среда, 22 марта 2017 г.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика


Руководство для пострадавшего от вымогателей


   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Большинство пользователей стремятся удалить инфекцию как можно быстрее. В данном случае это неправильно. В большинстве случаев требуется сначала найти на вашем ПК исполняемый файл крипто-вымогателя, чтобы выяснить какой именно шифровальщик зашифровал файлы. Поиск правильного образца становится сложной задачей, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением можно считать отключение запуска инфекции, путём коррекции её записей в Автозапуске системы или фильтрацию инфекции. В любом из этих случаев важно не очищать карантин антивируса и не удалять вредоносные файлы без создания их резервных копий.

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk,  Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic, и пр., то после атаки шифровальщика немедленно отключите эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы вымогателей, которые потребуются для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами вы можете возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Декриптеры от вымогателей также не могут быть абсолютно точны, так как вымогатели часто обновляются своими создателями, или просто глючат и могут привести к повреждению файлов в процессе восстановления. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создавать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Ныне наблюдается довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Настоятельно предлагаем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если  обнаружите такие записи или найдёте в журнале событий пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или хотя бы смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь получить доступ к системе.

5. Выясните, какой крипто-вымогатель инфицировал ваш ПК!
Очень важно определить каким вымогателем был инфицирован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств вымогателей. По результатам идентификации сервисом выдаётся ссылка на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Что делать дальше? 

Если вы установили крипто-вымогателя с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, на каком из форумов получить бесплатную помощь:
1) форум помощи и поддержки на сайте BleepingComputer;
2) форум помощи и поддержки на сайте Emsisoft;
3) форум помощи и поддержки на сайте VirusInfo.

Рекомендуем также свериться со списком дешифровщиков и при удачной находке, ознакомившись там же с "Общими рекомендациями", попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию дешифровщика. 



 Read to links: 
 First steps when dealing with Ransomware
 Ransomware Help & Tech Support
 Identify Ransomware
 Thanks: 
 Fabian Wosar
 BleepingComputer
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *