Если к вам пришел...::Журнал СА 6.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6412
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4394
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3232
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7363
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12444
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14095
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Если к вам пришел...

Архив номеров / 2015 / Выпуск №6 (151) / Если к вам пришел...

Рубрика: Безопасность /  Угрозы

Владимир Мартьянов ВЛАДИМИР МАРТЬЯНОВ, инженер – вирусный аналитик, компания «Доктор Веб»

Если к вам пришел...

Предположим, вы (или сотрудник вашей компании) увидели на экране требование выкупа за возврат в целости и сохранности данных, зашифрованных троянцем-шифровальщиком (энкодером). Что делать?

Главная задача – сохранить как можно больше файлов незашифрованными.

Если вы заметили, что файлы начали шифроваться только что или совсем недавно, выдергивайте провод питания из зараженного компьютера!

Да, совет вызывает обоснованные опасения по поводу потери данных на диске. Но вы и так их теряете каждую секунду раздумий – троянец, вполне возможно, все еще продолжает шифровать ваши файлы. Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования какая-то их часть остается нетронутой. И чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остается. Раз наша задача сохранить какможно большее их количество, нужно прекратить работу энкодера. Можно в принципе начать анализировать список процессов, искать, где в них троянец, пытаться его завершить… Но выдернутый шнур питания – это гораздо быстрее! Штатное завершение работы операционной системы не только занимает некоторое время. Троянец вполне может ему препятствовать или даже имитировать выключение устройства в целях продолжения работы.

Естественно, дамп оперативной памяти, снятый в момент работы троянца, может очень сильно помочь в целях расшифровки, но простой пользователь наверняка не знает, как его сделать, и на поиски способов или действующей в компании инструкции уйдет много драгоценного времени.

Естественно, есть риск – вероятность повреждения файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Поврежденная файловая система для неподготовленного человека – проблема посерьезнее, чем энкодер. После энкодера остаются хотя бы файлы, повреждение же таблицы разделов приведет к невозможности загрузки ОС. С другой стороны, грамотный специалист по восстановлению данных ту же таблицу разделов починит без особых проблем, аэнкодер до многих файлов может просто не успеть добраться.

И еще один плюс подобного подхода. Все, наверное, смотрели детективы и видели, как происходит идеальный обыск. Место преступления должно быть зафиксировано в состоянии, максимально близком к моменту совершения преступления. Однако завершение работы операционной системы вполне может изменить ее состояние.

Вторая задача – сохранение «места происшествия» для дальнейшего изучения.

Почему это так важно? Любая работа по расшифровке файлов начинается с того, что вирусные аналитики пытаются понять, что же именно произошло, получить полную картину произошедшего.

Внимание! В идеале для анализа желательно получить все файлы, которые запускались в процессе шифрования. Их анализ позволяет понять, как происходило шифрование, оставлял ли троян артефакты, которые позволят упростить расшифровку. Возможно, анализ запускавшихся файлов поможет и с анализом причин заражения.

Идеальный способ законсервировать практически все что нужно – опять-таки выключить питание и не загружать ОС, в которой был запущен энкодер. Для доступа к данным с диска (а такой доступ точно потребуется) можно использовать LiveCD/LiveUSB – например, Dr.Web LiveDisk. Можно также подключить диск к не пораженному ПК, но так есть риск запуска энкодера в новой системе или же изменения файлов на пораженных дисках. Поэтому лучше LiveCD/LiveUSB.

Внимание! Описанный выше вариант действий неприемлем, если вы собираетесь провести полноценное расследование инцидента. Чтобы «место преступления» было принято в качестве доказательства или улики, необходима сохранность его состояния на момент инцидента. Однако любой запуск с LiveCD/LiveUSB (если, естественно, это не специальный LiveCD/LiveUSB, используемый для целей расследования) может изменить временные метки файлов – и этот факт позволит адвокату отвести ваши доказательства. То же самое произойдет и если вы подключили диск к иному компьютеру.

На этом этапе мы имеем в идеале компьютер, который был обесточен сразу после обнаружения шифрования и ни разу с этого момента не включался. На практике такого почти не бывает: я не могу вспомнить ни одного такого случая изболее чем девяти тысяч. Скорее всего в вашем случае шифрование уже завершилось, а выключить машину надолго не выйдет по тем или иным причинам. И тут важно понимать, как нужно (а точнее, как не нужно) работать с такой «недоконсервированной» системой, принимая во внимание задачи «максимального сохранения».

Первое правило: не паниковать.

Еще раз убедитесь, что шифрование новых файлов не происходит, в противном случае обесточьте машину. Необдуманные и поспешные действия после окончания шифрования могут привести (и не раз приводили!) к большим проблемам, нежели само шифрование. На данный момент все самое плохое уже произошло, и нужно спокойно решать проблему.

Внимание! Запуск антивирусного сканера (в том числе с LiveCD/LiveUSB) после обнаружения шифровальщика, вполне возможно, уничтожит следы заражения, что также снизит возможность поиска решения проблемы.

Второе правило: ничего не чистить, не удалять, систему не переустанавливать.

Для расшифровки наибольшее значение может иметь неприметный файлик на 40 байт во временном каталоге или непонятный ярлык на рабочем столе. Вы наверняка не знаете, будут ли они важны для расшифровки или нет, поэтому лучше не трогайте ничего. Чистка реестра – вообще сомнительная процедура, а некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы, конечно, могут найти тело троянца-энкодера. И даже могут его удалить раз и навсегда, но что тогда останется для анализа? Как мы поймем, как и чем шифровались файлы? Поэтому лучше оставьте зверька на диске. Еще один важный момент: я не знаю ни одного средства для чистки системы, которое бы принимало в расчет возможность работы энкодера и сохраняло бы все следы его работы. И скорее всего такие средства не появятся. Переустановка системы точно уничтожит все следы троянца, кроме зашифрованных файлов.

Третье правило: оставьте расшифровку профессионалам.

Если у вас за плечами пара лет написания программ, вы действительно понимаете, что такое RC4, AES, RSA и в чем между ними различие, знаете, что такое Hiew и что означает 0xDEADC0DE, можете попробовать. Остальным не советую. Допустим, вы нашли какую-то чудо-методику расшифровки файлов и у вас даже получилось расшифровать один файл. Это не гарантирует, что методика сработает на всех ваших файлах. Более того, это не гарантирует, что по этой методике вы файлы не испортите еще сильнее. Даже в нашей работе бывают неприятные моменты, когда в коде расшифровки обнаруживаются серьезные ошибки, но в тысячах случаев до этого момента код работал как надо.

Внимание! Помните, что время – это деньги. Известен случай шифрования даже главного сервера банка – после обнаружения факта инцидента у вас будет на счету каждая минута. Срочный поиск всего необходимого уже после обнаружения того же шифровальщика – плохая практика. ДО этого момента у вас (и у дежурной смены) должны быть все необходимые контакты.

Четвертое правило: для расшифровки нужны данные.

Внимание! И снова: время – это деньги. Как ни странно, пострадавшие от действия шифровальщиков пишут куда угодно – на самые разные форумы. Я, например, видел запрос на Япе. Но даже если сразу идет обращение в трекер антивирусной компании, как правило, сотрудникам техподдержки сначала приходится выяснять ситуацию.

Говорят, продвинутые астрологи лечат болезни по одной фотографии. К сожалению, вирусные аналитики пока так не умеют. Поэтому огромная просьба: если вы хотите победить зло­умышленников – давайте нам максимум информации.

Прикрепите к комментарию в запросе несколько (три – пять, не менее!) зашифрованных файлов (по возможности разных типов и размеров: doc (в первую очередь), pdf, jpg, zip и т.п.), если есть возможность – сам вредоносный файл, атакже требования злоумышленников о перечислении денежных средств. Опишите, если известно, как происходил процесс заражения (укажите сайт, с которого был загружен троян, или приложите письмо, в результате получения которого все и произошло). Пересылаемое письмо должно содержать служебные заголовки, простая пересылка недопустима. Крайне желательно пересылать письмо в формате EML.

Внимание! Все пересылаемое обязательно помещать в архив с паролем!

Теперь, когда понятно, что делать и чего не делать, можно приступать к расшифровке. В теории расшифровка возможна почти всегда. Это если знать все нужные для нее данные или же обладать неограниченным количеством денег, времени и процессорных ядер. На практике что-то можно будет расшифровать почти сразу. Что-то будет ждать своей очереди пару месяцев или даже лет. За какие-то случаи можно даже и не браться: суперкомпьютер даром на пять лет варенду никто не даст. Плохо еще и то, что кажущийся простым случай при детальном рассмотрении оказывается крайне сложным. К кому обращаться – вам решать. Можете обратиться к нам, можете – к злоумышленникам, требующим выкуп, а можете – к безвестному соседу, который говорит, что все вернет за пять минут. У нас есть многолетний опыт в расшифровке данных, наша компания имеет софт для расшифровки файлов после более чем тысячи различных вариантов энкодеров, и мы создаем его для новых версий шифровальщиков.

Пятое правило: пострадали – примите меры!

Как ни странно, нередки ситуации, когда вслед за первым случаем заражения идут последующие. При этом вполне возможно, если в первом случае расшифровка была успешной, то в остальных так уже не повезет.

Поэтому итогом обработки инцидента должны стать анализ причин заражения и усовершенствование системы защиты.

В любом случае, успехов в восстановлении данных и как можно реже сталкиваться с энкодерами!

Источник полезных сведений: http://legal.drweb.ru/encoder.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru