Pregunta:
¿Qué debe hacer si detecta un ransomware de cifrado en mitad de la operación?
Revetahw says Reinstate Monica
2016-04-17 20:07:31 UTC
view on stackexchange narkive permalink

Inicia su computadora un día y mientras la usa nota que su disco está inusualmente ocupado. Verifica el Monitor del sistema y observa que un proceso desconocido está usando la CPU y está leyendo y escribiendo mucho en la unidad. Inmediatamente realiza una búsqueda en la web del nombre del proceso y descubre que es el nombre de un programa de ransomware. También aparece una noticia que le informa sobre cómo un sitio de distribución de software popular se vio comprometido recientemente y se usó para distribuir este mismo ransomware. Recientemente instaló un programa de ese sitio. Claramente, el ransomware está en proceso de hacer su trabajo sucio.

Tiene grandes cantidades de datos importantes en el disco interno y no tiene respaldo. También hay una cantidad sustancial de datos no importantes en la unidad.

El título de esta pregunta dice operación "intermedia", pero en este ejemplo todavía no hemos investigado hasta qué punto el ransomware podría haber consiguió en su "trabajo".

Podemos ver dos situaciones:

  1. Quiere conservar la mayor cantidad de datos posible. Sin embargo, no se puede pagar ningún rescate.

  2. Si es posible sin riesgo, querrá saber si las partes importantes de sus datos están realmente encriptadas y sobrescritas. También desea intentar extraer la mayor cantidad de datos posible sin empeorar las cosas. Odiaría pagar un rescate. Pero ciertas partes de los datos son tan importantes para usted que, en última instancia, como último recurso, le gustaría poder pagar por la oportunidad de recuperarlos en lugar de correr el riesgo de perderlos. .

Paso a paso, ¿qué es lo ideal para hacer en las situaciones 1 y 2? ¿Y por qué?

Nota: Esto es hipotético. En realidad no me ha pasado a mí. Siempre guardo copias de seguridad fuera del sitio de mis datos importantes y nunca me ha afectado el ransomware.

La segunda opción tiene implicaciones legales * potenciales * que podrían ser un * factor tangencial *, pero eso no la convierte en una cuestión legal.Claramente es una cuestión técnica.Tenga en cuenta: el pago de rescates podría tener repercusiones legales en su jurisdicción.Consulte las leyes locales.
Mi primera reacción a un proceso sospechoso es suspenderlo.Si es un proceso legítimo, puedo reanudarlo.Si es malware, puedo, por ejemplo, inspeccionar archivos abiertos, sockets, etc. Si el programa se reinicia automáticamente, este reinicio automático puede fallar en la suspensión.
Otra cosa a considerar es la ética en general de pagar rescates.Soy de la opinión de que los rescates nunca deben pagarse bajo ninguna circunstancia, ya que hacerlo fomenta un comportamiento más criminal.
Debe hacer solo una pregunta por pregunta.Edite su pregunta en consecuencia.Su primera pregunta es una pregunta técnica que se puede responder.Le sugiero que edite su pregunta para preguntar solo la primera y elimine la segunda; siempre puede publicar la segunda por separado.
@D.W.Las preguntas 1 y 2 son muy similares.La diferencia entre ellos es que en el n. ° 2 queremos andar con mucho cuidado para no estropear nuestra oportunidad de pagar el rescate como último recurso absoluto.IMO 1 y 2 son tan similares que ponerlos en preguntas separadas estaría cerca de hacerduplica, en el sentido de que fragmentaría la discusión. En cuanto a múltiples preguntas relacionadas en la misma publicación: he visto innumerables preguntas aquí que hacen eso.¿Puedes señalar una meta publicación o una pregunta frecuente que indique que esto no está recomendado o permitido? Si más personas están de acuerdo, editaré mi pregunta.
Mi impresión es que el ransomware cifra los datos en archivos nuevos y no borra los archivos antiguos hasta que se completa el cifrado.Esto es para que no descubra el problema a la mitad al llamar a un archivo que ha sido encriptado y rescatar sus datos restantes.Si es así, simplemente apagar la computadora y montar el disco en otra máquina debería permitirle recuperar los archivos de datos.
@RossMillikan Pensé que esto era tan interesante que lo hice como una pregunta separada: http://security.stackexchange.com/questions/121080/does-most-ransomware-delete-the-original-files-as-it-goes-o-en-una-gran-eliminación-masiva
"¿Qué debe hacer si detecta un ransomware en pleno funcionamiento?"- (1) Tire rápidamente del cable de alimentación.(2) Tenga en cuenta que no pasó nada, así que presione el botón de encendido hasta que la computadora portátil se apague.(3) Vaya a una máquina diferente y use el motor de búsqueda favorito para comprender cómo proceder desde allí.
@RossMillikan Esto ahora se ha discutido en detalle aquí: http://security.stackexchange.com/a/121711/105562
Diez respuestas:
#1
+186
Ángel
2016-04-18 04:12:08 UTC
view on stackexchange narkive permalink

Hibernar la computadora

Si el ransomware encripta los archivos, la clave que usa para el encriptado está en algún lugar de la memoria. Sería preferible obtener un volcado de memoria, pero es poco probable que tenga disponible el hardware adecuado para ello. El volcado del proceso correcto también debería funcionar, pero descubrir cuál puede no ser trivial (por ejemplo, el código malicioso puede estar ejecutándose dentro de explorer.exe ), y necesitamos volcarlo ahora .

Hibernar la computadora es una forma económica de obtener una imagen de memoria¹ Luego, podría montarse en solo lectura en una computadora limpia para

a) Evaluación del daño infligido por el ransomware

b) Recuperación de archivos no cifrados²

c) Extracción forense de la clave en memoria del proceso malicioso, otra recuperación avanzada de los archivos, etc.

Tenga en cuenta que por sólo lectura me refiero a que no se realiza ninguna escritura, para obtener las máximas posibilidades de recuperación. Conectarse normalmente a otro sistema Windows no proporcionará eso.

Para (c) probablemente necesitará soporte profesional. Su proveedor de antivirus puede proporcionarlo sin cargo.

Incluso si no logra recuperar todos sus archivos o le dicen que es imposible o demasiado costoso, conserve el disco con los archivos cifrados. Lo que es imposible hoy en día puede resultar más barato o incluso trivial en unos meses.

Te recomiendo que simplemente realices la nueva instalación en un disco diferente (de todas formas ibas a reinstalar, la computadora estaba infectada, ¿recuerdas? ), y guarde el infectado, debidamente etiquetado, en un cajón.

-

En cuanto a la segunda pregunta, donde realmente quiere pagar el rescate Estoy bastante seguro de que el autor del ransomware podría devolverle sus archivos aunque no todos estuvieran cifrados. Pero si realmente es necesario, puede arrancar desde el disco hibernado después de clonarlo y dejar que termine de cifrar sus archivos (ahora respaldados) ...

¹ NB: si no tenía un archivo de hibernación, esto puede sobrescribir versiones de texto sin formato de archivos ahora cifrados que podrían haberse recuperado (aunque no es relevante para el ransomware más reciente).

² Suponiendo que no estén infectados…

Hibernar para obtener una copia de la clave es una buena idea, pero solo ayuda si la clave utilizada para el cifrado también es útil para el descifrado.Si el ransomware se escribe para generar una nueva clave simétrica para cada archivo y encriptar aquellos con una clave pública (como funciona, por ejemplo, PGP / GnuPG), entonces la clave privada necesaria para desencriptar las claves específicas del archivo podría no estar más enmemoria;es posible que ya se haya entregado a un servidor remoto.Dicho esto, parece poco probable que esto pueda doler (más de lo que el usuario ya estaría pasando), y simplemente * podría * ayudar.
@Fiksdal no.No recomiendo pagar, pero incluso si esperabas hacerlo, hibernar y tomar una imagen de disco (con todos los archivos aún no cifrados además de los artefactos forenses) sería un acierto antes de dejar que continúe con su acción destructiva..
Un ransomware bien escrito podría usar una nueva clave para cada archivo y borrar la clave anterior después de que termine de cifrar cada archivo.Pero no creo que hayan evolucionado a ese nivel todavía.
¿Es c) puramente hipotético, o hay programas audiovisuales de pago que realmente lo hacen?Siempre he optado por una herramienta AV gratuita de algún tipo;pero ese nivel de recuperación potencial ante desastres es suficiente para hacerme contemplar una suscripción paga.(Siempre que no se limite a los productos Enterprisy que cuestan mucho más que el monto de un rescate típico de todos modos).
@DanNeely Es real.Algunos proveedores de AV brindan dicho servicio de descifrado de ransomware a sus clientes.Por lo general, pedirían algunos archivos cifrados con texto plano conocido, el mensaje de rescate, tal vez incluso el binario si no pudieran detectar la variante del ransomware.Con eso, crean una vacuna que descifra sus archivos.Por supuesto, no siempre son capaces de averiguar la clave de cifrado, pero tienen mejores posibilidades que un individuo (probablemente ya hayan analizado el malware y tengan un gran hardware de factorización).
@DanNeely No es caro en absoluto, lo ofrecen incluso para licencias domésticas (aunque creo que con menor prioridad).Creo que es una característica adicional en lugar de oculta que se factura con la tarifa de licencia original.YMMV, no todos los proveedores de AV ofrecen esto y pueden cambiar sus condiciones.
@ Ángel, hay una gran diferencia entre lo que describió en su respuesta (extraer claves de una copia en ejecución de una imagen ram) y lo que declaró en su comentario.Hacer coincidir a las víctimas con uno de los pocos servidores de C&C que han sido eliminados es mucho más fácil (y algo que una víctima experta en tecnología podría hacer por sí misma);en el caso común en el que las claves no se han recuperado del autor y la criptografía se ha realizado correctamente, incluso un clúster del tamaño de una NSA no podrá factorizar una clave.
@MichaelKjörling: La clave simétrica probablemente todavía esté en RAM en este punto.El cifrado asimétrico completo es demasiado lento.
@Joshua Sí, * asumiendo * que se usa la misma clave para cada archivo.De lo contrario, es muy posible que obtenga una clave útil, pero esa clave solo será útil para uno (o un número muy pequeño de) archivos que se estaban cifrando en ese momento.Soy reacio a dar a los autores de malware * demasiadas * ideas, pero si puedo pensar en formas de derrotar tal esquema, incluso mientras se permite el volcado de RAM en el disco (hibernación), entonces no puede ser tan difícil.(Aunque CodesInChaos ya lo hizo, y mi comentario anterior puede calificar ...)
Como precaución adicional, copie la imagen del disco en otra computadora y utilícela.Esto ayudará si alguna operación de solo lectura resulta no ser tan solo de lectura como imaginaba.
¿Alguna vez ha intentado hacer lo anterior?
Parece que de alguna manera cambié mi voto a un voto negativo en esto, debe haber sido un error de clic en el teléfono o algo, ¿podrías hacer una edición trivial?
La hibernación vacía el sistema de archivos.Esto destruirá cualquier "copia de seguridad" del cifrado previo del archivo, ya que se guarda en la memoria.Si suspende el malware en su lugar, aún puede volcar la caché del sistema de archivos.
#2
+78
Luc
2016-04-18 05:12:23 UTC
view on stackexchange narkive permalink

Qué haría:

  1. Suspender el proceso. No lo mate, solo póngalo en pausa.
  2. Mire en el árbol de proceso si hay padres que puedan necesitar suspensión también.
  3. Tire del cable de red y / o apague WiFi (y si eres paranoico, Bluetooth también).
  4. Verifica los archivos abiertos por esos procesos para ver cuál está encriptando actualmente. Si es particularmente importante, es posible que desee copiar el archivo en su estado actual (mientras el proceso está suspendido) y luego dejar que pase al siguiente archivo, para que no se corrompa. Si el siguiente archivo también resulta ser importante, bueno, averigüe el patrón y copie un archivo un paso por delante o simplemente comience a copiar todos sus archivos.
  5. Google cómo hacer un volcado de memoria de un proceso en ese sistema operativo en particular, luego haga ese volcado de memoria de los procesos relevantes. Demonios, podría volcar toda la memoria virtual de la máquina.
  6. Cierre otros programas.
  7. Sincronice el (los) disco (s) para que no haya más caché de escritura.
  8. Tirar de la energía. Si es una computadora portátil: retire la batería, luego desconecte la energía (si está enchufada).

Ahora está en una posición bastante buena: la energía está apagada, por lo que puede notar más cosas, y tiene cualquier cifrado clave que estaba usando más el programa original. El problema es encontrar esa clave de cifrado y el método de cifrado, pero tiene que estar en algún lugar de su memoria de proceso: solo es cuestión de tiempo. Llame a sus amigos hackers para que realicen ingeniería inversa al programa, o tal vez incluso a una empresa antivirus: probablemente tengan muchos clientes con el mismo ransomware y tendrían mucha curiosidad por obtener un volcado de memoria para extraer la clave.

Hooking Si coloca el disco duro en otra computadora, se recuperarán los archivos que aún no se hayan cifrado, sin mucho riesgo. Simplemente no ejecute macros de Word ni abra archivos .exe desde la unidad o algo así.

Resumen

Pause el proceso de ransomware para que podamos hacer una copia de él y su memoria para encontrar la clave de cifrado más tarde. Luego apague el sistema y siga el sentido común desde allí. Tenga cuidado con los archivos corruptos importantes (archivos encriptados a medias), así que verifique en el que estaba trabajando actualmente después de pausarlo.


En respuesta a los comentarios

Este comentario tiene algunos votos positivos ahora:

La "clave de cifrado" no ayudaría en muchos casos, al iniciar el ransomware se conecta al servidor de comando y control y solicita que se cree un nuevo par de cifrado (público y privado) . El servidor crea el par, almacena el privado y envía el público a la máquina infectada. Luego, la máquina infectada usa la clave pública para cifrar los archivos, y la única forma de revertirla es usar la clave privada, que nunca se transfiere a la máquina de la víctima hasta que se completa un pago. - Anton Banchev

Esta es una preocupación que pensé mientras escribía la publicación, pero que aún no he abordado.

Nadie cifra nunca data con cifrado asimétrico (también conocido como cifrado de clave pública). Es demasiado lento, por lo que la criptografía asimétrica solo se usa en esquemas de cifrado híbrido. Incluso los puntos de referencia como el integrado en openssl informan megabytes por segundo para AES y operaciones por segundo para RSA. No comparable en absoluto. El único resultado que he podido encontrar es esta respuesta de Stack Overflow con una fuente que ni siquiera reveló sus métodos: el cifrado asimétrico es 1000 veces más lento que el cifrado simétrico.

Por lo tanto, el cifrado utilizado para cada archivo es casi con certeza un cifrado simétrico (como AES), lo que significa que también podemos descifrarlo con la misma clave con la que se está cifrando.

Actualización: parece que al menos una de las muchas variantes de ransomware utiliza únicamente cifrado de clave pública. Aparentemente, es lo suficientemente rápido como para ser utilizable, o obviamente no lo estarían usando. Supongo que será mejor que no tengas esta variante. Fin de la actualización.

No conozco ningún ransomware que haga esto, pero la única forma en que esto podría seguir siendo un problema es cuando cada archivo tiene una clave de cifrado única. En ese caso, solo el archivo actual se puede recuperar de la memoria. Sin embargo, esto les causaría un problema de administración de claves: cada una de esas claves tendría que ser transmitida o almacenada en una base de datos que está encriptada con una clave maestra (simétrica). En el último caso, probablemente también podría recuperar la clave maestra de la memoria; en el primer caso, tiene un problema. Pero todo esto es solo especulación de todos modos, no conozco ningún ransomware que haga esto.

Guau.Creo que esta respuesta necesita más atención.
El proceso que describí es también la razón por la que una clave de descifrado no funciona en ningún otro lugar que no sea la máquina para la que fue diseñada.
Me desplacé hacia abajo para escribir exactamente esta misma respuesta.Suspender un proceso es trivial en los sistemas operativos modernos.Lamentablemente, también tengo que estar de acuerdo con @AntonBanchev.
@AntonBanchev (A su primer comentario :) Lo dudo mucho.Sé que una clave pública / privada podría usarse en el proceso ([criptografía híbrida] (https://en.wikipedia.org/wiki/Hybrid_cryptosystem)), pero cifrar muchos datos con cifrado de clave pública es extremadamente lento.Es tan poco común hacerlo que apenas puedo encontrar puntos de referencia RSA que sean comparativos con AES.De tal vez 20 resultados, esta es la única respuesta real, y no revela números o métodos sin procesar, solo dice que es 1000 veces más lento: http://stackoverflow.com/a/118488
No veo una opción para suspender un proceso en Windows 7. Y en Linux, probablemente necesite algún comando bash loco, depende de la distribución, por supuesto.
@Luc parece que depende del malware del que estemos hablando, si revisa este documento https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf, puede ver que las diferentes implementaciones usan diferentesalgoritmos, CryptoWall parece usar RSA que es asimétrico.Los otros están usando algoritmos simétricos (o al menos solían hacerlo en el momento de escribir este artículo).
@TomášZato Paso 1: https://duckduckgo.com/?q=suspend+process+windows+7&t=ffsb Paso 2: http://superuser.com/q/426351/121343 - En la mayoría de los sistemas Linux está incluido en elmonitor del sistema (también en htop puede enviar una señal de DETENCIÓN a través de la "GUI"), y en los servidores, Google rápidamente descubre que es `kill -STOP processid`.
@Luc No dije que sea imposible.Pero no es rápido, y el tiempo es lo que está en juego aquí en mi humilde opinión.Si matas el poder, pierdes un archivo.Juega con el explorador de procesos o busca dónde instaló esa práctica utilidad y pierde 1000 archivos.
@TomášZato Ese es realmente un buen punto.No estoy seguro de cómo resolver eso ... si desconecta la energía, es posible que no recupere ninguno de los archivos;si busca que el proceso suspenda y voltee la memoria, probablemente podría recuperar todo.Sin embargo, si hace lo último y no funciona, de hecho perdió un montón de archivos.Es difícil decir cuál es mejor.
@Luc Solo puede perder todos los archivos si el ransomware los mantuvo todos en la memoria durante el cifrado, lo que no es probable.O tal vez si empleara algún patrón de cambio de archivo aleatorio loco, no estoy seguro de cómo se vería exactamente.O si lo notó demasiado tarde, pero en ese caso puede reiniciar e intentar obtener la clave o pagar el rescate.
@AntonBanchev Ya veo.¡Casi lo instalaría en una máquina virtual, solo para ver si es lo suficientemente lento como para llamar a la policía y hacer que aparezca su equipo forense antes de que termine de cifrar todos los archivos!Bromas aparte, tengo curiosidad por su desempeño.También actualizaré la publicación.
`cada una de esas claves tendría que ser transmitida o almacenada en una base de datos que está encriptada con una clave maestra (simétrica) '¿Por qué la clave maestra tiene que ser simétrica?Eso es exactamente para lo que se usaría la clave pública.
Esta respuesta asume que ya sabe qué proceso (s) está realizando el cifrado ... que ahora que verifico la pregunta ... es una suposición válida. Sin embargo, creo que la mayoría del ransomware es lo suficientemente inteligente como para usar <10% de CPU o solo se activa cuando detecta que la computadora no está en uso.Por lo tanto, encontrar estos tipos de procesos de ransomeware "más inteligentes" puede llevar a un usuario experto una cantidad significativa de tiempo de 0,5 a 3 horas (tal vez más) ... lo que puede permitir que el proceso se complete y haga que el rescate sea válido.
@Luc El cifrado de clave pública es lento, pero los datos no se cifran con él; solo se usa para proteger la clave de sesión para un algoritmo simétrico como AES.Una vez que se descifra la clave de sesión, el cifrado avanza rápidamente.
#3
+57
J.J
2016-04-17 20:38:12 UTC
view on stackexchange narkive permalink

Ransom-ware (o cualquier software de cifrado para el caso) no cifrará el archivo en el lugar, porque el cifrado no coincidirá con el no cifrado bit-por-bit (a menos que sea solo un xor shuffle, en cuyo caso no es realmente cifrado). Más importante aún, un aborto espontáneo del proceso de cifrado (debido a un apagado, quedarse sin batería, etc.) crearía un archivo corrupto que no se puede rescatar. En cambio, estos programas siempre crean un nuevo archivo cifrado a partir del antiguo y luego eliminan el antiguo. De hecho, la mayoría de los programas de ransomware tienen comprobaciones para reiniciar archivos grandes medio cifrados debido a un apagado / reinicio.

Entonces, si descubre su cifrado medio, apague su computadora, tan pronto como posible, y montar el disco duro en una máquina no afectada para hacer una copia de seguridad.

Con respecto a si pago o no el rescate, no tengo idea. Depende del monto del rescate y de la naturaleza de lo que hay en mi disco duro en ese momento. Dado que gano aproximadamente $ 2.50 por hora y mi disco duro contiene principalmente datos científicos disponibles públicamente, la respuesta es probablemente no.

EDITAR:

Hibernación , como lo recomienda el otro cartel, es hipotéticamente superior a apagar la computadora de muchas maneras. Sin embargo, es posible que la hibernación no funcione prácticamente. Cualquier proceso puede indicarle al sistema que está ocupado y que no se puede detener en este momento; incluso un video de YouTube de un gato tocando el piano puede hacerlo. Esto es cierto para OSX, Windows y Linux (dependiendo de cómo hiberne para Linux). La única solución en estos casos en los que el proceso se niega a suspender es matar el proceso, lo que significa que no hay volcado de memoria. Así que, personalmente, prefiero detener ese cifrado lo antes posible quitando el cable de alimentación, porque si hay algo que puedo garantizar, es que el ransomware volverá a poner su clave en la memoria la próxima vez que se inicie el sistema. porque no dejé que terminara el trabajo.

¡Definitivamente * no * sabía acerca de la primera parte!Eso es muy interesante.Sin embargo, ¿por qué los tamaños de los archivos cifrados no tienen la misma cantidad de bytes que los originales?No veo ninguna razón fundamental para esto ...
"(a menos que sea solo un xor shuffle, cuyo caso no es realmente un cifrado)".- xor con que?AIUI, la mayoría de los cifrados de flujo se pueden describir como un "xor shuffle", siendo la parte criptográfica cómo se genera el flujo de bits con el que se xor'd el texto cifrado.
@Mehrdad: Alineación del tamaño de bloque y, según recuerdo, la mayoría de estos programas generan una clave única para cada archivo afectado, que debería anteponerse a los datos cifrados.
Random832: el análisis de los primeros rescates (2013) mostró que sus autores obviamente estaban tratando de "encriptar" la mayor cantidad posible de datos del usuario al no hacer un encriptado largo e intensivo en la CPU, sino simplemente mezclando bits en un archivoalgún patrón conocido, a veces usando una clave, a veces simplemente codificado.Estos scripts se volvieron casi inmediatamente inútiles cuando los analistas de seguridad los pusieron en sus manos y les permitieron cifrar archivos con datos conocidos, ya que el patrón era fácil de ver y, por lo tanto, se podía desarrollar software para revertirlo.Ahora todos hacen un cifrado "adecuado".
¿Qué haces que paga $ 2.50 / hora?
Pagar el rescate también puede exponerlo a más explotación criminal.Ransom-ware no utilizará canales de pago confiables.A menudo requerirán el pago en Bitcoin, que es una moneda que la mayoría de las personas respetuosas de la ley querrán evitar como una plaga.
@user1717828 Por los sonidos del último párrafo, yo diría que es una pasante científica, tal vez en una universidad
@user1717828 Vivo en la India, y aquí, ese salario sería normal para una persona educada de clase media.J. J probablemente vive en un país con dólares como moneda.Pero, solo digo.
@cat Soy estudiante de doctorado en un Instituto Max Planck en Alemania.Me pagan $ 1300 al mes y la regla tácita es que, a cambio, trabajo cada hora de vigilia.Fines de semana, festivos, etc., por lo que cuesta alrededor de $ 2.50.No es una buena oferta (y el alquiler es de $ 700 al mes), así que sí, mi rescate se mediría en trozos de chicle, pelusa y cuerdas sueltas.en Fiksdal - me pagan en euros, soy demasiado vago para encontrar el símbolo del euro: P
@J.J ninguno de los cifrados que conozco está expandiendo el tamaño de los datos.En todos ellos, la entrada y la salida es exactamente del mismo tamaño (que también es el tamaño del bloque).
@ ŁukaszNiemier: Solo verificando 7zip en archivos pequeños para verificar.whooops.Hizo que mi archivo de texto de 3kB se convirtiera en 50kB como archivo zip.No me suena tan igual cuando pensar en archivar es lo mismo en lo que respecta a los cifrados.
@Zaibis,, por lo que ha utilizado la compresión y luego el cifrado.Compruebe la diferencia de tamaño entre el archivo zip no cifrado y el cifrado.No debería haber ninguno a menos que haya algunos metadatos adicionales.El cifrado puro no debería cambiar el tamaño del archivo, puede verificarlo con `gpg`.
Cuando dices "eliminar lo antiguo", supongo que te refieres a que borran los datos reales, no solo eliminan el archivo.De lo contrario, la recuperación de archivos podría ser posible en algunos de los datos.
@ ŁukaszNiemier: No, pero ese era exactamente mi punto.En este tipo de procesos de pof, es bastante justo asumir que también se almacenarán algunos metadatos.
@JJ Creo que algo de esto podría incluirse en la respuesta: 1. ¿Qué hace con la unidad después de montarla en otra computadora?2. ¿Primero crea una imagen de disco y luego trabaja con esa imagen?3. ¿Ejecuta software como Filerec para buscar archivos que pueden haber sido eliminados del índice pero no sobrescritos?4. ¿Existe alguna posibilidad de que el ransomware, aún en la unidad, intente infectar la nueva máquina?5. ¿Tiene algún mérito trabajar desde un sistema operativo diferente al que tenía la máquina infectada, para minimizar el riesgo de 4?¿Actúa de manera diferente en el caso OP # 1 frente al # 2?
Todas son buenas preguntas Fiksdal, pero creo que sale del alcance del OP y se convierte en una pregunta muy general / basada en opiniones, ya que hay mucho que uno podría hacer.Pero todo lo que sugirió sería bueno: D
Pero personalmente, probablemente comenzaría por hacer estallar un cd en vivo de backtrack / kali linux y arrancar en modo forense.
En Windows, puede anular la parada emitiendo el comando a través de la interfaz de apagado remoto.apagado / m \\ 127.0.0.1 / h / f / t 0
¿Eso termina los procesos de bloqueo o los descarga de su memoria en el disco?
@user1751825 ¿Por qué las personas respetuosas de la ley querrían evitar Bitcoin?¿Sugieres que comprar Humble Bundles con bitcoins me convierte en un criminal?
@user31389 Creo que él / ella está diciendo que no hay muchas razones para que la mayoría de la gente lo use para una actividad legítima, por lo que el único efecto de usarlo es parecer sospechoso.
#4
+14
Dasya
2016-04-18 01:03:46 UTC
view on stackexchange narkive permalink

[ Nota de modificación: esta respuesta está recibiendo muchas banderas, pero no es digno de eliminarse. Este es un curso de acción potencialmente válido, aunque riesgoso y potencialmente ilegal en algunas jurisdicciones. Desde un punto de vista técnico , esto tiene la posibilidad de ser una forma de preservar los datos. Consulte Meta para obtener más información.]

Lo mejor que puede hacer es no hacer nada. Hacer algo estúpido puede provocar la pérdida o corrupción de datos. Deje que termine y luego comuníquese con las personas que figuran allí, pague el rescate y estará listo. Somos profesionales y lo ayudaremos a recuperar sus archivos.

Descargo de responsabilidad: soy un desarrollador de ransomware.

No puede estar sugiriendo en serio "confíe en nosotros" como un proceso de mitigación de riesgos ...
¡Oh, y bienvenido!Tenemos toneladas de preguntas sobre ransomware aquí (como puede imaginar); nos encantaría conocer sus comentarios y su perspectiva.
Para aquellos que no creen que esta sea una respuesta, consideren esto: no hacer nada * podría * ser la mejor manera de asegurarse de que los datos no se corrompan (dependiendo de cómo se escribió el malware).Esto parece una sugerencia perfectamente válida.
Esta es sin duda la mejor solución para el autor del ransomware, cualquier otra solución iría en contra de sus intereses.Sin embargo, hay muchos ransomwares mal codificados (y sus herramientas de recuperación) que, por ejemplo,.empeora las cosas al cifrar los archivos dos veces o incluso [hacer que los archivos sean irrecuperables] (http://www.bleepingcomputer.com/news/security/shoddy-programming-causes-new-ransomware-to-destroy-your-data/).
@ Ángel Esto es muy importante.Algunos ransomwares están tan mal escritos que no logran restaurar sus datos, incluso si paga.
Esto supone que está tratando con autores de ransomware competentes.¿Cómo se puede distinguir el ransomware desarrollado profesionalmente de algún imitador que ni siquiera puede mantener la clave en secreto (http://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html)?Quizás la industria del ransomware necesite tener algún tipo de sistema de certificación ...;)
-1 para "_Somos profesionales_" y "_bueno para ir_", ya que estas frases no describen objetivamente la situación.Además, esta respuesta no aborda el caso en el que una víctima no quiere pagar el rescate, en cuyo caso detener el malware lo más rápido posible minimiza la parte de sus datos que se pierde.
Casi me ahogo cuando leí "Somos profesionales".En el mejor de los casos, es un experto, nunca un profesional.
@StephenKing Un experto tiene más autoridad que un profesional.Si el ransomware es la _profesión_ de esta persona, entonces es un profesional.Un ladrón profesional sigue siendo un profesional, pero puede ser o no un ladrón _experto_.
#5
+12
Brent Kirkpatrick
2016-04-17 20:16:46 UTC
view on stackexchange narkive permalink

La segunda pregunta puede generar muchas opiniones como respuestas. Me centraré en la primera pregunta. ¿Qué debe hacer para detener un cifrado potencial rescatado en curso?

Pasos:

  1. Desconecte su máquina de Internet inmediatamente. Utilice otra máquina para buscar soluciones en Internet.

  2. Apague la máquina afectada con un apagado en frío. No espere a que la máquina complete sus inspecciones normales de software de apagado.

  3. Desenchufe el disco duro de la máquina.

  4. Instale un nuevo disco duro en la máquina e instale un sistema operativo nuevo y limpio.

  5. Conecte la unidad original a la placa base para que el nuevo sistema operativo pueda acceder a la unidad .

  6. Encienda el nuevo sistema operativo, acceda a la unidad anterior y haga una copia de seguridad.

  7. Guarde la copia de seguridad en un ubicación físicamente segura que está separada de la original (en caso de incendio, inundación, tornado, etc.).

  8. Mejore la seguridad de su navegador web. Gran parte del ransomeware se instala a través de malware JavaScript.

En cuanto a la segunda pregunta: tal vez pueda reconstruir algunos de los datos que se cifraron. Los siguientes pasos pueden ser útiles después de completar los pasos anteriores.

  1. Audite los datos en la unidad original para determinar si algún archivo se cifró correctamente. Tenga en cuenta qué archivos se cifraron. (Esta auditoría solo debe completarse desde un sistema operativo limpio).

  2. Desde la memoria (ya que no hay copia de seguridad), intente recordar cuál es el contenido de los archivos y qué importancia tiene lo son.

  3. Ahora, concentrándose en los archivos más importantes que fueron cifrados, vea si las técnicas de recuperación de archivos pueden recuperar el archivo original. Dado que el cifrado no puede sobrescribir en su lugar (por muchas razones), el ransomware habría accedido al archivo original mientras creaba la versión cifrada. Entonces puede haber eliminado el archivo original con distintos grados de éxito. Comuníquese con un experto en recuperación de archivos para averiguar si sus archivos originales desvinculados aún existen en su disco.

Recuerde protegerse en el futuro. Realice copias de seguridad, manténgalas fuera de línea y evite que se instale ransomware. Consulte ¿Cómo llega el ransomware a las computadoras de las personas?

"1. Desconecte su máquina de Internet inmediatamente ... 2. Apague las máquinas afectadas con un apagado en frío": desconectar la red es una pérdida de tiempo;¿Por qué no desconectar la energía primero?
Además, si estuviera diseñando un virus, ciertamente no necesitaría una conexión permanente a Internet para funcionar.
@TomášZato-ReinstateMonica que es para evitar que se propague a través de su LAN
#6
+9
Tomáš Zato - Reinstate Monica
2016-04-18 17:12:06 UTC
view on stackexchange narkive permalink

Apague la computadora inmediatamente. Siempre que no esté a punto de pagar el rescate, cualquier dato que el virus esté procesando se perderá de todos modos. Así que simplemente presione el botón de encendido y manténgalo presionado, o desenchufe el cable.

Instale Ubuntu u otra distribución portátil de Linux en su memoria USB. La última vez que hice esto, encajaba en un dispositivo de 2GB. Estaba clonando mi HDD a SSD con el sistema de archivos de Windows. Monte su sistema de archivos como de solo lectura.

Haga una copia de seguridad solo de los datos no ejecutables. No estoy seguro de cuántos virus infectan otros ejecutables, pero si estuviera creando un virus, lo haría también infecta archivos JAR de Java, scripts de servidor PHP, scripts por lotes y hash y todo lo demás que se me ocurre. Cualquier programa que pueda ejecutar comandos del sistema puede potencialmente contener el virus y ejecutarlo. No es probable, pero es posible. Por ejemplo, puede codificar binario en base64 en un archivo bash ...

Necesitará otro disco duro. Llénelo con sus documentos, fotos o código fuente. Con respecto al punto anterior que hice, verifique el estado del código fuente. Si usa el control de fuente, descargue el código fuente. El proceso llevará mucho tiempo. Elija con cuidado solo lo que necesita. Tal vez descubra cuánto espacio de su disco duro estaba ocupado por cosas que ni siquiera recuerda o necesita.

Formatee el disco duro infectado. O haga esto desde el Sistema de rescate Linux o inserte el disco de instalación de su sistema operativo preferido y deje que el instalador formatee el disco duro.

No recomiendo hacer una copia de seguridad del disco duro infectado. Es posible que prefiera conservar una copia del disco duro infectado por el bien de los documentos que quizás haya olvidado. Es una trampa, simplemente déjalo ir . Encontrará muchos documentos en la bandeja de entrada de su correo o en la carpeta de envío.

No estoy de acuerdo y recomiendo mantener una imagen de la unidad de rescate por si acaso [la criptografía era una mierda y terminó siendo crackeada] (http://superuser.com/a/1063700/483801).
También puede hacer una copia de seguridad de los documentos cifrados.No hay razón alguna para realizar copias de seguridad de archivos ejecutables y otras cosas que pueden infectarse fácilmente.
Bueno, mi ejemplo realmente requirió algunos datos específicos del disco duro, lo que demuestra que su enfoque de solo hacer una copia de seguridad de los archivos cifrados (pero no de todo el disco) no siempre es suficiente.
#7
+8
Loren Pechtel
2016-04-17 23:30:51 UTC
view on stackexchange narkive permalink

Además del cierre del enfoque de copia de &, ​​otros han mencionado que hay otro factor: el ransomware quiere ocultar lo que está sucediendo hasta que termine, es maligno; por lo tanto, los archivos cifrados todavía se pueden leer como si no estuvieran cifrados hasta que se termina. listo para exigir su rescate.

Una vez que haya localizado los archivos que importan y estén encriptados, vuelva a armar la máquina, no en Internet, e intente copiarlos. Si esto funciona pero no los consigue todos, vuelva a colocar la copia de seguridad en el disco duro y obtenga más.

#8
+2
atdre
2016-08-15 02:41:26 UTC
view on stackexchange narkive permalink

Triaje la situación (invoque el principio de conciencia de la situación)

  • ¿Dónde está la computadora ahora? ¿En la oficina? ¿En casa? ¿En un hotel? ¿De lo contrario en la carretera?
  • ¿Qué protecciones se ofrecen aquí? Si tira del cable de red o apaga el WiFi, ¿puede mover la computadora a un entorno más protegido? ¿Puedes moverlo a la oficina? Si es así, ¡corte la red ahora! ASAP !! Sin embargo, no cierre ningún programa; déjelos abiertos en el estado en que se encontraban. No cierre las pestañas del navegador. No cierre un documento o correo electrónico sospechoso.
  • Si es portátil, lleve la computadora a la oficina. Pregúntele a su equipo de seguridad de información o al liderazgo de TI si tienen procedimientos establecidos para manejar ransomware, como las capacidades de respuesta a incidentes de Data Forensics. Averigua si tienen alguna plataforma de seguridad que evite las comunicaciones de malware, como puertas de enlace web seguras o soluciones de administración de amenazas unificadas.

Ciclo de contención (realice estos pasos en orden al final)

  • Mantenga la computadora desconectada de Internet global. Utilice otra computadora y unidades USB, si están disponibles. Si no está disponible, averigüe lo que pueda sobre el ransomware. Busque nombres de procesos, extensiones de archivo (por ejemplo, .zepto para archivos que están en el escritorio). Use una computadora separada para buscar sobre el ransomware. Especialmente visite - https://www.nomoreransom.org
  • Mantenga todos los programas abiertos como estaban. No apague ni reinicie todavía. Si puede obtener el instalador de MalwareBytes desde una máquina separada sin volver a encender la red, copie el instalador en la computadora, pero no lo ejecute todavía. No permita que él ni nada más reinicie la computadora. MalwareBytes es para Windows o macOS, y debe usar una versión con licencia si es una empresa. Si se trata de una emergencia, puede ser éticamente aceptable comprar la licencia más tarde: la llamada de su líder de TI.
  • Trate esto como un incidente. Documente lo que encontró en este punto y lo que continúa encontrando. Un programa de respuesta a incidentes y análisis forense de datos (DFIR) más maduro tendrá algunas cosas básicas en su lugar. Es posible que desee comenzar con estos ahora. Incluyen: 1) Una red de sumidero (como un concentrador aislado con un servidor DHCP, pero los CSIRT avanzados tendrán la capacidad de VPN directamente), con, como mínimo, DNS RPZ o capacidades de DNS Blackhole, como máximo, tal vez una plataforma de red completa o de sistema engañoso. 2) Podría ser que esta red aislada sea su plataforma de imágenes (p. Ej., Microsoft SCCM, CloneZilla, FogProject, Symantec Client Management, anteriormente Altiris o Ghost) con PXE-boot Capacidades Esto sería una excelente ubicación para un Malware Management Framework (MMF), una capacidad DFIR madura que ayuda en estos escenarios. Si el MMF puede identificar de forma manual o automática procesos, archivos, entradas de registro y / u otros artefactos sospechosos de ransomware, vuelva al modo de investigación.
  • (Opcional) Active cualquier proceso o plataforma DFIR. Un programa DFIR muy maduro tendrá algunos elementos avanzados en su lugar. Continuando desde antes (y con suerte en la misma red aislada, aunque estas capacidades también son excelentes para tener en las redes de producción), estas podrían incluir: 3) Un entorno de análisis forense, especialmente un sistema forense distribuido, como Respuesta rápida de Google. Otro componente que se encuentra aquí sería una capacidad de generación de imágenes remota basada en el cliente, como NBDServer. La principal diferencia es que GRR es un sistema orientado a la colección basado en agentes con una interfaz web, mientras que NBDServer es una forma de conectar una estación de trabajo forense Linux a una computadora Windows comprometida. Es posible que desee ambos, pero GRR también funcionará con macOS (consulte también osquery). 4) Herramientas forenses que capturan artefactos específicos para procesarlos en estaciones de trabajo forenses. Mi favorito, y está incluido en GRR, es pmem (es decir, winpmem, linpmem, osxpmem). Un repositorio reciente para descargarlos directamente está disponible aquí, y puede haber actualizaciones posteriores aquí. Abra un shell cmd.exe haciendo clic con el botón derecho en Ejecutar como administrador (o shell de terminal macOS / Linux con derechos sudo / root) y luego ejecute la utilidad pmem. Una vez que haya recopilado el resultado, copie los artefactos en su estación de trabajo forense y analícelos con rekall y / o el Volatility Framework (ambos son bien conocidos en la comunidad DFIR). Es bueno recopilar un segundo volcado de memoria usando BelkaSoft RAM Capturer para comparar, que instala un controlador de Windows. Otro favorito es FTKImager (la versión Lite está bien), y me gusta comenzar solo con la extracción del archivo de paginación para poder aprovechar la herramienta page_brute. Involucrar a cualquier nave comercial DFIR de última hora.
  • Discernir lo que se sabe bien y lo que se sabe mal. Confíe aquí en su MMF. Si no tiene uno, configure la versión más rápida que pueda. Además, MalwareBytes opera viendo cosas en acción. Por eso es importante dejar todo como estaba antes. Instale y ejecute MalwareBytes por primera vez ahora. No permita que reinicie la computadora. En lugar de cerrar una pestaña del navegador, vuelva a cargarla. En lugar de desplazarse a otro correo electrónico en su Outlook, vuelva a abrir el mismo documento defectuoso conocido que quizás fue la causa del ransomware. Verifique rápidamente el historial del navegador y desplácese por el cliente de correo electrónico si está abierto en busca de otros eventos (generalmente dentro de los 10 minutos antes de que el usuario final crea que se produjo la infección) y actúe sobre ellos si parecen estar relacionados. Recuerde, no está en Internet completo, solo una red que responde a las consultas de DNS y las reenvía a algún servicio falsificado localmente.

Ciclo de mitigación (elimine el comprometerse por cualquier medio y asegurarse de que no vuelva. Restaure la máquina a un estado de funcionamiento)

  • Agáchese. No ha reiniciado, cerrado ningún programa, o conectado a Internet global todavía, ¿verdad? Bueno. Llame al DFIR completo por ahora y cierre todos los programas visibles. Ha ejecutado MalwareBytes en una red falsa. Es de esperar que también haya reunido artefactos de la memoria en ejecución (incluido el archivo de paginación) con todos los programas abiertos. Incluso puede eliminar procesos defectuosos ahora (si MalwareBytes aún no lo ha hecho). Consulte su MMF para determinar los procesos que se conocen bien y prácticamente elimine todo, excepto los necesarios para mantener el sistema operativo en funcionamiento, a menos que tenga que ver con lo que estamos haciendo a continuación: verificar las copias de seguridad locales o remotas y la Instantánea de volumen Servicio (VSS).
  • Descubra qué se puede restaurar y qué no. Windows XP crea un Punto de restauración del sistema cada 24 horas. Sin embargo, desde Windows 7, existe un mecanismo de instantáneas de volumen, que también crea archivos de copia de seguridad, etc. Todas estas acciones ocurren automáticamente sin ninguna actividad del usuario. Si puede, clone todo el disco. Si no puede debido al tiempo limitado, el espacio en disco u otra clasificación, acceda a las capacidades de copia de seguridad integradas del sistema operativo. Supongamos Win7 o superior por un segundo, y puede seguir aquí, pero originalmente obtuve las ideas del libro Operating System Forensics (y también está cubierto en Incident Response & Computer Forensics, tercera edición):
  C: \ Windows \ system32> vssadmin list shadows [...] Contenido del ID del conjunto de instantáneas: {45540ad8-8945-4cad-9100-5b4c9a72bd88} Contenía 1 instantáneas en el momento de la creación : 3/4/2012 5:06:01 PM ID de copia de sombra: {670353fe-16ff-4739-ad5e-12b1c09aff00} Volumen original: (C:) \\? \ Volume {33faab95-9bc6-11df-9987-806e6f6e6963} \ Shadow Copy Volume: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy27 Máquina de origen: funhouse Service Machine: funhouse Proveedor: 'Microsoft Software Shadow Copy provider 1.0' Tipo: ClientAccessibleWriters Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Auto recuperado  

mklink / D c: \ vss \\? \ GLOBALROOT \ D evice \ HarddiskVolumeShadowCopy27 y puede cd \ vss y dir para ver si los archivos que tenían la extensión de archivo ransomware (es decir, los archivos o directorios que se cifraron ) están disponibles en un estado no encriptado atravesándolo como una ruta raíz. Luego puede rmdir \ vss cuando haya terminado, intentando otra iteración de HarddiskVolumeShadowCopy como desee. Harlan Carvey y Forensics Wiki también han detallado estos métodos.

  • Asegúrese de haber recopilado toda la información que necesita antes de reiniciar. Con MalwareBytes instalado, querrá reiniciarse. Sin embargo, es posible que desee instalar algunos otros paquetes antes de reiniciar. Si tuvo un problema con la restauración del sistema o la restauración de archivos VSS, consulte el Arsenal Recon Image Mounter (es especialmente importante probar esto porque el ransomware puede ir tras los puntos de restauración y el propio VSS, deshabilitarlos). Otra gran cosa que puede hacer antes de reiniciar es realizar una operación de clonación de invitado de máquina virtual P2V, generalmente con VMware vCenter Converter. Debido a que probablemente también se volverá a conectar a Internet global después del reinicio, también asegúrese de poder actualizar a los parches de nivel de sistema operativo y de aplicación. Es posible que desee consultar la versión de prueba gratuita de Corporate Software Inspector de Flexera (anteriormente Secunia) si no tiene nada más. Otro favorito es el programa Microsoft Baseline Security Analyzer (MBSA). Verifique algunas configuraciones, como el Firewall de Windows o la sección Privacidad de macOS Security & de Preferencias del sistema. Si desea ver una gran lista de configuraciones de seguridad, asegúrese de consultar la herramienta gratuita, Airlock, de Lunarline (NB, solo funciona con las versiones 7, 8 y 8.1 del sistema operativo Windows y solo aplique la configuración de seguridad a las versiones 8, 9 y 10 de Internet Explorer, pero esta herramienta es fantástica en lo que respecta a la configuración segura). Asegúrese de que los recursos compartidos de red no se adjunten / reasignen cuando la computadora se reinicie. Puede comprobarlos en Windows y en macOS.
  • Restaurar; Restaurar; Restaurar. Lo último que debe hacer antes de reiniciar es verificar las ejecuciones automáticas. Para Windows, esto significa ejecutar Autoruns (nuevamente, intente obtenerlo a través de USB o red de laboratorio / recuperación en lugar de Internet global). Intente revisar cada elemento con un experto. En macOS, para revisar los elementos que se ejecutarán al inicio, vaya a Preferencias del sistema, Grupos de usuarios & y Elementos de inicio de sesión. Restaure reiniciando y prestando atención a MalwareBytes si se le solicita. Restaurar ejecutando MalwareBytes nuevamente. Restaurar obteniendo la aprobación para volver a conectarse a Internet global. Actualice MalwareBytes. Ejecute MalwareBytes nuevamente. Actualice su sistema operativo y ejecute cualquier programa de actualización de nivel de sistema operativo y de aplicación integrado o de terceros. Restaurar dejando que las actualizaciones se completen y reiniciando si se lo solicitan. Ahora es seguro copiar los archivos que restauró desde la copia de seguridad y sobrescribir los archivos cifrados. Asegúrese de haber restaurado todos los servicios / datos al estado en el que estaban antes de que ocurriera el incidente.
  • Use la computadora. ¿Está bien? ¿Todo ha vuelto a la normalidad? Está bien eliminar procesos o detener servicios que consideres que aún parecen aterradores. Si faltan archivos o no se pueden localizar desde las copias de seguridad, ¿cuál es el siguiente recurso? Mi sugerencia es copiar todos los archivos aún cifrados en un almacenamiento sin conexión, como una unidad USB. Quizás en un momento posterior se creará una utilidad de recuperación para los archivos de ransomware. ¿Actúa la computadora como si aún tuviera malware (no solo ransomware)? Si es así, colóquelo en cuarentena y escale la investigación, la experiencia y las capacidades de DFIR.
  • Esté dispuesto a usar una computadora diferente incluso si parece estar bien. Esté dispuesto a entregar su computadora a un experto. Esté dispuesto a permitir que permanezca en cuarentena por más tiempo. Tenga en cuenta y prepárese que durante la siguiente y última fase, nunca más podrá ver esta computadora en particular.

Ciclo de erradicación (comprenda la situación, una revisión posterior a la acción)

  • Descubra cómo se ejecutó o instaló el ransomware. Revise y registre lo que sucedió, qué que ha documentado, etc. Almacene la información y trabaje con un sistema más formal, como Raquet, nightHawkResponse, SOF-ELK , malcom, malcontrol o MISP. Utilice cualquier SIEM formal o sistema de emisión de tickets para realizar un seguimiento de este problema o busque problemas anteriores relacionados, como MozDef. Sin embargo, llegue al fondo de cómo se instaló o ejecutó: debe comprender cómo funciona. Si no puede hacer esto manualmente, al menos utilice algún tipo de Análisis automatizado de malware (AMA). Si su UTM en la oficina es Palo Alto Networks y su empresa tiene una licencia para WildFire, entonces ya tiene AMA. Otras plataformas AMA comerciales incluyen: Lastline, Cyphort, Check Point, McAfee Sandbox (Advanced Threat Defense o ATD), Symantec Blue Coat, FireEye, Trend Micro Deep Discovery Sandbox, Fidelis, Cisco ThreatGRID y Fortinet. Los he identificado aquí para que pueda preguntar a sus equipos de líderes de tecnología de TI o de InfoSec si existe alguno para que puedan ir a ver qué encontraron. Si no hay nada, quizás llame al proveedor y pregunte por qué no.
  • Extraiga las características y el comportamiento del ransomware para establecer la correlación. Compare hashes y otros indicadores de compromiso (IoC) con valores conocidos como incorrectos con más profundidad que lo que ha ocurrido. lejos. Si la infección de ransomware provino de una macro maliciosa en un documento de Office (o incluso directamente desde un correo electrónico), extraiga las macros de VBA con las herramientas de Didier Stevens: emldump y oledump. Para conocer el comportamiento completo de un ejecutable que encontró en sus análisis forenses de memoria, Cuckoo Sandbox en sus muchas, muchas iteraciones (incluido el envío en línea service, Malwr, que se basa en él) es la herramienta de referencia (¡incluso para los binarios de macOS!). Similares a Malwr son Payload Security, Comodo Camas, Comodo Valkyrie, MalwareViz, ThreatExpert, ThreatTrack y Vicheck, todos extraídos de libros que cubren capturas de pantalla y técnicas de análisis profundo con títulos como: Advanced Malware Analysis, así como: Windows Malware Analysis Essentials. Para obtener una herramienta comercial más barata, consulte JoeSecurity, un sitio que tiene muchas referencias útiles sobre AMA en su blog. Si el ransomware hizo alguna conexión de red (o se encontró cualquier otra comunicación maliciosa en la computadora), averigüe a dónde se dirigía y por qué.
  • Conozca a su enemigo y responda en consecuencia. No tiene que ser (o asignar o contratar) un experto en inteligencia de amenazas o DFIR para raspar la superficie de su ataque de ransomware (aunque ayuda). Sin embargo, si sabe que tiene APT Ransomware en lugar de un ransomware con fines delictivos, entonces tiene un problema especial. Quizás el ransomware se entregó a través de la red local, como a través de un objeto de política de grupo de Microsoft Active Directory (AD GPO). Si sospecha que los ataques son dirigidos (por ejemplo, solo las computadoras de su ejecutivo han tenido ransomware, o solo personas de alto perfil), entonces realmente necesita que alguien más califique su tarea por usted. Si crees que puedes hacerlo tú mismo, adelante. Este sitio te ayudará en tu búsqueda: http://www.threathunting.net
  • Detenga el daño de forma proactiva antes del próximo evento. Si se trataba solo de su computadora, considere actualizar su sistema operativo o habilitar el nivel más alto de UAC como sea posible (o ambos). Compruebe la configuración del panel de control de Windows Update. Si es un profesional de TI o de InfoSec que ayuda a otros con ransomware, entonces es hora de revisar dos políticas: 1) su política de no administración, es decir, los usuarios finales habituales no deben tener acceso de administrador, y 2) su política de lista blanca de aplicaciones. Hay algunos trucos para la inclusión de aplicaciones en la lista blanca que debe conocer, especialmente para Windows. Lea esta presentación de diapositivas, especialmente comenzando con la diapositiva 15: http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - y tenga en cuenta que las siguientes diez diapositivas (15-25) le evitarán obtener ransomware de forma gratuita, prácticamente de forma permanente. Sin embargo, le sugiero que lea las diapositivas 29 a 37 para comprender que necesita instalar PowerShell v5 en cada computadora de usuario final con la política de lista blanca de aplicaciones de AppLocker. No es una tarea fácil, pero si está interesado, pregunte en los comentarios y responderé allí o actualizaré mi respuesta aquí.
  • Actualización; Actualizar; Actualizar. Actualice todos los sistemas operativos no compatibles en su red (reducen sus opciones a medio plazo y capacidades defensivas, incluida la postura). Actualice a un sistema operativo más nuevo. Ejecute las actualizaciones de su sistema operativo. Actualice sus aplicaciones. Actualice sus complementos. Actualice su paquete de Office. Si puede actualizar a Office 2016, puede usar un GPO de AD simple (similar al AppLocker que se describe directamente arriba) para Bloquear macros para que no se ejecuten en archivos de Office desde Internet.
  • Asegúrese de mantenerse actualizado. No facilite decir no a la actualización (de ahí la política de no administración). Inserte un GPO para cambiar la Política de equipo local - Configuración del equipo - Plantillas administrativas - Componentes de Windows - Elementos de Windows Update. Por ejemplo, cambie Volver a solicitar reinicio con instalaciones programadas a Habilitar con 1440 (24 horas) después de configurar Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas a Habilitado. Termine con Permitir la instalación inmediata de actualizaciones automáticas a Enabled también. Notifique a todos los usuarios finales a través de la política escrita y la orientación al empleado o al contratista que la compañía asumirá que si su computadora está encendida, entonces la compañía puede requerir que se reinicien al menos cada dos días. Ésta es una política justa. Algunos usuarios, especialmente los trabajadores de CAD, prefieren dejar sus computadoras encendidas durante varios días o semanas seguidas (¡algunos incluso meses!). Asegúrese de tener un proceso de excepción adecuado para estos usuarios finales, pero también asegúrese de que se les aplique un parche a alguna política de excepción acordada con controles alternativos o de compensación acordados adicionales. La mayoría no lo hará, ¡así que no los dejes! Las computadoras Apple pueden tener un cronjob de nivel raíz que ejecute softwareupdate -i -a diariamente. ¿Recuerda la red de arranque PXE utilizada en el ciclo de contención? Asegúrese de que las imágenes de instalación de línea de base se actualicen de acuerdo con estas mismas políticas (es decir, día por medio), preferiblemente a través de la automatización. Mientras esté allí, asegúrese de actualizar cualquier otro software local (a través del Inspector de software corporativo o similar) y, en particular, el software antivirus o las actualizaciones de agentes. ¡Es posible que haya escuchado (yo ciertamente) las historias de que un nuevo empleado o contratista recibe una computadora portátil con una nueva imagen y obtiene malware o ransomware el primer día de trabajo! Evite que ocurran estos escenarios manteniendo sus imágenes de referencia actualizadas también, ¡y esto funciona muy bien junto con el sistema MMF que ha construido en esa misma red aislada! ¡Mantenga actualizados esos hashes conocidos! También es un buen lugar para comenzar a realizar un seguimiento del inventario de activos de todos los usuarios y elementos que componen su empresa.
  • Afile la sierra. Su equipo de InfoSec y / o su administración de TI deben saber qué están haciendo realmente mal aquí que el ransomware está activamente en su entorno. Hay tantas opciones gratuitas (o ya pagadas) que pueden tener. Uno por el que acabo de pasar se llama Microsoft RAP de sus Proactive Premier Services. Si los vectores provienen de macros, solucione ese problema; USB, ese; APT, bueno, solo haga todo lo posible por cada problema (no el síntoma) que pueda. La plataforma de diapositivas que cité en la sección Proactive Stem tiene muchas ideas gratuitas, fáciles e inmediatas para cosas que se pueden implementar a nivel de red, para transmisión de registros, para administración de sistemas o a nivel organizacional. Consulte también este documento: https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf, que es de donde obtuve muchas de estas ideas.
http://ransomwareprevention.com/ransomware-notes/
#9
+1
Mars
2016-08-15 08:39:56 UTC
view on stackexchange narkive permalink

NOTA: Como la "mejor respuesta" parece estar más orientada a los usuarios avanzados (incluso al nivel de los equipos de respuesta a incidentes), esto será fácilmente factible para cualquier usuario con conocimientos sobre Linux y Live CDs.

.

.

A riesgo de parecer ignorante, responderé una sola línea:

Apague la PC e inicie Live Linux CD.


DETALLE:

Si es un sistema operativo Windows, encienda el sistema Apague y arranque un Live CD de Linux. Haga una copia de seguridad de sus datos y luego clone la copia de seguridad. Mantenga uno seguro e intente ejecutar el otro en un sistema operativo limpio.

Si es Linux, entonces el ransomeware está diseñado para funcionar en Linux, por lo tanto, el mismo proceso de copia de seguridad, pero luego ejecútelo en un sistema operativo diferente (es decir, * BSD, Windows, Android (creado en Linux pero muy diferente en mi experiencia).

Por supuesto, como dijo el desarrollador de ransomeware, es mejor dejar que termine. Si se detiene a mitad del proceso, lo más probable es que nunca recupere lo que ya se ha cifrado. No tendrá una identificación con la que comunicarse con los desarrolladores, y es posible que aún no hayan recibido su clave de cifrado. Opcionalmente, puede combinar ambos. Use lo que dije antes y luego simplemente reinicie el sistema infectado y déjelo terminar.

Declamar: Soy una papa humana; es decir, NO desarrollador de nada

#10
  0
CoffeDeveloper
2016-04-21 13:47:55 UTC
view on stackexchange narkive permalink

El ransomware se está propagando solo porque la gente lo paga, las preguntas y respuestas ayudan a que el ransomware tenga una reputación que probablemente hará que la gente pague. Es mucho mejor invertir algo de dinero en un buen antivirus que tener que pagar más tarde para recuperar sus datos.

Si interrumpir el proceso en el medio puede ser perjudicial (porque los desarrolladores querían que no intentara detener el cifrado) ), no hay nada que evite una interrupción anormal con la pérdida de datos relacionada (manteniendo presionado el botón RESET durante algunos segundos, una pantalla azul causada por un controlador con errores ...). En general, los datos cifrados ya no tolera pequeños errores de bits individuales (un bit incorrecto no hace ninguna diferencia en un archivo de texto, pero un bit incorrecto en los datos cifrados causa la pérdida de todos los datos)

También el Los desarrolladores de ransomware deberían pagarle una pequeña fracción del precio de su disco duro, porque muchas operaciones de E / S reducen la vida útil de su disco duro.

Otro punto importante, simplemente restablezca la contraseña de sus cuentas , pero aún no ingrese el código de reactivación . El daño del ransomware puede ser limitado si algunos datos están alojados en servicios en la nube o en algún tipo de servidor, lo que significa que si el malware obtiene acceso a sus credenciales / sesiones, puede acceder a los datos almacenados de forma segura, aumentando el daño. Restablecer las contraseñas bloqueará el acceso a sus cuentas (siempre que su teléfono inteligente no esté infectado y el código de reactivación no sea interceptado).

Muchos servicios web que brindan un inicio de sesión único también permiten administrar el acceso a los dispositivos y hacer algo acción en caso de credenciales robadas (o supuestas credenciales robadas).

Es como uno de los problemas matemáticos en la teoría de juegos, ¿pagará para obtener una pequeña ventaja de inmediato (recuperación de sus datos) o simplemente ignorar el Ransomware que lo deja salir del negocio haciendo el "bien" a largo plazo para todos?

Su primer punto es que hacer preguntas sobre ransomware y responderlas, ¿realmente beneficia a los creadores de ransomware al hacer que más personas paguen?¿Qué tipo de correlación podría respaldar esto? Estoy de acuerdo con su segundo punto.Deberíamos cambiar las contraseñas de las cuentas de almacenamiento en la nube, en caso de que el ransomware las haya robado. Su último punto parece ser que es inmoral pagar el rescate, porque está financiando actividades delictivas.En parte estoy de acuerdo con eso.Pero si los datos fueran, por ejemplo, datos médicos necesarios con urgencia que salvarían la vida de alguien, probablemente pagaría.
Gracias por el comentario, sí, no le pagaría a alguien que no tenga la reputación de restaurar mis datos.Estoy sugiriendo que podría haber una correlación con las preguntas y respuestas con la reputación de Ramsomware.Sin reputación = sin dinero, ¿cómo puede alguien estar seguro de que se devolverán los datos y de que ya no habrá una segunda infección de Ramson?No hay promesa ni garantía, solo reputación.(por cierto, me gustó mucho su comentario, deja claro mi punto de vista) De todos modos, ¿no se supone que los datos médicos críticos se respalden regularmente?
Sobre la reputación: los autores de ransomware son delincuentes conocidos, pero puede investigar el ransomware exacto en cuestión para ver si se sabe que restauran los datos.En cuanto a la repetición de la infección, simplemente tomaría los datos que necesita y luego formatearía su disco duro.De hecho, tendría que escanear los archivos recuperados con mucho cuidado para detectar posibles infecciones.Mi punto sobre los datos médicos fue simplemente hipotético para ilustrar un caso en el que los datos son increíblemente importantes.En cuanto a su idea de la correlación de preguntas y respuestas, todavía no entiendo a qué se refiere.
Por cierto, también odiaría pagar un rescate y trataría de evitarlo a la mayor parte de los costos.Afortunadamente nunca he estado en esa situación.
El hecho de que afirme que son "delincuentes conocidos" muestra exactamente mi punto, ¿cómo lo sabemos?es solo una cuestión de reputación (mala o buena).Los virus y malwares más eficaces son los que actúan también sobre los mecanismos sociales.Mientras la gente lea "Tengo que pagar, no hay otras soluciones posibles", la gente pagará.Mientras la gente lea "Es equivalente a una falla del disco duro", la gente simplemente hará copias de seguridad de forma más regular y es menos probable que pague para recuperar los datos.
No tienes garantía absoluta.Pero digamos que algunos de los documentos valían millones de dólares y no tenía respaldo.En tal situación, si hubiera buscado en Google el tipo exacto de ransomware en cuestión y hubiera descubierto que normalmente restauran / descifran los datos, pagaría.Solo estoy inventando un ejemplo extremo para ilustrar un punto.
De hecho, tienen reputación y ese es su punto fuerte.Ayudarles a construir una reputación "gratis" es un trabajo no remunerado para mí.Otro hecho, suponga que Ramsomware comenzó con muy buenas intenciones, suponga que usted fue el programador que lo creó por primera vez y pidió poco dinero para restaurar cosas por valor de millones de dólares.Ahora estás "bien".Pero es muy fácil copiar-pegar el binario una vez creado y usarlo para propósitos malvados.Dice una empresa que usualmente robaba información de tarjetas de crédito poniendo sus manos en ese lindo software y pidiendo mucho dinero a todas las personas, incluso en computadoras de hospitales.
Permítanos [continuar esta discusión en el chat] (http://chat.stackexchange.com/rooms/38680/discussion-between-fiksdal-and-dariooo).


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...