Question:
Que devez-vous faire si vous détectez un ransomware de chiffrement en cours de fonctionnement?
Revetahw says Reinstate Monica
2016-04-17 20:07:31 UTC
view on stackexchange narkive permalink

Vous démarrez votre ordinateur un jour et en l'utilisant, vous remarquez que votre lecteur est anormalement occupé. Vous vérifiez le Moniteur système et remarquez qu'un processus inconnu utilise le processeur et lit et écrit beaucoup sur le lecteur. Vous effectuez immédiatement une recherche sur le Web pour le nom du processus et constatez qu'il s'agit du nom d'un programme de rançongiciel. Un reportage revient également, vous expliquant comment un site de distribution de logiciels populaire a été récemment compromis et utilisé pour distribuer ce même ransomware. Vous avez récemment installé un programme à partir de ce site. De toute évidence, le ransomware est en train de faire son sale boulot.

Vous avez de grandes quantités de données importantes sur le disque interne, et aucune sauvegarde. Il existe également une quantité substantielle de données non importantes sur le disque.

Le titre de cette question indique "mi" opération, mais dans cet exemple, nous n'avons pas encore étudié jusqu'où le ransomware pourrait avoir réellement obtenu dans son «travail».

Nous pouvons examiner deux situations:

  1. Vous souhaitez conserver autant de données que possible. Cependant, il est hors de question de payer une rançon.

  2. Si possible sans risque, vous voulez savoir si les parties importantes de vos données sont réellement cryptées et écrasées. Vous voulez également essayer d'extraire le plus de données possible sans aggraver les choses. Vous n'aimeriez pas payer une rançon. Mais certaines parties des données sont si importantes pour vous que vous aimeriez, en dernier recours, être toujours en mesure de payer pour avoir une chance de les récupérer plutôt que de risquer de perdre l'une d'entre elles. .

Etape par étape, quelle est la chose idéale à faire dans les situations 1 et 2? Et pourquoi?

Remarque: Ceci est hypothétique. Cela ne m'est pas arrivé. Je garde toujours des sauvegardes hors site de mes données importantes et je n'ai jamais été affecté par un ransomware.

La deuxième option a des implications juridiques * potentielles * qui pourraient être un * facteur tangentiel *, mais cela n'en fait pas une question juridique.C'est clairement une question technique.À noter: le paiement de rançons peut avoir des répercussions juridiques dans votre juridiction.Veuillez consulter vos lois locales.
Ma première réaction à un processus suspect est de le suspendre.Si c'est réellement un processus légitime, je peux simplement reprendre.S'il s'agit d'un malware, je peux, par exemple, inspecter les fichiers ouverts, les sockets, etc. Si le programme redémarre automatiquement, ce redémarrage automatique peut échouer à gérer la suspension.
Une autre chose à considérer est l'éthique générale du paiement des rançons.Je suis d'avis que les rançons ne devraient jamais être payées en aucune circonstance, car cela encourage un comportement plus criminel.
Vous ne devriez poser qu'une seule question par question.Veuillez modifier votre question en conséquence.Votre première question est une question technique à réponse.Je vous suggère de modifier votre question pour ne poser que la première et de supprimer la seconde - vous pouvez toujours publier la seconde séparément.
@D.W.Les questions 1 et 2 sont très similaires.La différence entre eux est que dans le n ° 2, nous voulons faire très attention pour ne pas gâcher notre opportunité de payer la rançon en dernier recours absolu.IMO 1 et 2 sont si similaires que les mettre dans des questions séparées serait sur le point de fairedoublons, dans le sens où cela fragmenterait la discussion. Quant aux multiples questions liées dans le même article: j'ai vu d'innombrables questions ici qui font cela.Pouvez-vous pointer vers une méta-publication ou une FAQ indiquant que cela n'est pas recommandé ou autorisé? Si d'autres personnes sont d'accord, je modifierai ma question.
J'ai l'impression que le ransomware crypte les données dans de nouveaux fichiers et n'efface pas les anciens fichiers tant que le cryptage n'est pas terminé.Ceci afin que vous ne découvriez pas le problème à mi-chemin en appelant un fichier qui a été crypté et en récupérant vos données restantes.Si tel est le cas, le simple fait d'arrêter l'ordinateur et de monter le disque sur une autre machine devrait vous permettre de récupérer les fichiers de données.
@RossMillikan J'ai pensé que c'était tellement intéressant que je l'ai posé comme question séparée: http://security.stackexchange.com/questions/121080/does-most-ransomware-delete-the-original-files-as-it-goes-ou-dans-un-gros-dele
"Que devez-vous faire si vous détectez un ransomware en cours de fonctionnement?"- (1) Tirez rapidement sur le cordon d'alimentation.(2) Réalisez que rien ne s'est passé, appuyez sur le bouton d'alimentation jusqu'à ce que l'ordinateur portable s'éteigne.(3) Allez sur une machine différente et utilisez le moteur de recherche préféré pour comprendre comment procéder à partir de là.
@RossMillikan Ceci a maintenant été discuté en détail ici: http://security.stackexchange.com/a/121711/105562
Dix réponses:
Ángel
2016-04-18 04:12:08 UTC
view on stackexchange narkive permalink

Mettre l'ordinateur en veille prolongée

Si le ransomware crypte les fichiers, la clé qu'il utilise pour le cryptage se trouve quelque part en mémoire. Il serait préférable d'obtenir un vidage de la mémoire, mais il est peu probable que vous disposiez du matériel approprié pour cela. Le vidage du bon processus devrait également fonctionner, mais trouver celui qui n'est peut-être pas trivial (par exemple, le code malveillant peut être exécuté dans explorer.exe ), et nous devons le vider maintenant .

La mise en veille prolongée de l'ordinateur est un moyen peu coûteux d'obtenir une image mémoire¹ Ensuite, elle pourrait être montée en lecture seule sur un ordinateur propre pour

a) Évaluation des dommages infligés par le ransomware

b) Récupération de fichiers non chiffrés²

c) Extraction médico-légale de la clé en mémoire du processus malveillant, autre récupération avancée de les fichiers, etc.

Notez que par lecture seule, je veux dire qu'aucune écriture n'est effectuée du tout, pour des chances de récupération maximales. Se connecter normalement à un autre système Windows ne le fournira pas.

Pour (c), vous auriez probablement besoin d'une assistance professionnelle. Il peut être fourni gratuitement par votre fournisseur d'antivirus.

Même si vous ne parvenez pas à récupérer tous vos fichiers ou que l'on vous dit que c'est impossible ou trop cher, conservez le disque avec les fichiers cryptés. Ce qui est impossible aujourd'hui peut être moins cher voire anodin dans quelques mois.

Je vous recommande d'effectuer simplement la nouvelle installation sur un autre disque (vous alliez quand même réinstaller, l'ordinateur était infecté, vous vous souvenez? ), et conservez celui infecté - correctement étiqueté - dans un tiroir.

-

Quant à la deuxième question, où vous voulez vraiment payer la rançon Je suis sûr que l'auteur du ransomware pourrait vous rendre vos fichiers même s'ils n'étaient pas tous cryptés. Mais si vraiment nécessaire, vous pouvez démarrer à partir du disque en veille prolongée après le clonage , et le laisser finir de crypter vos fichiers (maintenant sauvegardés)…

¹ NB: si vous n'aviez pas de fichier d'hibernation, cela peut écraser les versions en texte brut des fichiers désormais cryptés qui auraient pu être récupérés (cependant, cela n'est pas pertinent pour les ransomwares les plus récents).

² En supposant qu'ils ne sont pas infectés…

La mise en veille prolongée pour obtenir une copie de la clé est une bonne idée, mais cela n'aide vraiment que si la clé utilisée pour le chiffrement est également utile pour le déchiffrement.Si le ransomware est écrit pour générer une nouvelle clé symétrique pour chaque fichier et crypter ceux avec une clé publique (comme par exemple PGP / GnuPG fonctionne), la clé privée nécessaire pour décrypter les clés spécifiques au fichier pourrait ne plus êtreMémoire;il a peut-être déjà été transmis à un serveur distant.Cela dit, il semble peu probable que cela puisse faire mal (pas plus que ce que l'utilisateur serait déjà en train de vivre), et cela pourrait simplement aider.
@Fiksdal no.Je ne recommande pas de payer, mais même si vous vous attendiez à le faire, l'hibernation et la prise d'une image disque (avec tous les fichiers non encore cryptés en plus des artefacts médico-légaux) serait une sage décision avant de le laisser continuer son action destructrice.
Un ransomware bien écrit pourrait utiliser une nouvelle clé pour chaque fichier et effacer la clé précédente après avoir fini de chiffrer chaque fichier.Mais je ne pense pas qu'ils aient encore évolué à ce niveau.
Est-ce que c) est purement hypothétique, ou existe-t-il des programmes audiovisuels payants qui le font réellement?Je suis toujours allé avec un outil audiovisuel gratuit;mais ce niveau de reprise après sinistre potentiel est suffisant pour me faire envisager un abonnement payant.(Tant que ce n'est pas limité aux produits d'Enterprisy qui coûtent beaucoup plus qu'un montant de rançon typique de toute façon.)
@DanNeely C'est réel.Certains fournisseurs audiovisuels fournissent un tel service de décryptage de ransomware à leurs clients.En règle générale, ils demanderaient quelques fichiers cryptés avec un texte en clair connu, le message de rançon, peut-être même le binaire s'ils n'étaient pas en mesure de détecter la variante du ransomware.Avec cela, ils créent un vaccin qui décrypte vos fichiers.Bien sûr, ils ne sont pas toujours en mesure de déterminer la clé de cryptage, mais ils ont de meilleures chances qu'un individu (ils auront probablement déjà analysé le malware et disposeront d'un gros matériel d'affacturage).
@DanNeely Ce n'est pas cher du tout, ils offrent cela même pour les licences domestiques (bien qu'avec une priorité moindre, je pense).Je pense que c'est une fonctionnalité supplémentaire plutôt qu'une fonctionnalité cachée facturée avec les frais de licence d'origine.YMMV, tous les fournisseurs audiovisuels n'offrent pas cela, et ils peuvent changer leurs conditions.
@ Ángel il y a une énorme différence entre ce que vous avez décrit dans votre réponse (extraire les clés d'une copie en cours d'exécution d'une image RAM) et ce que vous avez déclaré dans votre commentaire.Faire correspondre les victimes avec l'un des rares serveurs c & c qui ont été supprimés est beaucoup plus facile (et quelque chose qu'une victime avertie en technologie pourrait faire seule);dans le cas courant où les clés n'ont pas été récupérées auprès de l'auteur et que la cryptographie a été correctement effectuée, même un cluster de taille NSA ne pourra pas factoriser une clé.
@MichaelKjörling: La clé symétrique est probablement encore dans la RAM à ce stade.Le cryptage asymétrique complet est trop lent.
@Joshua Oui, * en supposant * que la même clé est utilisée pour chaque fichier.Sinon, vous pouvez très bien obtenir une clé utile, mais cette clé ne sera utile que pour l'un (ou un très petit nombre de) fichiers qui étaient cryptés à ce stade.Je suis réticent à donner * trop * d'idées aux auteurs de logiciels malveillants, mais si je peux penser à des moyens de vaincre un tel système tout en permettant le vidage de la RAM sur le disque (hibernation), cela ne peut pas être si difficile.(Bien que CodesInChaos l'ait déjà fait, et mon commentaire précédent peut être qualifié ...)
Comme précaution supplémentaire - copiez l'image disque sur un autre ordinateur et utilisez-le.Cela aidera si une opération en lecture seule s'avère ne pas être en lecture seule comme vous l'aviez imaginé.
Avez-vous déjà essayé de faire ce qui précède?
Il semble que j'ai en quelque sorte changé mon vote en un vote négatif à ce sujet, cela a dû être un mauvais clic sur le téléphone ou quelque chose pourriez-vous faire une modification triviale?
L'hibernation vide le système de fichiers.Cela détruira toutes les "sauvegardes" du pré-cryptage du fichier car elles sont conservées en mémoire.Si vous suspendez le malware à la place, vous pouvez toujours vider le cache du système de fichiers.
Luc
2016-04-18 05:12:23 UTC
view on stackexchange narkive permalink

Ce que je ferais:

  1. Suspendez le processus. Ne le tuez pas, mettez-le simplement en pause.
  2. Regardez dans l'arborescence des processus s'il y a des parents qui pourraient également avoir besoin d'être suspendus.
  3. Tirez le câble réseau et / ou éteignez-le WiFi (et si vous êtes paranoïaque, Bluetooth aussi).
  4. Vérifiez les fichiers ouverts par ces processus pour voir lequel il est en train de crypter. S'il s'agit d'un fichier particulièrement important, vous souhaiterez peut-être copier le fichier dans son état actuel (pendant que le processus est suspendu), puis le laisser passer au fichier suivant, afin qu'il ne soit pas corrompu. Si le fichier suivant s'avère également important, eh bien, déterminez le modèle et copiez un fichier avec une longueur d'avance ou commencez simplement à copier tous vos fichiers déjà.
  5. Google comment faire un vidage de mémoire d'un processus sur ce système d'exploitation particulier, puis effectuez ce vidage mémoire des processus pertinents. Heck, je pourrais vider toute la mémoire virtuelle de la machine.
  6. Fermez les autres programmes.
  7. Synchronisez le (s) disque (s) pour qu'il n'y ait plus de cache d'écriture.
  8. Tirez le pouvoir. Si un ordinateur portable: retirez la batterie, puis coupez l'alimentation (si elle est branchée).

Vous êtes maintenant dans une assez bonne position: l'alimentation est coupée, il est donc possible de noter que plus peut arriver, et vous avez le cryptage clé qu'il utilisait plus le programme d'origine. Le problème est de trouver cette clé de cryptage et la méthode de cryptage, mais elle doit être quelque part dans sa mémoire de processus: juste une question de temps. Appelez vos copains hackers pour faire de l'ingénierie inverse du programme, ou peut-être même une société d'antivirus: ils ont probablement beaucoup de clients avec le même ransomware et seraient très curieux d'obtenir un vidage de la mémoire pour extraire la clé.

Hooking le disque dur sur un autre ordinateur récupérera tous les fichiers qui n'ont pas encore été cryptés, sans grand risque. N'exécutez pas de macros Word ou n'ouvrez pas de fichiers .exe à partir du lecteur ou autre.

Résumé

Interrompez le processus de ransomware afin que nous puissions en faire une copie et sa mémoire pour trouver la clé de cryptage plus tard. Éteignez ensuite le système et suivez le bon sens à partir de là. Méfiez-vous des fichiers corrompus importants (fichiers à moitié cryptés), alors vérifiez celui sur lequel il travaillait actuellement après l'avoir mis en pause.

En réponse aux commentaires

Ce commentaire en contient quelques-uns upvotes now:

La "clé de chiffrement" n'aiderait pas dans de nombreux cas, au démarrage, le ransomware se connecte au serveur de commande et de contrôle et demande la création d'une nouvelle paire de chiffrement (publique et privée) . Le serveur crée la paire, stocke le privé et envoie le public à la machine infectée. Ensuite, la machine infectée utilise la clé publique pour crypter les fichiers, et la seule façon de l'inverser est d'utiliser la clé privée, qui n'est jamais transférée vers la machine des victimes tant qu'un paiement n'est pas effectué. - Anton Banchev

C'est un problème auquel j'ai pensé en écrivant le message, mais je n'ai pas encore répondu.

Personne ne crypte jamais data avec cryptage asymétrique (également appelé cryptage à clé publique). C'est tout simplement trop lent, donc la cryptographie asymétrique n'est utilisée que dans les schémas de cryptage hybride. Même les benchmarks comme celui intégré à openssl rapportent des mégaoctets par seconde pour AES et des opérations par seconde pour RSA. Pas comparable du tout. Le seul succès que j'ai pu trouver est cette réponse Stack Overflow avec une source qui n'a même pas divulgué leurs méthodes: le chiffrement asymétrique est 1000 fois plus lent que le chiffrement symétrique.

Ainsi, le cryptage utilisé pour chaque fichier est presque certainement un cryptage symétrique (comme AES), ce qui signifie que nous pouvons également le décrypter avec la même clé avec laquelle il est crypté.

Mise à jour : il semble qu'au moins l'une des nombreuses variantes de ransomware n'utilise que le cryptage à clé publique. Apparemment, il est juste assez rapide pour être utilisable, sinon ils ne l'utiliseront évidemment pas. J'imagine que tu ferais mieux d'espérer que tu n'as pas cette variante? Fin de la mise à jour.

Je ne connais aucun ransomware qui fasse cela, mais la seule façon dont cela pourrait encore être un problème est lorsque chaque fichier a une clé de chiffrement unique. Dans ce cas, seul le fichier actuel peut être récupéré de la mémoire. Cela leur causerait cependant un problème de gestion des clés: chacune de ces clés devrait soit être transmise, soit stockée dans une base de données chiffrée avec une clé principale (symétrique). Dans ce dernier cas, vous pourriez probablement également récupérer la clé principale de la mémoire, dans le premier cas, vous avez un problème. Mais ce n'est que de la spéculation de toute façon, je ne connais aucun ransomware qui fasse cela.

Sensationnel.Je pense que cette réponse mérite plus d'attention.
Le processus que j'ai décrit est également la raison pour laquelle une clé de déchiffrement ne fonctionne nulle part ailleurs que sur la machine à laquelle elle était destinée.
J'ai fait défiler vers le bas pour écrire exactement cette même réponse.La suspension d'un processus est triviale sur les systèmes d'exploitation modernes.Malheureusement, je suis également d'accord avec @AntonBanchev.
@AntonBanchev (Pour votre premier commentaire :) J'en doute fort.Je sais qu'une clé publique / privée pourrait très bien être utilisée dans le processus ([crypto hybride] (https://en.wikipedia.org/wiki/Hybrid_cryptosystem)), mais le chiffrement de beaucoup de données avec un chiffrement à clé publique est extrêmement lent.C'est si rare à faire que je ne trouve pratiquement aucun benchmark RSA comparable à AES.Sur peut-être 20 résultats, c'est la seule vraie réponse, et il ne divulgue pas de nombres bruts ou de méthodes, il dit simplement que c'est 1000 fois plus lent: http://stackoverflow.com/a/118488
Je ne vois pas d'option pour suspendre un processus dans Windows 7. Et sous Linux, il a probablement besoin d'une commande bash folle - dépend de la distribution bien sûr.
@Luc, il semble que cela dépend du malware dont nous parlons, si vous consultez ce document https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf, vous pouvez voir que différentes implémentations utilisent différentesalgorithmes, CryptoWall semble utiliser RSA qui est asymétrique.Les autres utilisent des algorithmes symétriques (ou du moins ils le faisaient au moment de la rédaction).
@TomášZato Étape 1: https://duckduckgo.com/?q=suspend+process+windows+7&t=ffsb Étape 2: http://superuser.com/q/426351/121343 - Sur la plupart des systèmes Linux, il est inclus dans lemoniteur système (également dans htop, vous pouvez envoyer un signal STOP via le "GUI"), et sur les serveurs, c'est un google rapide pour trouver que c'est `kill -STOP processid`.
@Luc Je n'ai pas dit que c'était impossible.Mais ce n'est pas rapide, et le temps est ce qui est en jeu ici à mon humble avis.Vous tuez la puissance que vous perdez un fichier.Vous jouez avec l'explorateur de processus ou recherchez où avez-vous installé cet utilitaire pratique et vous perdez 1000 fichiers.
@TomášZato C'est en fait un bon point.Je ne sais pas comment résoudre cela ... si vous tirez le pouvoir, vous pourriez ne récupérer aucun des fichiers;si vous recherchez la suspension du processus et vider la mémoire, vous pourriez probablement tout récupérer.Cependant, si vous faites ce dernier et que cela ne fonctionne pas, vous avez en effet perdu un tas de fichiers.Difficile de dire quel est le meilleur.
@Luc Vous ne pouvez perdre tous les fichiers que si le ransomware les a tous conservés en mémoire pendant le cryptage, ce qui est peu probable.Ou peut-être s'il employait un modèle de changement de fichier aléatoire fou - je ne sais pas à quoi cela ressemblerait exactement.Ou si vous l'avez remarqué trop tard - mais dans ce cas, vous pouvez simplement redémarrer et essayer d'obtenir la clé ou de payer la rançon.
@AntonBanchev Je vois.Je l'installerais presque dans une machine virtuelle, juste pour voir s'il est assez lent pour appeler la police et que leur équipe de criminalistique se présente avant d'avoir fini de crypter tous les fichiers!Blagues à part, je suis curieux de connaître ses performances.Je mettrai également à jour le message.
`Chacune de ces clés devrait soit être transmise, soit stockée dans une base de données qui est cryptée avec une clé principale (symétrique) 'Pourquoi la clé principale devrait-elle être symétrique?C'est exactement ce à quoi la clé publique serait utilisée.
Cette réponse suppose que vous savez déjà quel (s) processus effectue le cryptage ... ce qui, maintenant que je vérifie la question ... est une hypothèse valide. Cependant, la plupart des ransomwares, je pense, sont suffisamment intelligents pour utiliser <10% du processeur ou ne deviennent actifs que lorsqu'ils détectent que l'ordinateur n'est pas utilisé.Donc, trouver ces types de processus de rançongiciel «plus intelligents» peut prendre un temps considérable à un utilisateur expert de 0,5 à 3 heures (peut-être plus) ... ce qui peut permettre au processus de se terminer et de rendre la rançon valide.
@Luc Le chiffrement par clé publique est lent, mais les données ne sont pas chiffrées avec elle - il est uniquement utilisé pour protéger la clé de session pour un algorithme symétrique tel qu'AES.Une fois la clé de session déchiffrée, le chiffrement se déroule rapidement.
J.J
2016-04-17 20:38:12 UTC
view on stackexchange narkive permalink

Ransom-ware (ou tout autre logiciel de cryptage d'ailleurs) ne cryptera pas le fichier sur place, car la taille du fichier crypté ne correspondra pas à la taille du fichier non crypté bit par bit (à moins que ce ne soit juste un xor shuffle, auquel cas ce n'est pas vraiment du cryptage). Plus important encore, un avortement spontané du processus de cryptage (en raison d'un arrêt, d'un manque de batterie, etc.) créerait un fichier corrompu qui ne peut pas être rançonné. Au lieu de cela, ces programmes créent toujours un nouveau fichier chiffré à partir de l'ancien, puis suppriment l'ancien. En fait, la plupart des programmes de rançon ont des vérifications pour redémarrer les gros fichiers à moitié cryptés en raison d'un arrêt / redémarrage.

Donc, si vous découvrez votre cryptage à mi-chemin, vous éteignez votre ordinateur - dès que possible - et monter le disque dur sur une machine non affectée pour la sauvegarde.

Quant à savoir si je paie ou non la rançon - je n'en ai aucune idée. Cela dépend de la taille de la rançon et de la nature de ce qui se trouve sur mon disque dur à ce moment-là. Puisque je gagne environ 2,50 $ de l'heure et que mon disque dur contient principalement des données scientifiques accessibles au public, la réponse est très probablement non.

MODIFIER:

Hibernation , comme recommandé par l'autre auteur, est hypothétiquement supérieur à la mise hors tension de l'ordinateur de plusieurs manières. Cependant, en pratique, l'hibernation peut ne pas fonctionner. N'importe quel processus peut indiquer au système qu'il est occupé et ne peut pas être arrêté pour le moment - même une vidéo YouTube d'un chat jouant du piano peut le faire. Cela est vrai pour OSX, Windows et Linux (selon la façon dont vous hibernez pour Linux). La seule solution dans ces cas où le processus refuse de suspendre est de tuer le processus - ce qui signifie pas de vidage de la mémoire. Donc, personnellement, je préfère arrêter ce cryptage dès que possible en retirant l'accord d'alimentation, car s'il y a une chose que je peux garantir, c'est que le ransomware remettra sa clé en mémoire la prochaine fois que le système démarrera, parce que je ne l'ai pas laissé finir le travail.

Je ne savais certainement * pas * pour la première partie!C'est assez intéressant.Pourquoi la taille des fichiers cryptés n'est-elle pas le même nombre d'octets que les originaux?Je ne vois aucune raison fondamentale à cela ...
"(sauf si c'est juste un xor shuffle, ce qui n'est pas vraiment un cryptage).- xor avec quoi?AIUI, la plupart des chiffrements de flux peuvent être décrits comme un "xor shuffle", la partie cryptographique étant la manière dont le flux de bits avec lequel le texte chiffré est xor est généré.
@Mehrdad: Alignement de la taille des blocs, et comme je me souviens, la plupart de ces programmes génèrent une clé unique pour chaque fichier affecté, qui devrait être ajoutée aux données cryptées.
Random832 - une analyse de la rançon précoce (2013) a montré que leurs auteurs essayaient manifestement de «chiffrer» autant de données de l'utilisateur que possible en ne faisant pas un cryptage long et intensif en CPU, mais en mélangeant simplement des bits dans un fichier dansun modèle connu - parfois en utilisant une clé, parfois simplement codée en dur.Ces scripts ont été presque immédiatement rendus inutiles lorsque les analyseurs de sécurité ont mis la main sur eux et les ont laissés crypter des fichiers avec des données connues, car le modèle était facile à voir et donc un logiciel pouvait être développé pour l'inverser.Maintenant, ils font tous un cryptage «approprié».
Que faites-vous qui paie 2,50 $ / heure?
Payer la rançon peut également vous exposer à une exploitation plus criminelle.Ransom-ware n'utilisera pas de canaux de paiement fiables.Ils exigeront souvent un paiement en Bitcoin, une monnaie que la plupart des gens respectueux des lois voudront éviter comme la peste.
@user1717828 D'après les sons du dernier paragraphe, je dirais un stagiaire scientifique, peut-être dans une université
@user1717828 Je vis en Inde, et ici, un tel salaire serait normal pour une personne instruite de la classe moyenne.J. J vit probablement dans un pays dont la devise est le dollar.Mais, juste en disant.
@cat Je suis doctorant dans un institut Max Planck en Allemagne.Ils me paient 1300 $ par mois, et la règle tacite est qu'en échange je travaille toutes les heures d'éveil.Les week-ends, jours fériés, etc., il coûte donc en moyenne environ 2,50 $.Ce n'est pas une très bonne affaire (et le loyer est de 700 $ par mois) donc oui, ma rançon serait mesurée en morceaux de chewing-gum, de peluches et de ficelle lâche.chez Fiksdal - ils me paient en euros, je suis trop paresseux pour trouver un symbole de l'euro: P
@J.J aucun des chiffrements que je connaisse n'augmente la taille des données.Dans chacun d'eux, l'entrée et la sortie ont exactement la même taille (qui est également la taille du bloc).
@ ŁukaszNiemier: Il suffit de vérifier 7zip sur de petits fichiers à vérifier.whooops.cela a rendu mon fichier texte de 3 Ko devenant 50 Ko sous forme de fichier zip.Cela ne me semble pas égal quand on pense à archiving, c'est la même chose en ce qui concerne les cyphers.
@Zaibis, donc vous avez utilisé la compression puis le cryptage.Vérifiez la différence de taille entre le fichier zip non crypté et le fichier crypté.Il ne devrait y en avoir aucune sauf s'il y a des métadonnées supplémentaires.Le cryptage pur ne devrait pas changer la taille du fichier, vous pouvez le vérifier avec `gpg`.
Lorsque vous dites "supprimer l'ancien", je suppose que vous voulez dire qu'ils effacent les données réelles, pas seulement supprimer le fichier?Sinon, la récupération de fichiers pourrait être possible sur certaines des données.
@ ŁukaszNiemier: Non, mais c'était exactement ce que je voulais dire.Dans ce type de processus pof, il est assez juste de supposer que certaines métadonnées seront stockées également.
@JJ Je pense que certains de ces éléments pourraient être inclus dans la réponse: 1. Que faites-vous avec le lecteur après l'avoir monté sur un autre ordinateur?2. Créez-vous d'abord une image disque, puis travaillez-vous avec cette image?3. Exécutez-vous un logiciel tel que Filerec pour rechercher des fichiers qui peuvent avoir été supprimés de l'index mais pas écrasés?4. Y a-t-il une chance que le ransomware, toujours sur le lecteur, tente d'infecter la nouvelle machine?5. Y a-t-il intérêt à travailler à partir d'un système d'exploitation différent de celui de la machine infectée, afin de minimiser le risque de 4?Agissez-vous différemment dans le cas OP n ° 1 vs n ° 2?
Toutes les bonnes questions Fiksdal, mais je pense que cela sort du cadre du PO et devient alors une question très générale / basée sur l'opinion, car il y a tant à faire.Mais tout ce que vous suggérez serait un bon: D
Mais personnellement, je commencerais probablement par ouvrir un cd live de backtrack / kali linux et démarrer en mode forensic.
Sous Windows, vous pouvez annuler l'arrêt en émettant la commande via l'interface d'arrêt à distance.arrêt / m \\ 127.0.0.1 / h / f / t 0
Est-ce que cela met fin aux processus de blocage ou vider leur mémoire sur le disque?
@user1751825 Pourquoi les gens respectueux de la loi voudraient-ils éviter le bitcoin?Pensez-vous que l'achat de Humble Bundles avec des bitcoins fait de moi un criminel?
@user31389 Je pense qu'il / elle dit qu'il n'y a pas beaucoup de raisons pour que la plupart des gens l'utilisent pour une activité légitime, donc le seul effet de l'utiliser est d'avoir l'air suspect.
Dasya
2016-04-18 01:03:46 UTC
view on stackexchange narkive permalink

[ Note de modification: Cette réponse reçoit beaucoup d'indicateurs, mais ne mérite pas d'être supprimée. Il s'agit d'un plan d'action potentiellement valable, bien que risqué et potentiellement illégal dans certaines juridictions. D'un point de vue technique , cela a une chance d'être un moyen de préserver les données. Veuillez consulter Meta pour en savoir plus.]

La meilleure chose à faire est de ne rien faire. Faire quelque chose de stupide peut entraîner une perte ou une corruption de données. Laissez-le finir, puis contactez les personnes qui y figurent, payez la rançon et vous êtes prêt à partir. Nous sommes des professionnels et nous vous aiderons à récupérer vos fichiers.

Clause de non-responsabilité: Je suis un développeur de ransomware.

Vous ne pouvez pas sérieusement suggérer de «nous faire confiance» comme processus d'atténuation des risques ...
Oh, et bienvenue!Nous avons des tonnes de questions sur les ransomwares ici (comme vous pouvez l'imaginer) - nous aimerions avoir vos commentaires et votre point de vue.
Pour ceux qui ne pensent pas que ce soit une réponse, considérez ceci: ne rien faire * pourrait * être le meilleur moyen de garantir que les données ne soient pas corrompues (selon la manière dont le malware a été écrit).Cela semble être une suggestion parfaitement valable.
C'est certainement la meilleure solution pour l'auteur du ransomware, toute autre solution irait à l'encontre de vos intérêts.Cependant, il existe de nombreux ransomwares mal codés (et leurs outils de récupération) qui, par ex.aggraver les choses en chiffrant les fichiers deux fois ou même [rendre les fichiers irrécupérables] (http://www.bleepingcomputer.com/news/security/shoddy-programming-causes-new-ransomware-to-destroy-your-data/).
@ Ángel C'est très important.Certains ransomwares sont si mal écrits qu'ils ne parviennent pas à restaurer vos données, même si vous payez.
Cela suppose que vous traitez avec des auteurs de ransomwares compétents.Comment pouvez-vous distinguer un ransomware développé par des professionnels d'un chat qui ne peut même pas garder la clé secrète (http://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html)?Peut-être que l'industrie des ransomwares doit avoir une sorte de système de certification ...;)
-1 pour «_Nous sommes des professionnels_» et «bon pour aller» car ces phrases ne décrivent pas objectivement la situation.De plus, cette réponse ne résout pas le cas dans lequel une victime ne veut pas payer la rançon, auquel cas l'arrêt du logiciel malveillant le plus rapidement possible minimise la partie de ses données perdue.
Presque étouffé quand je lis "Nous sommes des professionnels".Vous êtes au mieux un expert, jamais un professionnel.
@StephenKing Un expert détient plus d'autorité qu'un professionnel.Si le ransomware est la _profession_ de cette personne, alors c'est un professionnel.Un cambrioleur professionnel est toujours un professionnel, mais il peut ou non être un cambrioleur _expert_.
Brent Kirkpatrick
2016-04-17 20:16:46 UTC
view on stackexchange narkive permalink

La deuxième question peut générer de nombreuses opinions comme réponses. Je vais me concentrer sur la première question. Que faites-vous pour arrêter un cryptage potentiel avec rançon en cours?

Étapes:

  1. Déconnectez immédiatement votre machine d'Internet. Utilisez une autre machine pour vos recherches sur Internet pour trouver des solutions.

  2. Arrêtez la machine affectée avec une mise hors tension à froid. N'attendez pas que la machine termine ses inspections logicielles normales de mise hors tension.

  3. Débranchez le disque dur de la machine.

  4. Installez un nouveau disque dur dans la machine et installez un nouveau système d'exploitation propre.

  5. Branchez le disque d'origine sur la carte mère afin que le nouveau système d'exploitation puisse accéder au disque .

  6. Mettez le nouveau système d'exploitation sous tension, accédez à l'ancien lecteur et effectuez une sauvegarde.

  7. Stockez la sauvegarde dans un emplacement physiquement sécurisé et distinct de l'original (en cas d'incendie, d'inondation, de tornade, etc.).

  8. Améliorez la sécurité de votre navigateur Web. Une grande partie du ransomeware est installé via un malware JavaScript.

Quant à la deuxième question: vous pouvez peut-être reconstruire certaines des données qui ont été cryptées. Les étapes suivantes peuvent être utiles, une fois les étapes ci-dessus terminées.

  1. Vérifiez les données sur le disque d'origine pour déterminer si des fichiers ont été correctement chiffrés. Notez quels fichiers ont été chiffrés. (Cet audit ne doit être effectué qu'à partir d'un système d'exploitation propre.)

  2. De la mémoire (puisqu'il n'y a pas de sauvegarde), essayez de vous rappeler le contenu des fichiers et leur importance ils le sont.

  3. Maintenant, en vous concentrant sur les fichiers les plus importants qui ont été chiffrés, voyez si les techniques de récupération de fichiers peuvent récupérer le fichier d'origine. Étant donné que le cryptage ne peut pas écraser sur place (pour de nombreuses raisons), le ransomware aurait accédé au fichier d'origine lors de la création de la version cryptée. Ensuite, il peut avoir supprimé le fichier d'origine avec des degrés de réussite variables. Contactez un expert en récupération de fichiers pour savoir si vos fichiers originaux non liés existent toujours sur votre disque.

N'oubliez pas de vous protéger à l'avenir. Faites des sauvegardes, gardez-les hors ligne et empêchez l'installation des ransomwares. Voir Comment les ransomwares pénètrent-ils sur les ordinateurs des gens?

"1. Débranchez immédiatement votre machine d'Internet ... 2. Arrêtez les machines concernées avec une mise hors tension à froid" - débrancher le réseau fait perdre du temps;pourquoi ne pas débrancher d'abord l'alimentation?
De plus, si je concevais un virus, il n'aurait certainement pas besoin d'une connexion Internet permanente pour fonctionner.
@TomášZato-ReinstateMonica c'est-à-dire pour l'empêcher de se propager à travers votre LAN
Tomáš Zato - Reinstate Monica
2016-04-18 17:12:06 UTC
view on stackexchange narkive permalink

Arrêtez l'ordinateur immédiatement. Si vous n'êtes pas sur le point de payer la rançon, toutes les données traitées par le virus sont perdues de toute façon. Donc, appuyez simplement sur le bouton d'alimentation et maintenez-le enfoncé, ou débranchez le câble.

Installez Ubuntu ou une autre distribution Linux portable sur votre clé USB. La dernière fois que j'ai fait cela, il était bien sur clé de 2 Go. Je clonais mon disque dur sur SSD avec le système de fichiers Windows. Montez votre système de fichiers en lecture seule.

Sauvegardez uniquement les données non exécutables. Je ne sais pas combien de virus infectent d'autres exécutables, mais si je devais créer un virus, il le ferait infectent également les archives Java JAR, les scripts de serveur PHP, les scripts de batch et de hachage et tout ce à quoi je pourrais penser. Tout programme capable d'exécuter des commandes système peut potentiellement contenir le virus et l'exécuter. Ce n'est pas probable, mais c'est possible. Vous pouvez par exemple encoder en base64 un fichier binaire dans un fichier bash ...

Vous aurez besoin d'un autre disque dur. Remplissez-le avec vos documents, photos ou code source. En ce qui concerne le point précédent que j'ai fait, vérifiez l'état du code source. Si vous utilisez le contrôle de code source, videz le code source. Le processus prendra du temps. Choisissez soigneusement uniquement ce dont vous avez besoin. Peut-être découvrirez-vous la part de votre disque dur occupée par des éléments dont vous ne vous souvenez même pas ou dont vous n’avez pas besoin.

Formatez le disque dur infecté. Linux ou insérez votre disque d’installation préféré et laissez le programme d’installation formater le disque dur.

Je ne recommande pas de sauvegarder le disque dur infecté. Vous pourriez être enclin à conserver une copie du disque dur infecté pour les documents que vous avez peut-être oubliés. C'est un piège, laissez-le aller . Vous trouverez de nombreux documents dans votre boîte de réception ou dans votre dossier envoyé.

Je ne suis pas d'accord et je recommande de garder une image du lecteur rançon juste au cas où [la crypto était de la merde et finissait par être fissurée] (http://superuser.com/a/1063700/483801).
Vous pouvez également sauvegarder des documents cryptés.Il n'y a aucune raison de sauvegarder des exécutables et d'autres éléments qui peuvent facilement être infectés.
Eh bien, mon exemple nécessitait en fait des données spécifiques du disque dur lui-même, prouvant que votre approche consistant à ne sauvegarder que les fichiers cryptés (mais pas le lecteur entier) n'est pas toujours suffisante.
Loren Pechtel
2016-04-17 23:30:51 UTC
view on stackexchange narkive permalink

En plus de l'approche de copie d'arrêt d'&, d'autres ont mentionné il y a un autre facteur: le ransomware veut cacher ce qui se passe jusqu'à ce qu'il soit terminé, c'est mal - donc les fichiers cryptés sont généralement toujours lisibles comme s'ils n'étaient pas cryptés jusqu'à ce qu'il prêt à exiger sa rançon.

Une fois que vous avez localisé les fichiers importants et chiffrés, remettez la machine en place et non sur Internet et essayez de les copier. Si cela fonctionne mais ne les obtient pas tous, remettez la sauvegarde sur le HD et récupérez-en plus.

atdre
2016-08-15 02:41:26 UTC
view on stackexchange narkive permalink

Triage de la situation (invoquez le principe de la connaissance de la situation)

  • Où est l'ordinateur maintenant? Au bureau? À la maison? À l'hotel? Sinon sur la route?
  • Quelles protections sont proposées ici? Si vous tirez sur le câble réseau ou désactivez le Wi-Fi, pouvez-vous déplacer l'ordinateur vers un environnement plus protégé? Pouvez-vous le déplacer vers le bureau? Si c'est le cas, coupez le réseau maintenant! AU PLUS VITE!! Cependant, ne fermez aucun programme - laissez-les tous ouverts dans l'état dans lequel ils se trouvaient. Ne fermez pas les onglets du navigateur. Ne fermez pas un document ou un e-mail suspect.
  • S'il est portable, apportez l'ordinateur au bureau. Vous demandez à votre équipe infosec ou à la direction informatique si des procédures sont en place pour gérer les ransomwares, tels que les capacités de réponse aux incidents Data Forensics. Vous découvrez s’ils disposent de plates-formes de sécurité qui empêchent les communications de logiciels malveillants, telles que des passerelles Web sécurisées ou des solutions de gestion unifiée des menaces.

Cycle de confinement (effectuez-les dans l’ordre du haut vers le bas)

  • Gardez l'ordinateur déconnecté de l'Internet mondial. Utilisez un autre ordinateur et des clés USB, si disponibles. S'il n'est pas disponible, découvrez ce que vous pouvez sur le ransomware. Recherchez les noms de processus, les extensions de fichier (par exemple, .zepto pour les fichiers qui se trouvent sur le bureau). Utilisez un ordinateur séparé pour rechercher le ransomware. Surtout visitez - https://www.nomoreransom.org
  • Gardez tous les programmes ouverts tels quels. N'arrêtez pas ou ne redémarrez pas encore. Si vous pouvez obtenir le programme d'installation de MalwareBytes à partir d'une autre machine sans réactiver le réseau, copiez le programme d'installation sur l'ordinateur, mais ne l'exécutez pas encore. Ne le laissez pas ou quoi que ce soit d'autre redémarrer l'ordinateur. MalwareBytes est pour Windows ou macOS - et vous devriez utiliser une version sous licence si vous êtes une entreprise. S'il s'agit d'une urgence, il peut être éthiquement acceptable d'acheter la licence plus tard - à la demande de votre direction informatique.
  • Considérez cela comme un incident. Documentez ce que vous avez trouvé à ce stade et ce que vous continuez à trouver. Un programme de Data Forensics and Incident Response (DFIR) plus mature aura quelques éléments de base en place. Vous voudrez peut-être commencer maintenant. Ils comprennent: 1) Un réseau gouffre (tel qu'un concentrateur isolé avec un serveur DHCP, mais les CSIRT avancés en auront un avec la possibilité de VPN directement), avec, à tout le moins, DNS RPZ ou des capacités de DNS Blackhole - tout au plus, peut-être une plate-forme complète ou trompeuse. 2) Peut-être que ce réseau isolé est votre plate-forme d'imagerie (par exemple, Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, anciennement Altiris ou Ghost) avec démarrage PXE capacités. Cela constituerait un excellent emplacement pour un Malware Management Framework (MMF), une capacité DFIR mature qui facilite ces scénarios. Si le MMF peut identifier manuellement ou automatiquement les processus, fichiers, entrées de registre et / ou autres artefacts suspects de ransomware, revenez en mode recherche.
  • (Facultatif) Activez tous les processus ou plates-formes DFIR. Un programme DFIR très mature aura quelques éléments avancés en place. Dans la continuité d'avant (et avec un peu de chance sur le même réseau isolé, bien que ces capacités soient également intéressantes dans les réseaux de production), celles-ci peuvent inclure: 3) Un environnement d'analyse médico-légale, en particulier un système médico-légal distribué, tel que Google Rapid Response. Un autre composant trouvé ici serait une capacité d'imagerie à distance basée sur le client, telle que NBDServer. La principale différence réside dans le fait que GRR est un système basé sur un agent et axé sur la collecte avec une interface Web, tandis que NBDServer est un moyen de connecter un poste de travail judiciaire Linux à un ordinateur Windows compromis. Vous voudrez peut-être les deux, mais GRR fonctionnera également avec macOS (consultez également osquery). 4) Outils médico-légaux qui saisissent des artefacts spécifiques pour les traiter sur les postes de travail médico-légaux. Mon préféré, et qui est inclus dans GRR, est pmem (c'est-à-dire winpmem, linpmem, osxpmem). Un référentiel récent permettant de les télécharger directement est disponible ici, et des mises à jour ultérieures peuvent être disponibles ici. Ouvrez un shell cmd.exe en cliquant avec le bouton droit sur Exécuter en tant qu'administrateur (ou dans le shell du terminal macOS / Linux avec les droits sudo / root), puis exécutez l'utilitaire pmem. Une fois que vous avez rassemblé la sortie, copiez les artefacts sur votre poste de travail d'investigation et analysez avec rekall et / ou le Volatility Framework (les deux sont bien connus dans la communauté DFIR). Il est agréable de rassembler un deuxième vidage de la mémoire en utilisant BelkaSoft RAM Capturer pour comparaison, qui installe un pilote Windows. Un autre favori est FTKImager (la version Lite est très bien), et j'aime commencer par l'extraction du fichier d'échange afin de pouvoir utiliser l'outil page_brute. Engagez n'importe quel artisanat DFIR de dernière minute.
  • Identifiez ce qui est connu comme bon et ce qui est connu comme mauvais. Faites confiance à votre MMF ici. Si vous n'en avez pas, configurez la version la plus rapide possible. Aussi - MalwareBytes fonctionne en voyant les choses en action. C'est pourquoi il est important de tout laisser tel qu'il était avant. Installez et exécutez MalwareBytes pour la première fois maintenant. Ne lui permettez pas de redémarrer l'ordinateur. Au lieu de fermer un onglet de navigateur, rechargez-le. Au lieu de faire défiler jusqu'à un autre e-mail dans votre Outlook, rouvrez le même document connu comme défectueux qui était peut-être la cause du ransomware. Vérifiez rapidement l'historique du navigateur et faites défiler le client de messagerie s'il est ouvert à la recherche d'autres événements (généralement dans les 10 minutes avant que l'utilisateur final pense que l'infection s'est produite) et actionnez ceux-ci s'ils semblent liés. N'oubliez pas que vous n'êtes pas sur Internet complet - juste un réseau qui répond aux requêtes DNS et les transmet à un service falsifié localement.

Cycle d'atténuation (supprimez le compromis par tous les moyens et assurez-vous qu'il ne reviendra pas. Restaurez la machine à un état de fonctionnement)

  • Hunker down. Vous n'avez pas redémarré, fermé de programmes, ou encore connecté à Internet mondial, non? Bien. Appelez le DFIR complet pour l'instant et fermez tous les programmes visibles. Vous avez exécuté MalwareBytes sur un faux réseau. J'espère que vous avez également rassemblé des artefacts de mémoire en cours d'exécution (y compris le fichier d'échange) avec tous les programmes ouverts. Vous pouvez même tuer les mauvais processus maintenant (si MalwareBytes ne l'a pas déjà fait). Reportez-vous à votre MMF pour déterminer les processus en bon état et à peu près tout tuer sauf ceux nécessaires pour maintenir le système d'exploitation en marche, sauf si cela a à voir avec ce que nous faisons ensuite: vérifier les sauvegardes locales ou distantes et le cliché instantané de volume Service (VSS).
  • Découvrez ce qui peut être restauré et ce qui ne peut pas l'être. Windows XP crée un point de restauration système toutes les 24 heures. Depuis Windows 7, cependant, il existe un mécanisme de cliché instantané de volume, qui crée également des fichiers de sauvegarde, etc. Toutes ces actions se produisent automatiquement sans aucune activité de l'utilisateur. Si vous le pouvez, clonez le lecteur entier. Si vous ne pouvez pas en raison d'un temps limité, d'un espace disque ou d'un autre tri, accédez aux capacités de sauvegarde intégrées du système d'exploitation. Supposons que Win7 ou supérieur pendant une seconde, et vous pouvez suivre ici, mais j'ai initialement eu les idées du livre Operating System Forensics (et il est également couvert dans Incident Response & Computer Forensics, Third Edition): 
  C: \ Windows \ system32> vssadmin list shadows [...] Contenu du jeu de clichés instantanés ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Contient 1 cliché instantané au moment de la création : 3/4/2012 5:06:01 PM ID cliché instantané: {670353fe-16ff-4739-ad5e-12b1c09aff00} Volume d'origine: (C:) \\? \ Volume {33faab95-9bc6-11df-9987-806e6f6e6963} \ Volume de cliché instantané: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy27 Machine d'origine: funhouse Machine de service: funhouse Fournisseur: 'Microsoft Software Shadow Copy provider 1.0' Type: ClientAccessibleWriters Attributs: Persistent, Client-accessible, No auto release, Differential, Auto récupéré

mklink / D c: \ vss \\? \ GLOBALROOT \ D evice \ HarddiskVolumeShadowCopy27 et vous pouvez cd \ vss et dir pour voir si les fichiers qui avaient l'extension de fichier ransomware (c'est-à-dire les fichiers ou répertoires qui ont été cryptés ) sont disponibles dans un état non chiffré en le parcourant en tant que chemin racine. Vous pouvez ensuite rmdir \ vss lorsque vous avez terminé, en essayant une autre itération HarddiskVolumeShadowCopy à votre guise. Harlan Carvey et le Wiki Forensics ont également détaillé ces méthodes.

  • Assurez-vous d'avoir collecté toutes les informations dont vous avez besoin avant de redémarrer. Une fois MalwareBytes installé, il va vouloir redémarrer. Cependant, vous souhaiterez peut-être installer quelques autres packages avant de redémarrer. Si vous avez eu un problème avec la restauration du système ou la restauration VSS de fichiers, consultez le Arsenal Recon Image Mounter (il est particulièrement important d'essayer ceci car le ransomware peut en fait attaquer les points de restauration et VSS lui-même, les désactiver). Une autre bonne chose à faire avant de redémarrer est d'effectuer une opération de clonage d'invité de machine virtuelle P2V, généralement avec VMware vCenter Converter. Étant donné que vous vous reconnecterez probablement à Internet après le redémarrage, assurez-vous également de pouvoir mettre à jour les correctifs au niveau du système d'exploitation et au niveau de l'application. Si vous n’avez rien d’autre, vous pouvez essayer l’essai gratuit de Corporate Software Inspector de Flexera (anciennement Secunia). Un autre favori est le programme Microsoft Baseline Security Analyzer (MBSA). Vérifiez quelques paramètres tels que le pare-feu Windows ou la section Sécurité macOS & Confidentialité des Préférences Système. Si vous souhaitez voir une grande liste de paramètres de sécurité, assurez-vous de consulter l'outil gratuit, Airlock, de Lunarline (NB, il ne fonctionne qu'avec les versions 7, 8 et 8.1 du système d'exploitation Windows et fonctionnera n'appliquez les paramètres de sécurité qu'aux versions 8, 9 et 10 d'Internet Explorer - mais cet outil est fantastique du point de vue de la configuration sécurisée). Assurez-vous que les partages réseau ne seront pas attachés / remappés au redémarrage de l'ordinateur. Vous pouvez les vérifier dans Windows et dans macOS.
  • Restaurer; Restaurer; Restaurer. La dernière chose à faire avant le redémarrage est de vérifier les AutoRuns. Pour Windows, cela signifie exécuter Autoruns (encore une fois, essayez de l'obtenir via USB ou réseau de laboratoire / de récupération au lieu de l'Internet mondial). Essayez de revoir chaque élément avec un expert. Sous macOS, pour passer en revue les éléments qui s'exécuteront au démarrage, accédez aux Préférences Système, aux Groupes Utilisateurs & et aux éléments de connexion. Restaurez en redémarrant et en faisant attention à MalwareBytes s'il vous y invite. Restaurez en exécutant à nouveau MalwareBytes. Restaurez en obtenant l'approbation pour vous reconnecter à Internet mondial. Mettez à jour MalwareBytes. Exécutez à nouveau MalwareBytes. Mettez à jour votre système d'exploitation et exécutez tous les programmes de mise à jour intégrés ou tiers au niveau du système d'exploitation et des applications. Restaurez en laissant les mises à jour se terminer et redémarrez si elles vous le demandent. Vous pouvez désormais copier en toute sécurité les fichiers que vous avez restaurés à partir de la sauvegarde et écraser les fichiers chiffrés. Assurez-vous que vous avez restauré tous les services / données dans l'état où ils se trouvaient avant l'incident.
  • Utilisez l'ordinateur. Est-ce que ça va? Est-ce que tout est revenu à la normale? Vous pouvez supprimer des processus ou arrêter des services que vous jugez toujours effrayants. Si des fichiers manquaient ou ne pouvaient pas être localisés à partir des sauvegardes, quel est le prochain recours? Ma suggestion est de copier tous les fichiers encore cryptés sur un stockage hors ligne, tel qu'une clé USB. Peut-être que plus tard, un utilitaire de récupération sera créé pour les fichiers de ransomware. L'ordinateur agit-il comme s'il contenait encore des logiciels malveillants (pas seulement des ransomwares)? Si tel est le cas, mettez-le en quarantaine et intensifiez les recherches, l'expertise et les capacités DFIR.
  • Soyez prêt à utiliser un autre ordinateur même si cela semble correct. Soyez prêt à remettre votre ordinateur à un expert. Soyez prêt à lui permettre de rester en quarantaine plus longtemps. Soyez conscient et préparez-vous qu'au cours de la prochaine et dernière phase, vous ne pourrez plus jamais revoir cet ordinateur en particulier.

Cycle d'éradication (acquérir une compréhension de la situation, un examen après action)

  • Découvrez comment le ransomware a été exécuté ou installé. Vérifiez et enregistrez ce qui s'est passé vous avez documenté, etc. Stockez les informations et travaillez-les avec un système plus formel, tel que Raquet, nightHawkResponse, SOF-ELK , malcom, malcontrol ou MISP. Utilisez n'importe quel système SIEM ou de billetterie officiel pour suivre ce problème ou rechercher des problèmes passés connexes, tels que MozDef. Cependant, allez vraiment au fond de la façon dont il a été installé ou exécuté - vous devez comprendre comment cela fonctionne. Si vous ne pouvez pas le faire manuellement, utilisez au moins une analyse automatisée des logiciels malveillants (AMA). Si votre UTM au bureau est Palo Alto Networks et que votre entreprise a une licence pour WildFire, alors vous avez déjà AMA. Les autres plates-formes AMA commerciales incluent: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense ou ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID et Fortinet. Je les ai identifiés ici afin que vous puissiez demander à vos équipes InfoSec ou IT-leaders s'il en existe une afin qu'elles puissent aller voir ce qu'elle a trouvé. Si rien, alors peut-être appeler le fournisseur et lui demander pourquoi?
  • Extrayez les fonctionnalités et le comportement du ransomware pour la corrélation. Comparez les hachages et d'autres indicateurs de compromission (IoC) avec des valeurs connues de mauvaise qualité plus en profondeur que ce qui s'est produit. loin. Si l'infection par le ransomware provenait d'une macro malveillante dans un document Office (ou même directement à partir d'un courrier électronique), extrayez les macros VBA à l'aide des outils Didier Stevens: emldump et oledump. Pour le comportement complet d'un exécutable que vous avez trouvé dans vos analyses médico-légales de la mémoire, Cuckoo Sandbox dans ses nombreuses, nombreuses itérations (y compris la soumission en ligne service, Malwr, sur lequel il est basé) est l'outil incontournable (même pour les binaires macOS!). À l'instar de Malwr, on retrouve Payload Security, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack et Vicheck, tous extraits de livres qui couvrent des captures d'écran et des techniques d'analyse approfondie avec des titres tels que: Advanced Malware Analysis, ainsi que: Windows Malware Analysis Essentials. Pour un outil commercial bon marché, consultez JoeSecurity, un site qui contient de nombreuses références utiles sur AMA sur leur blog. Si le ransomware a établi des connexions réseau (ou toute autre communication malveillante a été détectée sur l'ordinateur), découvrez où ils allaient et pourquoi.
  • Connaissez votre ennemi et réagissez en conséquence. Vous n'avez pas besoin d'être (ou d'affecter ou d'embaucher) un expert DFIR ou Threat Intelligence pour gratter la surface de votre attaque de ransomware (même si cela aide). Cependant, si vous savez que vous avez APT Ransomware au lieu d'un ransomware à motivation criminelle, alors vous avez un type particulier de problème. Peut-être que le ransomware a été livré sur le réseau local, par exemple via un objet de stratégie de groupe Microsoft Active Directory (AD GPO). Si vous soupçonnez que les attaques sont ciblées (par exemple, seuls les ordinateurs de votre cadre ont un ransomware, ou seulement des personnes de haut niveau), vous devez vraiment demander à quelqu'un d'autre de noter vos devoirs à votre place. Si vous pensez pouvoir le faire vous-même, allez-y - ce site vous aidera dans votre quête - http://www.threathunting.net
  • Endiguer les dommages de manière proactive avant le prochain événement. S'il ne s'agissait que de votre ordinateur, envisagez de mettre à niveau votre système d'exploitation ou d'activer le plus haut niveau d'UAC possible (ou les deux). Vérifiez les paramètres du panneau de configuration de Windows Update. Si vous êtes un professionnel de l'informatique ou d'InfoSec aidant les autres avec les ransomwares, il est temps de revoir deux politiques: 1) Votre politique de non-administration, c'est-à-dire que les utilisateurs finaux réguliers ne doivent pas avoir un accès administrateur, et 2) Votre politique de liste blanche d'application. Il existe quelques astuces pour la liste blanche d'applications que vous devez connaître, en particulier pour Windows. Lisez cette présentation de diapositives, en particulier en commençant par la diapositive 15 - http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - et notez que les dix prochaines diapositives (15-25) vous éviteront d'obtenir un ransomware gratuitement, à peu près définitivement. Cependant, je vous suggère fortement de lire les diapositives 29 à 37 pour comprendre que vous devez installer PowerShell v5 sur chaque ordinateur de l'utilisateur final avec la stratégie de liste blanche d'applications AppLocker. Ce n'est pas une tâche facile, mais si vous êtes intéressé, veuillez demander dans les commentaires et je vais y répondre ou mettre à jour ma réponse ici.
  • Mettre à jour; Mise à jour; Mettre à jour. Mettez à jour tous les systèmes d'exploitation non pris en charge sur votre réseau (ils réduisent vos options à moyen terme et vos capacités défensives, y compris la posture). Mettez à jour vers un système d'exploitation plus récent. Exécutez les mises à jour de votre système d'exploitation. Mettez à jour vos applications. Mettez à jour vos plugins. Mettez à jour votre suite Office. Si vous pouvez mettre à jour vers Office 2016, vous pouvez utiliser un simple objet de stratégie de groupe AD (similaire à celui d'AppLocker décrit directement ci-dessus) pour empêcher les macros de s'exécuter dans les fichiers Office à partir d'Internet.
  • Assurez-vous de rester à jour. Ne permettez pas de refuser facilement la mise à jour (d'où la politique d'interdiction d'administrateur). Poussez un objet de stratégie de groupe pour modifier la stratégie de l'ordinateur local - Configuration ordinateur - Modèles d'administration - Composants Windows - Éléments Windows Update. Par exemple, modifiez Réinviter à redémarrer avec les installations planifiées sur Activer avec 1440 (24 heures) après avoir défini Pas de redémarrage automatique avec les utilisateurs connectés pour les installations de mises à jour automatiques planifiées sur Activée. Terminez avec Autoriser l'installation immédiate des mises à jour automatiques sur Activé également. Informez tous les utilisateurs finaux par le biais d'une politique écrite ainsi que par l'orientation des employés ou des sous-traitants que l'entreprise supposera que si votre ordinateur est allumé, l'entreprise peut leur demander de redémarrer au moins tous les deux jours. C'est une politique juste. Certains utilisateurs, en particulier les travailleurs CAO, préfèrent laisser leurs ordinateurs allumés pendant plusieurs jours ou semaines à la fois (voire des mois!). Assurez-vous d'avoir un processus d'exception approprié pour ces utilisateurs finaux, mais assurez-vous également qu'ils reçoivent des correctifs pour une politique d'exception convenue avec des contrôles supplémentaires ou de compensation convenus. La plupart ne le feront pas, alors ne les laissez pas! Les ordinateurs Apple peuvent avoir un cronjob au niveau racine qui exécute softwareupdate -i -a quotidiennement. Vous vous souvenez du réseau de démarrage PXE utilisé dans le cycle de confinement? Assurez-vous que les images d'installation de base sont mises à jour conformément à ces mêmes politiques (c'est-à-dire tous les deux jours), de préférence par automatisation. Pendant que vous y êtes, assurez-vous de mettre à jour tout autre logiciel local (via Corporate Software Inspector ou similaire), et en particulier: les mises à jour des logiciels antivirus ou des agents. Vous avez peut-être (j'ai certainement) entendu parler d'histoires selon lesquelles un nouvel employé ou un sous-traitant reçoit un ordinateur portable nouvellement imaginé et reçoit des logiciels malveillants ou des ransomwares dès le premier jour de travail! Empêchez ces scénarios de se produire en gardant vos images de base à jour également - et cela fonctionne très bien avec le système MMF que vous avez construit sur ce même réseau isolé! Gardez ces bons hachages à jour! C'est également un bon endroit pour commencer à suivre l'inventaire des actifs pour tous les utilisateurs et éléments qui composent votre entreprise.
  • Affûtez la scie. Votre équipe InfoSec et / ou votre direction informatique doivent savoir ce qu'ils font vraiment mal ici, car les ransomwares sont activement dans leur environnement. Il y a tellement d'options gratuites (ou déjà payantes) qu'ils peuvent avoir. Celui que je viens de traverser s'appelle Microsoft RAP de leurs services Proactive Premier. Si les vecteurs proviennent de macros, corrigez ce problème; USB, celui-là; APT, eh bien - faites de votre mieux pour chaque problème (pas le symptôme) que vous pouvez. Le diaporama que j'ai cité dans la section Proactive Stem contient de nombreuses idées gratuites et immédiates pour des choses que l'on peut mettre en œuvre au niveau du réseau, pour la diffusion en continu de journaux, pour la gestion du système ou au niveau de l'organisation. Voir également ce document - https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf - c'est là que j'ai trouvé bon nombre de ces idées.
http://ransomwareprevention.com/ransomware-notes/
Mars
2016-08-15 08:39:56 UTC
view on stackexchange narkive permalink

REMARQUE: Comme la «meilleure réponse» semble être plus orientée vers les utilisateurs avancés (même au niveau des équipes de réponse aux incidents), cela sera facilement faisable pour tout utilisateur ayant des connaissances sur Linux et CD en direct.

.

.

Au risque de paraître ignorant, je répondrai en une seule ligne:

Éteignez le PC et démarrez Live Linux CD.

DÉTAIL:

S'il s'agit d'un système d'exploitation Windows, mettez le système et démarrez un Linux Live CD. Sauvegardez vos données, puis clonez la sauvegarde. Gardez l'un en sécurité et essayez d'exécuter l'autre sous un système d'exploitation propre.

Si c'est Linux, le ransomeware est conçu pour fonctionner sous Linux, donc le même processus de sauvegarde, mais exécutez-le simplement sous un système d'exploitation différent (c.-à-d. * BSD, Windows, Android -conçu sur Linux mais très différent selon mon expérience-).

Bien sûr, comme l'a dit le développeur du ransomeware, autant le laisser finir. Si vous arrêtez en cours de processus, vous ne récupérerez probablement jamais ce qui a déjà été chiffré. Vous n'aurez pas d'identifiant pour contacter les développeurs, et ils n'ont probablement pas encore reçu votre clé de cryptage. Vous pouvez éventuellement combiner les deux. Utilisez ce que j'ai dit plus tôt, puis redémarrez simplement le système infecté et laissez-le finir.

Declaimer: Je suis une pomme de terre humaine; c'est-à-dire PAS un développeur de quoi que ce soit

CoffeDeveloper
2016-04-21 13:47:55 UTC
view on stackexchange narkive permalink

Les ransomwares se répandent simplement parce que les gens les paient, les questions et réponses aident à donner aux ransomwares une réputation susceptible de faire payer les gens. Il est préférable d'investir de l'argent dans un bon antivirus que de devoir payer plus tard pour récupérer vos données.

Si l'interruption du processus au milieu peut être nuisible (parce que les développeurs voulaient que vous n'essayiez pas d'arrêter le chiffrement ), rien n'empêche une interruption anormale avec perte de données associée (maintien du bouton RESET pendant quelques secondes, écran bleu provoqué par un pilote bogué ...). En général, les données chiffrées ne tolèrent plus les petites erreurs de bits uniques (un mauvais bit ne fait aucune différence dans un fichier texte, mais un mauvais bit dans les données chiffrées entraîne la perte de toutes les données)

Aussi le Les développeurs de ransomwares devraient en fait vous payer une petite fraction du prix de votre disque dur, car de nombreuses opérations d'E / S réduisent en fait la durée de vie de votre disque dur.

Autre point important, il suffit de réinitialiser le mot de passe de vos comptes , mais ne saisissez pas encore le code de réactivation . Les dommages de Ransomware peuvent être limités si certaines données sont hébergées sur des services cloud ou sur un type de serveur, cela signifie que si le logiciel malveillant accède à vos informations d'identification / sessions, il peut accéder aux données stockées en toute sécurité, augmentant ainsi les dommages. La réinitialisation des mots de passe bloquera tout accès à vos comptes (à condition que votre smartphone ne soit pas infecté et que le code de réactivation ne soit pas intercepté).

De nombreux services Web qui fournissent une connexion unique permettent également de gérer l'accès aux appareils et d'en faire certains action en cas d'informations d'identification volées (ou d'informations d'identification volées supposées).

C'est comme l'un des problèmes mathématiques de la théorie des jeux, allez-vous payer pour obtenir un petit avantage immédiatement (récupération de vos données), ou allez-vous ignorer simplement le Ransomware le laissant cesser ses activités en faisant le "bien" à long terme pour tous?

Votre premier point est que poser des questions sur les ransomwares et y répondre, profite en fait aux créateurs de ransomwares en faisant payer plus de gens?Par quel type de corrélation cela pourrait-il être soutenu? Je suis d'accord avec votre deuxième point.Nous devrions changer les mots de passe des comptes de stockage en nuage, au cas où le ransomware les aurait volés.Votre dernier point semble être qu'il est immoral de payer la rançon, car cela finance des activités criminelles.Je suis en partie d'accord avec cela.Mais si les données étaient, par exemple, des données médicales urgentes qui sauveraient la vie de quelqu'un, je paierais probablement.
Merci pour cet engagement, oui je ne paierais pas quelqu'un qui n'a pas la réputation de restaurer mes données.Je suggère qu'il pourrait y avoir une corrélation avec les questions et réponses avec la réputation de Ramsomware.Pas de réputation = pas d'argent, comment peut-on être sûr que les données seront restituées et qu'il n'y aura plus de deuxième infection Ramson?Il n'y a ni promesse ni garantie, juste une réputation.(D'ailleurs j'ai vraiment aimé votre commentaire, cela rend clair mon point de vue) Quoi qu'il en soit, les données médicales critiques ne sont pas censées être sauvegardées régulièrement?
Sur la réputation: les auteurs de ransomware sont des escrocs connus, mais vous pouvez enquêter sur le ransomware exact en question pour voir s'ils sont connus pour restaurer les données.En ce qui concerne l'infection répétée, il vous suffit de prendre les données dont vous avez besoin, puis de formater votre disque dur.Vous devrez en effet analyser très soigneusement vos fichiers récupérés pour d'éventuelles infections.Mon argument concernant les données médicales était simplement hypothétique pour illustrer un cas dans lequel les données sont incroyablement importantes.Quant à votre idée de la corrélation Q&R, je ne comprends toujours pas ce que vous voulez dire.
Btw, je détesterais aussi payer une rançon, et j'essaierais de l'éviter à tout prix.Heureusement, je n'ai jamais été dans cette situation.
Le fait que vous prétendez qu'ils sont des «escrocs connus» montre exactement mon point de vue, comment le savons-nous?c'est juste une question de réputation (mauvaise ou bonne).Les virus et les malwares les plus efficaces sont ceux qui agissent également sur les mécanismes sociaux.Tant que les gens liront "Je dois payer, il n'y a pas d'autres solutions possibles", les gens paieront.Tant que les gens liront «Cela équivaut à une panne de disque dur», les gens feront simplement des sauvegardes plus régulières et il est moins susceptible de payer pour récupérer les données.
Vous n'avez aucune garantie absolue.Mais disons que certains des documents valaient des millions de dollars et que vous n'aviez aucune sauvegarde.Dans une telle situation, si j'avais recherché sur Google le type exact de ransomware en question et constaté qu'ils restaurent / déchiffrent généralement les données, je paierais.Je fais juste un exemple extrême pour illustrer un point.
En fait, ils ont une réputation, et c'est leur point fort.Les aider à se bâtir une réputation «gratuitement» est un travail non rémunéré pour moi.Un autre fait, supposons que Ramsomware ait commencé avec de très bonnes intentions, supposons que vous étiez le programmeur qui l'a créé en premier et que vous ayez demandé quelques dollars pour restaurer des choses valant des millions de dollars.Maintenant, vous êtes "bon".Mais c'est un jeu d'enfant de copier-coller le binaire une fois créé et de l'utiliser à des fins perverses.Dit une entreprise qui volait généralement des informations de carte de crédit a mis la main sur ce beau logiciel et demande beaucoup d'argent à tout le monde, même sur l'ordinateur des hôpitaux.
Laissez-nous [continuer cette discussion dans le chat] (http://chat.stackexchange.com/rooms/38680/discussion-between-fiksdal-and-dariooo).


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...