Если вы не видите здесь изображений, то используйте VPN.

среда, 22 марта 2017 г.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика


Руководство для пострадавшего от вымогателей


   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Пострадавшие стремятся сразу удалить инфекцию. В данном случае это неправильно. В большинстве случаев требуется сначала найти исполняемый файл крипто-вымогателя, чтобы выяснить какой шифровальщик зашифровал файлы. Изучение вашего случая будет невозможно, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением считается отключение запуска инфекции с корректировкой её записи в Автозагрузке системы, создание дампа памяти процесса вредоноса и нейтрализация инфекции. В этих случаях важно не очищать карантин антивируса и не удалять вредоносные файлы без запаковки их резервных копий в архив с паролем. 

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk, Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic и пр., то сразу после атаки шифровальщика не используйте эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы шифровальщика, которые нужны для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами можно возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Дешифровщики от вымогателей также не могут быть абсолютно точны, т.к. крипто-вымогатели часто обновляются своими создателями, имеют недостатки в работе и могут повредить файлы в процессе дешифровки. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Происходит довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Рекомендуем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если обнаружите в журнале событий такие или даже пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или же смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь провести атаку и получить доступ к системе.

5. Выясните, какой шифровальщик атаковал ваш ПК!
Очень важно определить каким шифровальщиком был атакован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств. По результатам идентификации сервис выдаёт ссылку на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

6. Поищите и сохраните исполняемые файлы вредоноса
Очень важно для ваших зашифрованных файлов найти исполняемые файлы вредоноса. Для этого будет полезна моя краткая статья "Где прячутся вредоносы". Предварительно включите показ скрытых файлов и папок. Затем просмотрите все эти директории и, найдя в них exe, js, vbs и прочие подозрительные файлы, заархивируйте их в разные архивы с паролями "virus". Но ни в коем случае НЕ ЗАПУСКАЙТЕ ЭТИ ФАЙЛЫ, чтобы посмотреть, что это такое!!! Собранные файлы желательно предоставить для изучения специалистам. Я рекомендую для этого специальную форму для отправки вредоносов на сайте BleepingComputer. Перевод этой формы на русский язык вам в помощь. 


7. Не удаляйте все записки о выкупе, чтобы вам не советовали!!! 
Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадутся записки с разным текстом о выкупе или с разными ID (набор цифр и букв), то скопируйте все разные файлы записок, не поленитесь, это в ваших же интересах. Если записки различаются друг от друга хоть чем-то, не перемещайте их из тех папок, где они находятся. Довольно часто встречается двойное или многоразовое шифрование, либо для шифрования используются онлайн- или оффлайн-ключи. Также шифровальщики могут друг за другом зашифровать файлы. В результате чего на один дешифруемый файл накладывается подобное или совершенно другое шифрование, а файл становится потерянным навсегда. Будьте внимательны и благоразумны! 

 Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Вам могут быть полезны статьи: 
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".
"Актуальная защита персонального компьютера"


Что делать дальше? 


Рекомендую сначала свериться с моим списком дешифровщиков и при удачной находке, ознакомившись до начала дешифрования с "Общими рекомендациями" (на втором сайте), попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию конкретного дешифровщика. Это важно, потому что могут быть различия на начальном этапе. 

Если вы идентифицировали крипто-вымогателя (шифровальщика) с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, где получить бесплатную 
или даже платную помощь, если бесплатная невозможна:

1) форум бесплатной помощи и дешифровки на сайте BleepingComputer (о нём рассказано выше).

2) форум бесплатной помощи и дешифровки на сайте Emsisoft;
Эти форумы на английском языке. Google-переводчик вам в помощь.

3) KasperskyClub - форум бесплатной помощи после атаки шифровальщиков. Форум на русском языке. Администрация строгая, но хелперы опытные.

4) форум Dr.Web и служба платной помощи после атаки шифровальщиков.
а) запрос на английском языке; б) запрос на русском языке;

5) обращение к Emmanuel_ADC-Soft, партнёру Dr.Web или ко мне, через форму обратной связи (см. ниже этой статьи).


Верните свои файлы!

!!! Обязательно сообщите хелперам название идентифицированного здесь крипто-вымогателя (шифровальщика). Сохраните и передайте им записку о выкупе. 
!!! ВНИМАНИЕ, если вы обратились за помощью на один из этих форумов, то терпеливо ждите ответа и результатов анализа, не покидайте форум и не переставляйте систему. Это в ваших интересах. Подробности в начале этой статьи. 

*| По моим данным, среди русскоязычных форумов по оказанию бесплатной помощи мало достойных этого списка. Никого не хочу обидеть, но пользователи сообщают мне, что на других форумах им грубят, удаляют их сообщения, блокируют аккаунты без объяснения причин, в том числе грубят некоторые представители администрации. Мы с помощниками провели проверки и факты произвола подтвердились. По факту такую "помощь" и помощью назвать нельзя. Можно было бы назвать эти форумы и этих людей, но оказалось, что многие небезгрешны... Всё же многое зависит от вас, дорогие пользователи, как говорится, "в чужой монастырь со своим уставом не ходят". 

У вас есть достойные кандидатуры российских сайтов по оказанию помощи и дешифровке? 
Присылайте нам свои предложения и ссылки, рассмотрим варианты. 
Добавляйте в комментарии или форму обратной связи. Мы проверим. 
Если вам не по нраву обращение на любые форумы, выбирайте выше 5 пункт

----
В благодарность за статью вы можете сделать перевод на любую сумму на карту Сбербанка России. 


-----

 Read to links: 
 First steps when dealing with Ransomware (копия)
 Ransomware Help & Tech Support (BleepingComputer)
 Help, my files are encrypted! (ex-forum Emsisoft)
 Identify Ransomware, List of Crypto-Ransomware
 Ссылки для чтения: 
 Первые шаги после атаки Ransomware (копия)
 Помощь и техподдержка пострадавших (BleepingComputer)
 ID Ransomware, Список шифровальщиков-вымогателей
 Thanks: 
 Fabian Wosar, David Biggar (Emsisoft)
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie (ID Ransomware)

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *