetahw说恢复Monica
16-4-21在9:22

您没有绝对的保证。但是,假设某些文档价值数百万美元,并且您没有备份。在这种情况下,如果我搜索了有问题的勒索软件的确切类型,并发现它们通常会还原/解密数据,我会付费。我只是在举例说明一个极端。

– Revetahw说恢复Monica
16-4-21在9:47