среда, 22 марта 2017 г.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика


Руководство для пострадавшего от вымогателей


   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Пострадавшие стремятся сразу удалить инфекцию. В данном случае это неправильно. В большинстве случаев требуется сначала найти исполняемый файл крипто-вымогателя, чтобы выяснить какой шифровальщик зашифровал файлы. Изучение вашего случая будет невозможно, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением считается отключение запуска инфекции с корректировкой её записи в Автозагрузке системы, создание дампа памяти процесса вредоноса и нейтрализация инфекции. В этих случаях важно не очищать карантин антивируса и не удалять вредоносные файлы без запаковки их резервных копий в архив с паролем. 

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk, Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic и пр., то сразу после атаки шифровальщика не используйте эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы шифровальщика, которые нужны для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами можно возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Дешифровщики от вымогателей также не могут быть абсолютно точны, т.к. крипто-вымогатели часто обновляются своими создателями, имеют недостатки в работе и могут повредить файлы в процессе дешифровки. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Происходит довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Рекомендуем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если обнаружите в журнале событий такие или даже пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или же смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь провести атаку и получить доступ к системе.

5. Выясните, какой шифровальщик атаковал ваш ПК!
Очень важно определить каким шифровальщиком был атакован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств. По результатам идентификации сервис выдаёт ссылку на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

6. Поищите и сохраните исполняемые файлы вредоноса
Очень важно для ваших зашифрованных файлов найти исполняемые файлы вредоноса. Для этого будет полезна моя краткая статья "Где прячутся вредоносы". Предварительно включите показ скрытых файлов и папок. Затем просмотрите все эти директории и, найдя в них exe, js, vbs и прочие подозрительные файлы, заархивируйте их в разные архивы с паролями "virus". Но ни в коем случае НЕ ЗАПУСКАЙТЕ ЭТИ ФАЙЛЫ, чтобы посмотреть, что это такое!!! Собранные файлы желательно предоставить для изучения специалистам. Я рекомендую для этого специальную форму для отправки вредоносов на сайте BleepingComputer. Перевод этой формы на русский язык вам в помощь. 


7. Не удаляйте все записки о выкупе, чтобы вам не советовали!!! 
Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадутся записки с разным текстом о выкупе или с разными ID (набор цифр и букв), то соберите все разные файлы записко, не поленитесь, это в ваших же интересах. Довольно часто у пострадавших от шифровальщиков обнаруживается двойное или многоразовое шифрование. Шифровальщики могут друг за другом зашифровать файлы. В результате чего на один дешифруемый файл накладывается подобное или совершенно другое шифрование, а файл становится потерянным навсегда. Будьте внимательны и благоразумны! 

 Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Вам могут быть полезны статьи: 
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".


Что делать дальше? 

Рекомендую сначала свериться с моим списком дешифровщиков и при удачной находке, ознакомившись до начала дешифрования с "Общими рекомендациями" (на втором сайте), попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию конкретного дешифровщика. Это важно, потому что могут быть различия на начальном этапе. 

Если вы идентифицировали крипто-вымогателя (шифровальщика) с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, где получить бесплатную 
или даже платную помощь, если бесплатная невозможна:

1) форум бесплатной помощи и дешифровки на сайте BleepingComputer (о нём рассказано выше).

2) форум бесплатной помощи и дешифровки на сайте Emsisoft;
Эти форумы на английском языке. Google-переводчик вам в помощь.

3) KasperskyClub - форум бесплатной помощи после атаки шифровальщиков. Форум на русском языке. Администрация строгая, но хелперы опытные.

4) форум Dr.Web и служба платной помощи после атаки шифровальщиков.
а) запрос на английском языке; б) запрос на русском языке;

5) обращение к Emmanuel_ADC-Soft, партнёру Dr.Web или ко мне, через форму обратной связи (см. ниже этой статьи).


Верните свои файлы!

!!! Обязательно сообщите хелперам название идентифицированного здесь крипто-вымогателя (шифровальщика). Сохраните и передайте им записку о выкупе. 
!!! ВНИМАНИЕ, если вы обратились за помощью на один из этих форумов, то терпеливо ждите ответа и результатов анализа, не покидайте форум и не переставляйте систему. Это в ваших интересах. Подробности в начале этой статьи. 

*| По моим данным, среди русскоязычных форумов по оказанию бесплатной помощи мало достойных этого списка. Никого не хочу обидеть, но пользователи сообщают мне, что на других форумах им грубят, удаляют их сообщения, блокируют аккаунты без объяснения причин, в том числе грубят некоторые представители администрации. Мы с помощниками провели проверки и факты произвола подтвердились. По факту такую "помощь" и помощью назвать нельзя. Можно было бы назвать эти форумы и этих людей, но оказалось, что многие небезгрешны... Всё же многое зависит от вас, дорогие пользователи, как говорится, "в чужой монастырь со своим уставом не ходят". 

У вас есть достойные кандидатуры российских сайтов по оказанию помощи и дешифровке? 
Присылайте нам свои предложения и ссылки, рассмотрим варианты. 
Добавляйте в комментарии или форму обратной связи. Мы проверим. 
Если вам не по нраву обращение на любые форумы, выбирайте выше 5 пункт



 Read to links: 
 First steps when dealing with Ransomware
 Ransomware Help & Tech Support
 Identify Ransomware
 Thanks: 
 Fabian Wosar
 BleepingComputer
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton