среда, 22 марта 2017 г.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика


Руководство для пострадавшего от вымогателей


   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Пострадавшие стремятся сразу удалить инфекцию. В данном случае это неправильно. В большинстве случаев требуется сначала найти исполняемый файл крипто-вымогателя, чтобы выяснить какой шифровальщик зашифровал файлы. Изучение вашего случая будет невозможно, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением считается отключение запуска инфекции с корректировкой её записи в Автозагрузке системы, создание дампа памяти процесса вредоноса и нейтрализация инфекции. В этих случаях важно не очищать карантин антивируса и не удалять вредоносные файлы без запаковки их резервных копий в архив с паролем. 

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk, Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic и пр., то сразу после атаки шифровальщика не используйте эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы шифровальщика, которые нужны для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами можно возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Дешифровщики от вымогателей также не могут быть абсолютно точны, т.к. крипто-вымогатели часто обновляются своими создателями, имеют недостатки в работе и могут повредить файлы в процессе дешифровки. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Происходит довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Рекомендуем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если обнаружите в журнале событий такие или даже пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или же смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь провести атаку и получить доступ к системе.

5. Выясните, какой шифровальщик атаковал ваш ПК!
Очень важно определить каким шифровальщиком был атакован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств. По результатам идентификации сервис выдаёт ссылку на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

6. Поищите и сохраните исполняемые файлы вредоноса
Очень важно для ваших зашифрованных файлов найти исполняемые файлы вредоноса. Для этого будет полезна моя краткая статья "Где прячутся вредоносы". Предварительно включите показ скрытых файлов и папок. Затем просмотрите все эти директории и, найдя в них exe, js, vbs и прочие подозрительные файлы, заархивируйте их в разные архивы с паролями "virus". Но ни в коем случае НЕ ЗАПУСКАЙТЕ ЭТИ ФАЙЛЫ, чтобы посмотреть, что это такое!!! Собранные файлы желательно предоставить для изучения специалистам. Я рекомендую для этого специальную форму для отправки вредоносов на сайте BleepingComputer. Перевод этой формы на русский язык вам в помощь. 


Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Что делать дальше? 

Рекомендую сначала свериться с моим списком дешифровщиков и при удачной находке, ознакомившись до начала дешифрования с "Общими рекомендациями" (на втором сайте), попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию конкретного дешифровщика. Это важно, потому что могут быть различия на начальном этапе. 

Если вы идентифицировали крипто-вымогателя (шифровальщика) с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, где получить бесплатную 
или даже платную помощь, если бесплатная невозможна:

1) форум бесплатной помощи и дешифровки на сайте BleepingComputer (о нём рассказано выше).

2) форум бесплатной помощи и дешифровки на сайте Emsisoft;
Эти форумы на английском языке. Google-переводчик вам в помощь.

3) KasperskyClub - форум бесплатной помощи после атаки шифровальщиков. Форум на русском языке. Администрация строгая, но хелперы опытные.

4) форум Dr.Web и служба платной помощи после атаки шифровальщиков.
а) запрос на английском языке; б) запрос на русском языке;

5) обращение к Emmanuel_ADC-Soft, партнёру Dr.Web или ко мне, через форму обратной связи (см. ниже этой статьи).


Верните свои файлы!

!!! Обязательно сообщите хелперам название идентифицированного здесь крипто-вымогателя (шифровальщика). Сохраните и передайте им записку о выкупе. 
!!! ВНИМАНИЕ, если вы обратились за помощью на один из этих форумов, то терпеливо ждите ответа и результатов анализа, не покидайте форум и не переставляйте систему. Это в ваших интересах. Подробности в начале этой статьи. 

*| По моим данным, среди русскоязычных форумов по оказанию бесплатной помощи мало достойных этого списка. Никого не хочу обидеть, но пользователи сообщают мне, что на других форумах им грубят, удаляют их сообщения, блокируют аккаунты без объяснения причин, в том числе грубят некоторые представители администрации. Мы с помощниками провели проверки и факты произвола подтвердились. По факту такую "помощь" и помощью назвать нельзя. Можно было бы назвать эти форумы и этих людей, но оказалось, что многие небезгрешны... Всё же многое зависит от вас, дорогие пользователи, как говорится, "в чужой монастырь со своим уставом не ходят". 

У вас есть достойные кандидатуры российских сайтов по оказанию помощи и дешифровке? 
Присылайте нам свои предложения и ссылки, рассмотрим варианты. 
Добавляйте в комментарии или форму обратной связи. Мы проверим. 
Если вам не по нраву обращение на любые форумы, выбирайте выше 5 пункт


Вам могут быть полезны статьи: 
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".


 Read to links: 
 First steps when dealing with Ransomware
 Ransomware Help & Tech Support
 Identify Ransomware
 Thanks: 
 Fabian Wosar
 BleepingComputer
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton