web-dev-qa-db-fra.com

Que devez-vous faire si vous détectez un rançongiciel de chiffrement en cours de fonctionnement?

Vous démarrez votre ordinateur un jour et en l'utilisant, vous remarquez que votre lecteur est inhabituellement occupé. Vous vérifiez le Moniteur système et remarquez qu'un processus inconnu utilise le CPU et lit et écrit beaucoup sur le lecteur. Vous effectuez immédiatement une recherche sur le Web pour le nom du processus et constatez qu'il s'agit du nom d'un programme de rançongiciel. Une nouvelle arrive également, vous expliquant comment un site de distribution de logiciels populaire a récemment été compromis et utilisé pour distribuer ce même ransomware. Vous avez récemment installé un programme à partir de ce site. De toute évidence, le ransomware est en train de faire son sale boulot.

Vous avez de grandes quantités de données importantes sur le disque interne et aucune sauvegarde. Il existe également une quantité importante de données non importantes sur le disque.

Le titre de cette question dit opération "mid", mais dans cet exemple nous n'avons pas encore étudié jusqu'où le ransomware aurait pu réellement aller dans son "travail".

On peut regarder deux situations:

  1. Vous souhaitez conserver autant de données que possible. Cependant, il n'est pas question de payer une rançon.

  2. Si possible sans risque, vous voulez savoir si les parties importantes de vos données sont réellement cryptées et écrasées. Vous souhaitez également essayer d'extraire autant de données que possible sans aggraver les choses. Vous détesteriez payer une rançon. Mais certaines parties des données sont si importantes pour vous que vous voudriez, en fin de compte, en dernier recours, toujours pouvoir payer pour avoir la chance de les récupérer plutôt que de risquer de les perdre .

Étape par étape, quelle est la chose idéale à faire dans les situations 1 et 2? Et pourquoi?

Remarque: Ceci est hypothétique. Cela ne m'est pas vraiment arrivé. Je garde toujours des sauvegardes hors site de mes données importantes et je n'ai jamais été affecté par un ransomware.

Mise en veille prolongée de l'ordinateur

Si le ransomware crypte les fichiers, la clé qu'il utilise pour le cryptage se trouve quelque part en mémoire. Il serait préférable d'obtenir un vidage de la mémoire, mais il est peu probable que vous disposiez du matériel approprié pour cela. Dump juste le bon processus devrait également fonctionner, mais découvrir lequel peut ne pas être trivial (par exemple, le code malveillant peut être exécuté à l'intérieur de Explorer.exe), et nous devons le vider maintenant.

La mise en veille prolongée de l’ordinateur est un moyen peu coûteux d’obtenir une image mémoire¹ Ensuite, elle peut être montée en lecture seule sur un ordinateur propre pour

a) Évaluation des dommages infligés par le ransomware

b) Récupération de fichiers non chiffrés²

c) Extraction judiciaire de la clé en mémoire à partir du processus malveillant, autre récupération avancée des fichiers, etc.

Notez qu'en lecture seule, je veux dire qu'aucune écriture n'est effectuée, pour des chances de récupération maximales. Se connecter normalement à un autre système Windows ne fournira pas cela.

Pour (c), vous auriez probablement besoin d'un soutien professionnel. Il peut être fourni gratuitement par votre fournisseur d'antivirus.

Même si vous n'arrivez pas à récupérer tous vos fichiers ou qu'on vous dit que c'est impossible ou trop cher, conservez le disque avec les fichiers cryptés. Ce qui est impossible aujourd'hui peut être moins cher, voire insignifiant en quelques mois.

Je vous recommande de simplement effectuer la nouvelle installation sur un autre disque (vous alliez réinstaller de toute façon, l'ordinateur était infecté, vous vous en souvenez?), Et de conserver l'infecté correctement étiqueté dans un tiroir.

-

Quant à la deuxième question, où vous voulez vraiment payer la rançon Je suis sûr que l'auteur du ransomware pourrait vous rendre vos fichiers même s'ils ne sont pas tous d'entre eux ont été cryptés. Mais si vous en avez vraiment besoin, vous pouvez démarrer à partir du disque en veille prolongée après l'avoir cloné , et le laisser terminer de crypter vos fichiers (désormais sauvegardés)…

¹ NB: si vous ne disposiez pas d'un fichier d'hibernation, cela peut écraser les versions en texte brut des fichiers désormais chiffrés qui auraient pu être récupérés (cependant pas pertinent pour les rançongiciels les plus récents).

² En supposant qu'ils ne soient pas infectés…

183
Ángel

Ce que je ferais:

  1. Suspendez le processus. Ne le tuez pas, arrêtez-le.
  2. Regardez dans l'arbre de processus s'il y a des parents qui pourraient également avoir besoin d'être suspendus.
  3. Tirez sur le câble réseau et/ou désactivez le WiFi (et si vous êtes paranoïaque, Bluetooth aussi).
  4. Vérifiez les fichiers ouverts par ces processus pour voir lequel il crypte actuellement. S'il est particulièrement important, vous pouvez copier le fichier dans son état actuel (pendant que le processus est suspendu), puis le laisser passer au fichier suivant, afin qu'il ne soit pas corrompu. Si le fichier suivant s'avère également important, eh bien, imaginez le modèle et copiez un fichier à l'avance ou commencez déjà à copier tous vos fichiers.
  5. Google comment effectuer un vidage de mémoire d'un processus sur ce système d'exploitation particulier, puis effectuer ce vidage de mémoire des processus pertinents. Heck, je pourrais vider toute la mémoire virtuelle de la machine.
  6. Fermez les autres programmes.
  7. Synchronisez le ou les disques afin qu'il n'y ait plus de cache d'écriture.
  8. Tirez le pouvoir. Si un ordinateur portable: retirez la batterie, puis coupez l'alimentation (s'il est branché).

Vous êtes maintenant dans une assez bonne position: l'alimentation est coupée, vous pouvez donc en noter plus et vous disposez de la clé de cryptage utilisée, plus le programme d'origine. Le problème est de trouver cette clé de chiffrement et la méthode de chiffrement, mais elle doit se trouver quelque part dans sa mémoire de processus: juste une question de temps. Appelez vos amis pirates pour faire de l'ingénierie inverse du programme, ou peut-être même une société antivirus: ils ont probablement beaucoup de clients avec le même ransomware et seraient très curieux d'obtenir un vidage de mémoire pour extraire la clé.

Le branchement du disque dur à un autre ordinateur permettra de récupérer tous les fichiers qui n'ont pas encore été chiffrés, sans trop de risques. N'exécutez simplement aucune macro Word ou n'ouvrez pas de fichiers .exe à partir du lecteur ou quelque chose.

Sommaire

Arrêtez le processus de rançongiciel afin que nous puissions en faire une copie et sa mémoire pour trouver la clé de cryptage plus tard. Éteignez ensuite le système et suivez le bon sens à partir de là. Méfiez-vous des fichiers corrompus importants (fichiers cryptés à mi-chemin), alors vérifiez celui sur lequel il travaillait actuellement après une pause.


En réponse aux commentaires

Ce commentaire a maintenant quelques votes positifs:

La "clé de chiffrement" n'aiderait pas dans de nombreux cas, au démarrage, le ransomware se connecte au serveur de commande et de contrôle et demande la création d'une nouvelle paire de chiffrement (publique et privée). Le serveur crée la paire, stocke le privé et envoie le public à la machine infectée. Ensuite, la machine infectée utilise la clé publique pour crypter les fichiers, et la seule façon de l'inverser est d'utiliser la clé privée, qui n'est jamais transférée à la machine victime jusqu'à ce qu'un paiement soit terminé. - Anton Banchev

C'est une préoccupation à laquelle j'ai pensé lors de la rédaction de l'article, mais que je n'ai pas encore abordée.

Personne ne chiffre jamais les données avec un chiffrement asymétrique (également connu sous le nom de chiffrement à clé publique). C'est juste trop lent, donc la cryptographie asymétrique n'est utilisée que dans les schémas cryptage hybride . Même les benchmarks comme celui intégré à openssl rapportent des mégaoctets par seconde pour AES et des opérations par seconde pour RSA. Pas comparable du tout. Le seul hit que j'ai pu trouver est cette réponse Stack Overflow avec une source qui n'a même pas divulgué leurs méthodes: le cryptage asymétrique est 1000 fois plus lent que le cryptage symétrique .

Ainsi, le cryptage utilisé pour chaque fichier est presque certainement un cryptage symétrique (comme AES), ce qui signifie que nous pouvons également le décrypter avec la même clé que celle avec laquelle il est crypté.

Mise à jour: il semble qu'au moins une des nombreuses variantes de ransomware utilise uniquement le cryptage à clé publique. Apparemment, il est juste assez rapide pour être utilisable, ou ils ne l'utiliseraient évidemment pas. Je suppose que vous feriez mieux d'espérer que vous n'avez pas cette variante? Fin de la mise à jour.

Je ne connais aucun ransomware qui fasse cela, mais la seule façon dont cela pourrait encore être un problème est lorsque chaque fichier a une clé de cryptage unique. Dans ce cas, seul le fichier actuel a pu être récupéré de la mémoire. Cela entraînerait cependant un problème de gestion des clés: chacune de ces clés devrait soit être transmise, soit stockée dans une base de données chiffrée avec une clé principale (symétrique). Dans ce dernier cas, vous pouvez également récupérer la clé principale de la mémoire, dans le premier cas, vous avez un problème. Mais ce n'est que de la spéculation de toute façon, je ne connais aucun ransomware qui le fasse.

78
Luc

Les logiciels de rançon (ou tout autre logiciel de cryptage d'ailleurs) ne crypteront pas le fichier en place, car la taille de fichier cryptée ne correspondra pas bit à bit à la taille de fichier non cryptée (sauf s'il s'agit simplement d'un mélange xor, auquel cas ce n'est pas vraiment chiffrement). Plus important encore, un avortement spontané du processus de cryptage (en raison d'un arrêt, d'un manque de batterie, etc.) créerait un fichier corrompu qui ne peut pas être rançonné. Au lieu de cela, ces programmes créent toujours un nouveau fichier crypté à partir de l'ancien, puis supprimez l'ancien. En fait, la plupart des programmes de rançon ont des contrôles pour redémarrer les gros fichiers à moitié cryptés en raison d'un arrêt/redémarrage.

Donc, si vous découvrez votre cryptage intermédiaire, vous éteignez votre ordinateur - dès que possible - et montez le disque dur sur une machine non affectée pour la sauvegarde.

Quant à savoir si je paie la rançon ou non, je n'en ai aucune idée. Cela dépend de la taille de la rançon et de la nature de ce qui se trouve sur mon disque dur à l'époque. Comme je gagne environ 2,50 $ l'heure et que mon disque dur contient principalement des données scientifiques accessibles au public, la réponse est très probablement non.

MODIFIER:

L'hibernation, comme recommandé par l'autre affiche, est hypothétiquement supérieure à la mise hors tension de l'ordinateur à bien des égards. Cependant, en pratique, l'hibernation peut ne pas fonctionner. Tout processus peut indiquer au système qu'il est occupé et ne peut pas être arrêté pour le moment - même une vidéo YouTube d'un chat jouant du piano peut le faire. Cela est vrai pour OSX, Windows et Linux (selon la façon dont vous hibernez pour Linux). La seule solution dans ces cas où le processus refuse de suspendre est de tuer le processus - ce qui signifie pas de vidage de la mémoire. Donc, personnellement, je préfère arrêter ce cryptage dès que possible en tirant sur la corde sensible, car s'il y a une chose que je peux garantir, c'est que le ransomware remettra sa clé en mémoire au prochain démarrage du système, parce que je ne l'ai pas laissé finir le travail.

56
J.J

[ Mod Note: Cette réponse reçoit beaucoup de drapeaux, mais ne mérite pas d'être supprimée. Il s'agit d'une potentiellement ligne de conduite valide, bien que risquée et potentiellement illégale dans certaines juridictions. D'un point de vue technique, cela a une chance d'être un moyen de préserver les données. Veuillez consulter Meta pour plus de détails.]

La meilleure chose à faire n'est rien. Faire quelque chose de stupide peut entraîner une perte de données ou une corruption. Laissez-le finir, puis contactez les personnes énumérées ici, payez la rançon et vous êtes prêt à partir. Nous sommes des professionnels et vous aiderons à récupérer vos fichiers.

Avertissement: Je suis un développeur de ransomware.

14
Dasya

La deuxième question peut générer beaucoup d'opinions comme réponses. Je vais me concentrer sur la première question. Que faites-vous pour arrêter un cryptage rançon potentiel en cours?

Pas:

  1. Débranchez immédiatement votre machine d'Internet. Utilisez une autre machine pour vos recherches de solutions sur Internet.

  2. Arrêtez la machine affectée avec une mise hors tension à froid. N'attendez pas que la machine termine ses inspections normales du logiciel de mise hors tension.

  3. Débranchez le disque dur de la machine.

  4. Installez un nouveau disque dur dans la machine et installez un nouveau système d'exploitation propre.

  5. Branchez le lecteur d'origine sur la carte mère afin que le nouveau système d'exploitation puisse accéder au lecteur.

  6. Mettez le nouveau système d'exploitation sous tension, accédez à l'ancien lecteur et effectuez une sauvegarde.

  7. Stockez la sauvegarde dans un endroit physiquement sécurisé, distinct de l'original (en cas d'incendie, d'inondation, de tornade, etc.).

  8. Améliorez la sécurité de votre navigateur Web. Une grande partie du ransomeware est installé via un malware JavaScript.

Quant à la deuxième question: vous pouvez peut-être reconstruire certaines des données qui ont été cryptées. Les étapes suivantes peuvent être utiles une fois les étapes ci-dessus terminées.

  1. Auditez les données sur le lecteur d'origine pour déterminer si des fichiers ont été correctement chiffrés. Notez quels fichiers ont été cryptés. (Cet audit ne doit être effectué qu'à partir d'un système d'exploitation propre.)

  2. De la mémoire (puisqu'il n'y a pas de sauvegarde), essayez de vous rappeler quel est le contenu des fichiers et quelle est leur importance.

  3. Maintenant, en se concentrant sur les fichiers les plus importants qui ont été chiffrés, voyez si les techniques de récupération de fichiers peuvent récupérer le fichier d'origine. Étant donné que le chiffrement ne peut pas remplacer en place (pour de nombreuses raisons), le ransomware aurait accédé au fichier d'origine lors de la création de la version chiffrée. Ensuite, il peut avoir supprimé le fichier d'origine avec plus ou moins de succès. Contactez un expert en récupération de fichiers pour savoir si vos fichiers d'origine non liés existent toujours sur votre disque.

N'oubliez pas de vous protéger à l'avenir. Effectuez des sauvegardes, gardez-les hors ligne et empêchez l'installation de ransomwares. Voir Comment les ransomwares arrivent-ils sur les ordinateurs des gens?

12
Brent Kirkpatrick

Arrêtez immédiatement l'ordinateur. Si vous n'êtes pas sur le point de payer la rançon, toutes les données que le virus traite sont perdues de toute façon. Il suffit donc d'appuyer sur le bouton d'alimentation et de le maintenir enfoncé, ou de débrancher le fil.

Installez Ubuntu ou une autre distribution Linux portable sur votre clé USB. La dernière fois que j'ai fait cela, il tenait sur une clé de 2 Go. Je clonais mon disque dur sur SSD avec le système de fichiers Windows. Montez votre système de fichiers en lecture seule.

Sauvegarde uniquement les données non exécutables. Je ne sais pas combien de virus infectent d'autres exécutables, mais si je créais un virus, il infecterait également Java archives JAR , PHP scripts serveur, scripts batch et de hachage et tout ce à quoi je pouvais penser. Tout programme capable d'exécuter des commandes système peut potentiellement contenir le virus et l'exécuter. Ce n'est pas probable, mais c'est possible Vous pouvez par exemple encoder en binaire base64 en fichier bash ...

Vous aurez besoin d'un autre disque dur. Remplissez-le avec vos documents, photos ou code source. En ce qui concerne le point précédent que j'ai fait, vérifiez l'état du code source. Si vous utilisez le contrôle de code source, videz le code source. Le processus prendra du temps. Choisissez soigneusement ce dont vous avez besoin. Vous découvrirez peut-être combien de votre espace disque dur était occupé par des éléments dont vous ne vous souvenez même pas ou dont vous n'avez pas besoin.

Formatez le disque dur infecté. Effectuez cette opération à partir du système de secours Linux ou insérez le disque d'installation de votre système d'exploitation préféré et laissez le programme d'installation formater le disque dur.

Je ne recommande pas de sauvegarder le disque dur infecté. Vous pourriez être enclin à conserver une copie du disque dur infecté pour le bien des documents que vous pourriez avoir oubliés. C'est un piège, juste laisse tomber. Vous trouverez de nombreux documents dans votre boîte mail ou dossier envoyé.

En plus de l'approche d'arrêt et de copie, d'autres ont mentionné qu'il y avait un autre facteur: le ransomware veut cacher ce qui se passe jusqu'à ce qu'il soit terminé, c'est mal - ainsi les fichiers cryptés sont généralement toujours lisibles comme s'ils n'étaient pas cryptés jusqu'à ce qu'il soit prêt à exiger c'est une rançon.

Une fois que vous avez localisé les fichiers importants et chiffrés, remontez la machine et non sur Internet et essayez de les copier. Si cela fonctionne mais ne les fait pas tous, remettez la sauvegarde sur le HD et récupérez-en plus.

8
Loren Pechtel

Triage de la situation (invoquer le principe de conscience de la situation)

  • Où est l'ordinateur maintenant? Au bureau? À la maison? À l'hotel? Sinon sur la route?
  • Quelles protections sont offertes ici? Si vous tirez sur le câble réseau ou désactivez le WiFi, pouvez-vous déplacer l'ordinateur vers un environnement plus protégé? Pouvez-vous le déplacer au bureau? Si oui, coupez le réseau maintenant! AU PLUS VITE!! Cependant, ne fermez aucun programme - laissez-les tous ouverts dans l'état où ils se trouvaient. Ne fermez pas les onglets du navigateur. Ne fermez pas un document ou un e-mail suspect.
  • Si portable, apportez l'ordinateur au bureau. Vous demandez à votre équipe infosec ou à votre responsable informatique si des procédures sont en place pour gérer les ransomwares, tels que les données Capacités de réponse aux incidents judiciaires. Vous saurez s'ils disposent de plates-formes de sécurité qui empêchent les communications de logiciels malveillants, telles que des passerelles Web sécurisées ou des solutions de gestion unifiée des menaces.

Cycle de confinement (effectuez-les dans l'ordre de haut en bas)

  • Gardez l'ordinateur non connecté à l'Internet mondial. Utilisez un autre ordinateur et des clés USB, si disponibles. S'il n'est pas disponible, découvrez ce que vous pouvez à propos du ransomware. Recherchez les noms de processus, les extensions de fichier (par exemple, . Zepto pour les fichiers qui se trouvent sur le bureau). Utilisez un ordinateur distinct pour effectuer une recherche sur le rançongiciel. Surtout visitez - https://www.nomoreransom.org
  • Gardez tous les programmes ouverts tels qu'ils étaient. N'arrêtez pas ou ne redémarrez pas encore. Si vous pouvez obtenir le programme d'installation MalwareBytes à partir d'une machine distincte sans rallumer le réseau, copiez le programme d'installation sur l'ordinateur, mais pas encore l'exécuter. Ne le laissez pas ou quoi que ce soit d'autre redémarrer l'ordinateur. MalwareBytes est pour Windows ou macOS - et vous devez utiliser une version sous licence si vous êtes une entreprise. S'il s'agit d'une urgence, il peut être éthiquement acceptable d'acheter la licence plus tard - l'appel de votre responsable informatique.
  • Cela fonctionne comme un incident. Documentez ce que vous avez trouvé à ce stade et ce que vous continuez à trouver. Un programme de criminalistique des données et de réponse aux incidents (DFIR) plus mature aura quelques éléments de base en place. Vous voudrez peut-être commencer maintenant. Ils comprennent: 1) Un réseau de gouffre (tel qu'un concentrateur isolé avec un serveur DHCP, mais les CSIRT avancés en auront un avec la capacité de VPN directement), avec, à tout le moins, DNS RPZ ou DNS Blackhole capacités - tout au plus, peut-être une plate-forme de système complet ou trompeuse. 2) Il se peut que ce réseau isolé soit votre plate-forme d'imagerie (par exemple, Microsoft SCCM, CloneZilla , FogProject , Symantec Client Management, anciennement Altiris ou Ghost) avec démarrage PXE capacités. Cela constituerait un emplacement idéal pour un Malware Management Framework (MMF), une capacité DFIR mature qui facilite ces scénarios. Si le MMF peut identifier manuellement ou automatiquement les processus, fichiers, entrées de registre et/ou autres artefacts suspects de ransomware, revenez en mode recherche.
  • (Facultatif) Activez tous les processus ou plates-formes DFIR. Un programme DFIR très mature aura quelques éléments avancés en place. Continuant d'avant (et, espérons-le, sur le même réseau isolé, bien que ces capacités soient également intéressantes dans les réseaux de production), celles-ci peuvent inclure: 3) Un environnement d'analyse médico-légale, en particulier un système médico-légal distribué, tel que Google Rapid Response . Un autre composant trouvé ici serait une capacité d'imagerie à distance basée sur le client, telle que NBDServer . La principale différence est que GRR est un système basé sur un agent et orienté collection avec une interface Web, tandis que NBDServer est un moyen de connecter un poste de travail médico-légal Linux à un ordinateur Windows compromis. Vous voudrez peut-être les deux, mais GRR fonctionnera également avec macOS (consultez également osquery ). 4) Outils médico-légaux qui saisissent des artefacts spécifiques pour le traitement sur les postes de travail médico-légaux. Mon préféré, et qui est inclus dans GRR, est pmem (c'est-à-dire, winpmem, linpmem, osxpmem). Un dépôt récent pour les télécharger directement est disponible ici , et il peut y avoir des mises à jour ultérieures ici . Ouvrez un shell cmd.exe en cliquant avec le bouton droit sur Exécuter en tant qu'administrateur (ou shell de terminal macOS/Linux avec Sudo/droits root), puis exécutez l'utilitaire pmem. Une fois que vous avez rassemblé la sortie, copiez les artefacts sur votre poste de travail médico-légal et analysez avec rekall et/ou Volatility Framework (les deux sont bien connus dans la communauté DFIR). Il est agréable de rassembler un deuxième vidage de mémoire en utilisant BelkaSoft RAM Capturer pour comparaison, ce qui installe un pilote Windows. Un autre favori est FTKImager (la version Lite est très bien), et j'aime commencer par l'extraction de fichiers de pagination afin de pouvoir utiliser l'outil page_brute . Engagez n'importe quel vaisseau DFIR de dernière minute.
  • Discernez ce qui est bien connu et ce qui est mal connu. Faites confiance à votre MMF ici. Si vous n'en avez pas, configurez la version la plus rapide possible. Aussi - MalwareBytes fonctionne en voyant les choses en action. C'est pourquoi il est important de tout laisser comme avant. Installez et exécutez MalwareBytes pour la première fois maintenant. Ne lui permettez pas de redémarrer l'ordinateur. Au lieu de fermer un onglet de navigateur, rechargez-le. Au lieu de faire défiler vers un autre e-mail dans votre Outlook, rouvrez le même document connu qui était peut-être la cause du ransomware. Vérifiez rapidement historique du navigateur et faites défiler le client de messagerie s'il est ouvert à la recherche d'autres événements (généralement dans les 10 minutes avant que l'utilisateur final pense que l'infection s'est produite) et agissez sur ceux-ci s'ils semblent liés. N'oubliez pas que vous n'êtes pas sur Internet complet - juste un réseau qui répond aux requêtes DNS et les transmet à un service truqué localement.

Cycle d'atténuation (supprimez le compromis par tous les moyens et assurez-vous qu'il ne reviendra pas. Remettez la machine en état de marche)

  • Hunker down. Vous n'avez pas redémarré, fermé aucun programme ou encore connecté à Internet mondial, non? Bien. Appelez le DFIR complet pour l'instant et fermez tous les programmes visibles. Vous avez exécuté MalwareBytes sur un faux réseau. Nous espérons que vous avez également rassemblé des artefacts de l'exécution de la mémoire (y compris le fichier d'échange) avec tous les programmes ouverts. Vous pouvez même tuer les mauvais processus maintenant (si MalwareBytes ne l'a pas déjà fait). Référez-vous à votre MMF pour déterminer les processus connus et tuez à peu près tout, sauf ceux nécessaires pour maintenir le système d'exploitation en marche, sauf si cela a à voir avec ce que nous sommes en train de faire: vérifier les sauvegardes locales ou distantes et le cliché instantané des volumes Service (VSS).
  • Découvrez ce qui peut être restauré et ce qui ne peut pas l'être. Windows XP crée un point de restauration du système toutes les 24 heures. Depuis Windows 7, cependant, il existe un mécanisme de cliché instantané des volumes, qui crée également des fichiers de sauvegarde et ainsi de suite. Toutes ces actions se produisent automatiquement sans aucune activité utilisateur. Si vous le pouvez, clonez l'intégralité du lecteur. Si vous ne le pouvez pas en raison du temps limité , l'espace disque ou tout autre triage, puis accédez aux capacités de sauvegarde du système d'exploitation intégrées. Supposons Win7 ou supérieur pendant une seconde, et vous pouvez suivre ici, mais j'ai d'abord eu les idées du livre Operating System Forensics (et c'est aussi couvert par Incident Response & Computer Forensics, Third Edition):
C:\Windows\system32> vssadmin list shadows
[...]
  Contents of shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88}
    Contained 1 shadow copies at creation time: 3/4/2012 5:06:01 PM
     Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00}
      Original Volume: (C:)\\?\Volume{33faab95-9bc6-11df-9987-806e6f6e6963}\
      Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27
      Originating Machine: funhouse
      Service Machine: funhouse
      Provider: ‘Microsoft Software Shadow Copy provider 1.0’
      Type: ClientAccessibleWriters
      Attributes: Persistent, Client-accessible, No auto release,
Differential, Auto recovered

mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27 et tu peux cd \vss et dir pour voir si les fichiers qui avaient l'extension de fichier ransomware (c'est-à-dire les fichiers ou répertoires qui ont été chiffrés) sont disponibles dans un état non chiffré en les parcourant en tant que chemin racine. Vous pouvez alors rmdir \vss une fois terminé, essayez une autre itération HarddiskVolumeShadowCopy à votre guise. Harlan Carvey et le Forensics Wiki ont également détaillé ces méthodes.

  • Assurez-vous d'avoir collecté toutes les informations dont vous avez besoin avant de redémarrer. Avec MalwareBytes installé, il va vouloir redémarrer. Cependant, vous voudrez peut-être installer quelques autres packages avant de redémarrer. Si vous avez eu un problème avec la restauration du système ou la restauration de fichiers VSS, consultez le Arsenal Recon Image Mounter (il est particulièrement important d'essayer cela car le ransomware peut en fait aller après les points de restauration et VSS lui-même, les désactiver). Une autre bonne chose à faire avant de redémarrer est d'effectuer une opération de clonage d'invité de machine virtuelle P2V , généralement avec VMware vCenter Converter . Étant donné que vous vous connecterez probablement à nouveau à Internet mondial après le redémarrage, assurez-vous également que vous pourrez mettre à jour les correctifs au niveau du système d'exploitation et de l'application. Vous voudrez peut-être consulter l'essai gratuit de Corporate Software Inspector de Flexera (anciennement Secunia) si vous n'avez rien d'autre. Un autre favori est le programme Microsoft Baseline Security Analyzer (MBSA). Vérifiez quelques paramètres tels que le Pare-feu Windows ou la section Sécurité et confidentialité de macOS des Préférences Système. Si vous voulez voir une grande liste de paramètres de sécurité, assurez-vous de consulter l'outil gratuit, Airlock , de Lunarline (NB, il ne fonctionne qu'avec les versions 7, 8 et 8.1 du système d'exploitation Windows et n'appliquez les paramètres de sécurité qu'aux versions 8, 9 et 10 d'Internet Explorer - mais cet outil est fantastique en termes de configuration sécurisée). Assurez-vous que les partages réseau ne seront pas attachés/remappés au redémarrage de l'ordinateur. Vous pouvez les vérifier dans Windows et macOS .
  • Restaurer; Restaurer; Restore. La dernière chose à faire avant de redémarrer est de vérifier les AutoRuns. Pour Windows, cela signifie exécuter Autoruns (encore une fois, essayez de l'obtenir via USB ou un laboratoire/réseau de récupération au lieu d'Internet mondial). Essayez d'examiner chaque élément avec un expert. Sous macOS, pour consulter les éléments qui s'exécuteront au démarrage, accédez aux Préférences Système, Utilisateurs et groupes et Éléments de connexion. Restaurez en redémarrant et en faisant attention à MalwareBytes s'il vous le demande. Restaurez en exécutant à nouveau MalwareBytes. Restaurez en obtenant l'approbation de vous reconnecter à Internet mondial. Mettez à jour MalwareBytes. Exécutez à nouveau MalwareBytes. Mettez à jour votre système d'exploitation et exécutez tous les programmes de mise à jour intégrés ou tiers au niveau du système d'exploitation et des applications. Restaurez en laissant les mises à jour terminées et redémarrez si elles vous y invitent. Il est désormais sûr de copier les fichiers que vous avez restaurés à partir de la sauvegarde et d'écraser les fichiers cryptés. Assurez-vous que vous avez restauré tous les services/données dans l'état où ils se trouvaient avant l'incident.
  • Utilisez l'ordinateur. Est-ce que ça va? Tout est-il revenu à la normale? Il est normal de tuer les processus ou d'arrêter les services que vous jugez toujours effrayants. Si des fichiers manquaient ou ne pouvaient pas être localisés à partir de sauvegardes, quel est le prochain recours? Ma suggestion est de copier tous les fichiers encore cryptés vers un stockage hors ligne, comme une clé USB. Peut-être que plus tard, un utilitaire de récupération sera construit pour les fichiers du rançongiciel. L'ordinateur agit-il comme s'il contenait encore des logiciels malveillants (pas seulement des ransomwares)? Si tel est le cas, mettez-le en quarantaine et intensifiez la recherche, l'expertise et les capacités DFIR.
  • Soyez prêt à utiliser un autre ordinateur, même si cela semble correct. Soyez prêt à remettre votre ordinateur à un expert. Soyez prêt à lui permettre de rester en quarantaine plus longtemps. Sachez et préparez-vous au cours de la prochaine et dernière phase, vous ne pourrez plus jamais revoir cet ordinateur en particulier.

Cycle d'éradication (acquérir une compréhension de la situation, un examen après action)

  • Découvrez comment le ransomware a été exécuté ou installé. Vérifiez et enregistrez ce qui s'est passé, ce que vous avez documenté, etc. Stockez les informations et travaillez-les avec un système plus formel, tel que Raquet , nightHawkResponse , SOF-ELK , malcom , malcontrol , ou MISP . Utilisez n'importe quel système SIEM ou de billetterie formel pour suivre ce problème ou rechercher des problèmes antérieurs connexes, tels que MozDef . Allez vraiment au fond de la façon dont il a été installé ou exécuté - vous devez comprendre comment cela fonctionne. Si vous ne pouvez pas le faire manuellement, utilisez au moins une analyse automatisée des logiciels malveillants (AMA). Si votre UTM au bureau est Palo Alto Networks et que votre entreprise possède une licence pour WildFire, alors vous avez déjà AMA. Les autres plates-formes AMA commerciales incluent: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense ou ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID et Fortinet. Je les ai identifiés ici afin que vous puissiez demander à vos équipes InfoSec ou chefs de file de la technologie informatique s'il en existe une afin qu'elles puissent aller voir ce qu'elles ont trouvé. Si rien, alors peut-être appeler le vendeur et demander pourquoi pas?
  • Extraire les fonctionnalités et le comportement du ransomware pour la corrélation. Comparer hachages et d'autres indicateurs de compromis (IoC) avec des valeurs connues-mauvaises plus en profondeur que ce qui s'est passé jusqu'à présent. Si l'infection par un rançongiciel provient d'une macro malveillante dans un document Office (ou même directement d'un e-mail), extrayez les macros VBA à l'aide des outils Didier Stevens : emldump et - oledump . Pour le comportement complet d'un exécutable que vous avez trouvé dans vos analyses médico-légales en mémoire, Cuckoo Sandbox dans ses beaucoup , beaucoup itérations (y compris la soumission en ligne) service, Malwr , qui le fonde) est l'outil incontournable (même pour macOS binaires!). Similaire à Malwr sont Sécurité de la charge utile , Comodo Camas , Comodo Valkyrie , MalwareViz , ThreatExpert =, ThreatTrack , et Vicheck , tous tirés de livres qui couvrent les captures d'écran et les techniques d'analyse approfondie avec des titres comme: Advanced Malware Analysis, ainsi que: Windows Malware Analysis Essentials. Pour un outil commercial bon marché, consultez JoeSecurity , un site qui contient de nombreuses références utiles sur AMA sur leur blog . Si le ransomware a établi des connexions réseau (ou si d'autres communications malveillantes ont été détectées sur l'ordinateur), découvrez où elles vont et pourquoi.
  • Connaissez votre ennemi et répondez en conséquence. Vous n'avez pas besoin d'être (ou d'affecter ou d'embaucher) un expert DFIR ou Threat Intelligence pour gratter la surface de votre attaque de ransomware (bien que cela aide). Cependant, si vous savez que vous avez APT Ransomware au lieu d'un ransomware à motivation criminelle, vous avez un problème particulier. Le rançongiciel a peut-être été fourni sur le réseau local, par exemple via un objet de stratégie de groupe Microsoft Active Directory (AD GPO). Si vous soupçonnez que les attaques sont ciblées (par exemple, seuls les ordinateurs de votre cadre ont des ransomwares, ou uniquement des individus de haut niveau), alors vous avez vraiment besoin que quelqu'un d'autre note vos devoirs pour vous. Si vous pensez que vous pouvez le faire vous-même, allez-y - ce site vous aidera dans votre quête - http://www.threathunting.net
  • Endiguer de manière proactive les dégâts avant le prochain événement. S'il ne s'agissait que de votre ordinateur, envisagez de mettre à niveau votre système d'exploitation ou d'activer le plus haut niveau d'UAC possible (ou tous les deux). Vérifiez vos paramètres du panneau de configuration de Windows Update. Si vous êtes un professionnel de l'informatique ou d'InfoSec aidant les autres avec des ransomwares, il est temps de revoir deux politiques: 1) votre politique sans administrateur, c'est-à-dire que les utilisateurs finaux réguliers ne doivent pas avoir d'accès administrateur, et 2) votre politique de mise en liste blanche de votre application. Vous devez connaître quelques astuces pour mettre en liste blanche les applications, en particulier pour Windows. Lisez ce jeu de diapositives, en particulier en commençant par la diapositive 15 - http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - et notez que les dix prochaines diapositives (15-25) vous éviteront d'obtenir un ransomware gratuitement, de façon quasi permanente. Cependant, je vous suggère fortement de lire les diapositives 29 à 37 pour comprendre que vous devez installer PowerShell v5 sur chaque ordinateur d'utilisateur final avec la stratégie de mise en liste blanche des applications AppLocker. Ce n'est pas une tâche facile, mais si vous êtes intéressé, veuillez demander dans les commentaires et je vais y répondre ou mettre à jour ma réponse ici.
  • Mise à jour; Mise à jour; Mettez à jour tous les systèmes d'exploitation non pris en charge sur votre réseau (ils réduisent vos options à moyen terme et vos capacités défensives, y compris la posture). Mise à jour vers un OS plus récent. Exécutez les mises à jour de votre système d'exploitation. Mettez à jour vos applications. Mettez à jour vos plugins. Mettez à jour votre suite Office. Si vous pouvez mettre à jour vers Office 2016, vous pouvez utiliser un simple AD GPO (similaire à celui d'AppLocker décrit directement ci-dessus) à Empêcher les macros de s'exécuter dans les fichiers Office à partir d'Internet) .
  • Assurez-vous de rester à jour. Ne facilitez pas le refus de la mise à jour (d'où la politique de non-administration). Appuyez sur a GPO pour modifier la stratégie de l'ordinateur local - Configuration ordinateur - Modèles d'administration - Composants Windows - Éléments Windows Update. Par exemple, modifiez Re-Prompt for restart with scheduled installations pour activer avec 1440 (24 heures) après avoir défini No auto-restart with logged on users for scheduled automatic updates installations à Activé. En finir avec Allow automatic updates immediate installation sur Activé également. Avertissez tous les utilisateurs finaux par le biais d'une politique écrite ainsi que par l'orientation des employés ou des sous-traitants que la société supposera que si votre ordinateur est allumé, la société peut alors exiger d'eux un redémarrage au moins tous les deux jours. Il s'agit d'une politique équitable. Certains utilisateurs, en particulier CAD travailleurs, préfèrent laisser leur ordinateur allumé pendant plusieurs jours ou semaines à la fois (certains même des mois!). Assurez-vous que vous disposez d'un processus d'exception approprié pour ces utilisateurs finaux, mais assurez-vous également qu'ils sont corrigés à une politique d'exception convenue avec des contrôles de remplacement ou de compensation convenus supplémentaires. La plupart ne le feront pas, alors ne les laissez pas! Apple peuvent avoir un cronjob au niveau racine qui exécute softwareupdate -i -a du quotidien. Rappelez-vous que le réseau de démarrage PXE utilisé dans le cycle de confinement? Assurez-vous que les images d'installation de base sont mises à jour conformément à ces mêmes politiques (c'est-à-dire tous les deux jours), de préférence via l'automatisation. Pendant que vous y êtes, assurez-vous de mettre à jour tout autre logiciel local (via Corporate Software Inspector ou similaire), et en particulier: les logiciels antivirus ou les mises à jour des agents. Vous avez peut-être (j'ai certainement) entendu parler des histoires selon lesquelles un nouvel employé ou un sous-traitant reçoit un ordinateur portable nouvellement imagé et obtient des logiciels malveillants ou des ransomwares le premier jour de travail! Empêchez ces scénarios de se produire en gardant vos images de base à jour également - et cela fonctionne très bien avec le système MMF que vous avez construit sur ce même réseau isolé! Gardez ces bons hachages connus à jour! C'est également un bon endroit pour commencer à suivre l'inventaire des actifs pour tous les utilisateurs et les éléments qui composent votre entreprise.
  • Aiguisez la scie. Votre équipe InfoSec et/ou votre direction informatique doivent savoir ce qu'ils font vraiment mal ici que les ransomwares sont activement dans leur environnement. Il y a tellement d'options gratuites (ou déjà payantes) qu'ils peuvent avoir. Celui que je viens de traverser s'appelle Microsoft RAP de leurs services Proactive Premier. Si les vecteurs proviennent de macros, corrigez ce problème; USB, celui-ci; APT, eh bien - faites de votre mieux à chaque problème (pas le symptôme) que vous pouvez. Le jeu de diapositives que j'ai cité dans la section Proactive Stem a beaucoup d'idées gratuites et immédiates pour des choses que l'on peut implémenter au niveau du réseau, pour la diffusion de journaux, pour le système voir également ce document - https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download .pdf/Report_Ruag-Espionage-Case.pdf - c'est là que j'ai eu beaucoup de ces idées.
2
atdre

REMARQUE: Comme la `` meilleure réponse '' semble être davantage orientée vers les utilisateurs avancés (même vers le niveau des équipes de réponse aux incidents), cela sera facilement réalisable pour tout utilisateur connaissant Linux et Live CD.

.

.

Au risque de paraître ignorant, je répondrai à une ligne:

Éteignez le PC et démarrez le CD Live Linux.


DÉTAIL:

S'il s'agit d'un système d'exploitation Windows, mettez le système hors tension et démarrez un Linux Live CD. Sauvegardez vos données, puis clonez la sauvegarde. Gardez-en un en sécurité et essayez d'exécuter l'autre sous un système d'exploitation propre.

S'il s'agit de Linux, le ransomeware est conçu pour fonctionner sous Linux, donc le même processus de sauvegarde, mais il suffit de l'exécuter sous un système d'exploitation différent (c'est-à-dire * BSD, Windows, Android -construit sur Linux mais largement) différent dans mon expérience-).

Bien sûr, comme l'a dit le développeur du ransomeware, autant le laisser finir. Si vous arrêtez en cours de processus, vous ne récupérerez probablement jamais ce qui a déjà été chiffré. Vous n'aurez pas d'ID pour contacter les développeurs et ils n'ont probablement pas encore reçu votre clé de chiffrement. En option, vous pouvez combiner les deux. Utilisez ce que j'ai dit plus tôt, puis démarrez simplement le système infecté et laissez-le terminer.

Declaimer: je suis une pomme de terre humaine; c'est-à-dire [~ # ~] pas [~ # ~] un développeur de quoi que ce soit

1
Mars

Le ransomware se propage simplement parce que les gens le paient, les questions et les réponses contribuent à faire de Ransomware une réputation susceptible de faire payer les gens. Il vaut bien mieux investir un peu d'argent dans un bon anti-virus que d'avoir à payer plus tard pour récupérer vos données.

Si l'interruption du processus au milieu peut être nuisible (parce que les développeurs voulaient que vous n'essayiez pas d'arrêter le cryptage), rien n'empêche une interruption anormale avec une perte de données associée (en maintenant le bouton RESET enfoncé pendant quelques secondes, un écran bleu provoqué par un pilote buggy ...). En général, les données chiffrées ne tolèrent plus les petites erreurs de bits uniques (un mauvais bit ne fait aucune différence dans un fichier texte, mais un mauvais bit dans les données chiffrées entraîne la perte de toutes les données)

Les développeurs de Ransomware devraient également vous payer une petite fraction du prix de votre disque dur, car de nombreuses opérations d'E/S réduisent en fait la durée de vie de votre disque dur.

Autre point important, réinitialisez simplement le mot de passe de vos comptes, mais n'entrez pas encore le code de réactivation. Les dommages causés par Ransomware peuvent être limités si certaines données sont hébergées sur des services cloud ou une sorte de serveur, ce qui signifie que si le malware accède à vos informations d'identification/sessions, il peut accéder aux données stockées en toute sécurité, ce qui augmente les dommages. La réinitialisation des mots de passe bloquera l'accès à vos comptes (à condition que votre smartphone ne soit pas infecté et que le code de réactivation ne soit pas intercepté).

De nombreux services Web qui fournissent une connexion unique permettent également de gérer l'accès aux appareils et d'effectuer certaines actions en cas d'informations d'identification volées (ou supposées informations volées).

C'est comme l'un des problèmes mathématiques de la théorie des jeux, paierez-vous pour obtenir un petit avantage immédiatement (récupération de vos données), ou allez-vous simplement ignorer le Ransomware en le laissant sortir des affaires en faisant le "bien" sur le long terme pour tout?

0
CoffeDeveloper