Paano I-decrypt ang Data na Apektado ng Ransomware: Isang Kumpleto, Praktikal na Gabay

Ang ransomware ay tumaas sa dalas at pagiging sopistikado, at hindi na nakikilala sa pagitan ng mga sektor o laki ng kumpanya. Ang ganitong uri ng ini-encrypt ng malware ang mga kritikal na file, hinaharangan ang pag-access, at humihingi ng bayad para mailabas ang decryption key. Higit pa sa takot, ang mga oras ng downtime, ang gastos, at ang reputasyon na epekto ay maaaring malaki kung walang plano.

Ang mabuting balita ay, habang lumalaki ang mga banta, gayundin ang pagtugon at mga tool. May mga pampubliko at pribadong inisyatiba, mga libreng decryptor para sa mga kilalang pamilya, at mahusay na kasanayan na maaaring gumawa ng lahat ng pagkakaiba. Sa detalyadong gabay na ito, makikita mo kung paano gumagana ang ransomware, kung paano matukoy ang variant, kung anong mga makatotohanang opsyon ang mayroon ka para i-decrypt o mabawi ang iyong data, at kung paano palakasin ang pag-iwas.

Paano gumagana ang ransomware at bakit napakahirap i-reverse

Ang pag-atake ng ransomware ay batay sa pagpapakilala ng malisyosong software na iyon i-encrypt ang iyong mga file gamit ang malakas na cryptography at pinapanatili ang decryption key. Ang pinakakaraniwang entry vector ay phishing emails, descargas mula sa mga adulterated na programa o ang pagsasamantala sa mga hindi natambal na kahinaan.

Kapag nasa loob na, karaniwan itong kumakalat sa network at nag-e-encrypt din ng mga nakabahaging mapagkukunan. Mapapansin mo yan ang mga file ay nagbabago ng extension (hal., sa pamamagitan ng pagdaragdag ng mga suffix gaya ng .encrypted, .locked, o family name), at ang system ay nagpapakita ng ransom note na may mga tagubilin sa pagbabayad. Ang pribadong susi ay ipinadala sa imprastraktura ng umaatake, na ginagawang imposibleng mabawi ang access nang walang kooperasyon ng umaatake o isang tiyak na decoder.

Ang pag-encrypt ay ginagawa sa nahawaang computer, at ang susi ay na-exfiltrate sa isang malayong server. Kung wala ang key na iyon, halos imposible ang pag-decryption para sa mga modernong algorithm. Bagama't ito ay parang isang pelikula, kahit na ang pinakamahusay na bayani ay hindi magagawa ito. pilitin ang isang malakas na password batay sa malupit na puwersa; ang makatotohanang bagay ay Tukuyin ang variant at maghanap ng mga tool o gumamit ng mga backup na kopya.

Isang kamakailang kaso: ang pag-atake sa Kawasaki Motors Europe

Ang laki ng mga insidenteng ito ay nilinaw ng pag-atake sa Kawasaki Motors Europe, na maiugnay sa pangkat ng RansomHub. Kasunod ng pangingikil, ang mga umaatake ay nag-publish ng humigit-kumulang 487 GB ng sensitibong impormasyon sa dark web noong Setyembre 5, 2024, na nagha-highlight sa panganib ng dobleng pangingikil (encryption at leak).

Mga backup: mahalaga, ngunit hindi mahalaga

Ang mga halimbawa sa itaas ay binibigyang-diin ang pangangailangan para sa isang solidong backup na plano. Sa kamakailang, nakahiwalay na mga backup, magagawa mo ibalik ang mga sistema nang hindi nagbabayadGayunpaman, ang malakihang pagbawi ay nangangailangan ng pagsasanay: ang muling pagtatayo ng mga server, pagpapatunay ng integridad, at muling pagbubukas ng mga serbisyo ay isang teknikal na gawain na nangangailangan ng oras at koordinasyon.

Paano matukoy ang mga variant ng ransomware at ang kanilang mga sintomas

Ang mabilis na pagkilala sa kung ano ang tumama sa iyo ay nagpapabilis sa iyong tugon. Ang mga sumusunod na pahiwatig ay makakatulong sa iyo limitahan ang pamilya mula sa ransomware at magpasya ang pinakamahusay na landas.

• Pantubos na tala: Karaniwan itong lumalabas sa .txt, .html, larawan, o pop-up na format. Kasama rito minsan ang pangalan ng variant, paraan ng pakikipag-ugnayan, mga address ng wallet, at maging ang ginamit na algorithm.
• Mga binagong extension: generic (.naka-encrypt, .naka-lock) o mga ending na partikular sa pamilya. Ang pattern ng pagpapalit ng pangalan ay isang napaka-kapaki-pakinabang na palatandaan tukuyin ang angkan.
• Paraan ng pag-encrypt: Ang ilang mga tala ay nagpapakita kung gumagamit sila ng AES, RSA, o ibang pamamaraan. A pagtatasa forensic Maaari mo ring ipahiwatig ito; ang pag-alam nito ay nakakatulong sa iyo na mahanap ang a katugmang decryptor.
• Pag-uugali ng system: mga pag-crash, hindi inaasahang pag-restart, kabagalan, mga error kapag nagbubukas ng mga file o nagpapatakbo ng mga application. Ang mga sintomas na ito, kasama ng CPU at disk spike, ihayag ang aktibidad sa pag-encrypt sa background.
• Hindi pangkaraniwang trapiko sa network: mga papalabas na koneksyon sa mga nakakahamak na IP o domain. Ang isang mahusay na naka-deploy na EDR ay nagbibigay-daan ihiwalay ang kagamitan mabilis na naghihinala at nililimitahan ang pagkalat.
• Mga pagbabago sa mga system file at registry- Suriin ang mga laki, lokasyon, at timestamp. Ang mga imposibleng petsa (mga taon tulad ng 1980 o 1900) ay isang malinaw na tagapagpahiwatig ng malisyosong pagmamanipula.
• Mga alerto sa seguridadAng suporta ng SIEM + EDR at SOC ay nagbibigay ng pinag-isang visibility at proactive na tugon. Huwag balewalain ang mga alerto sa antivirus o IDS/IPS; kumilos sa oras ito ay susi.
• Mga abiso ng gumagamit: Ang mga tauhan ang kadalasang unang nakapansin ng maanomalyang pag-uugali. Iniuugnay ng mga tool ng DEX (digital employee experience) ang mga alertong ito teknikal na sukatan para mapabilis ang diagnosis.

Ano ang gagawin sa sandaling matukoy mo ang isang insidente

Ang priyoridad ay maglaman at magsuri. Ang mga sumusunod ay makakatulong sa iyo putulin ang tanikala ng pagkahawa at panatilihin ang ebidensya.

Ihiwalay ang kagamitan: Idiskonekta ang Wi‑Fi, network cable at anuman imbakan Panlabas. Kung kinakailangan, i-off ang device pagkatapos makuha ang mahahalagang impormasyon para sa pagsusuri; iwasan ang mga pag-reboot sa mga pamilya kung saan mayroong mga decryptor na umaasa sa mga artifact ng memorya (hal. WanaKiwi sa WannaCry).

Mag-imbestiga: Magpatakbo ng pag-scan gamit ang iyong security suite, alisin/i-quarantine kung ano ang nahanap, at idokumento ang iyong mga natuklasan. Kung wala kang karanasan, unahin ang automated na remediation at humingi ng suporta sa eksperto. ingatan ang ebidensya.

Isaalang-alang ang pagbabayad ng ransom- Hindi inirerekomenda. Walang mga garantiya ng pagbawi, at pinagpapatuloy nito ang krimen. Kung isinasaalang-alang mo pa rin ang pagbabayad, huwag tanggalin ang ransomware hangga't hindi mo nailapat at na-verify ang claim. decryption code; pagkatapos ay linisin ang sistema ng lubusan.

Mga serbisyo at tool para matukoy at matukoy

Bago subukan ang mga decryptor, magandang ideya na tukuyin ang variant nang tumpak. Ang mga opsyon na ito ay pamantayan sa industriya at maaari makatipid ka ng maraming oras.

• Ransomware ID: Nag-a-upload ng naka-encrypt na file at/o ransom note; kinikilala ang daan-daang pamilya.
• Crypto Sheriff (No More Ransom): katulad na serbisyo ng pagkakakilanlan at gateway sa mga decryptor.
• CryptoSearch: Lokal na tulong upang makita at i-catalog ang mga naka-encrypt na file sa system.
• Bitdefender Ransomware Recognition Tool: sinusuri ang tala at isang direktoryo na may mga sample para sa imungkahi ang variant.
• Trend Micro Screen Unlocker: dalubhasa sa ransomware na i-lock ang screen.

Kapag natukoy mo na ang pamilya, tingnan kung mayroong decipher. Mayroong mga repositoryo at mga tagagawa na may malawak na koleksyon na mag-update nang madalas.

• Walang Higit na Pantubos: pinagsamang inisyatiba ng pulisya at mga kumpanya cybersecurity na may dose-dosenang mga libreng decryptor.
• emsisoft: Napakalawak na catalog na may higit sa 80 decryptor (hal. Babuk, Cerber, CryptXXX, Globe, Jigsaw, REvil, Xorist o kahit WannaCry).
• Avast: Humigit-kumulang 30 tool para sa mga variant gaya ng AES_NI, Alcatraz Locker, Babuk, CrySiS, CryptoMix offline, GandCrab, Globe, Jigsaw o Shade.
• AVG: Humigit-kumulang 7 decryptors para sa Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker at TeslaCrypt.
• Kaspersky: mga decryptor tulad ng Shade, Rakhni (saklaw sa ilang pamilya tulad ng Dharma o Fonix), Rannoh, CoinVault, Wildfire at Xorist.
• Pagbawi ng McAfee Ransomware (Mr2): isang balangkas na nagsasama ng mga susi at lohika ng decryption na ibinahagi ng komunidad.
• Mabilis na Pagalingin: Mga tool para sa Troldesh, Crysis, CryptXXX, Ninja, Apocalypse, STOP Djvu, bukod sa iba pa.
• Uso Micro: : higit sa 25 tool, kabilang ang Globe/Purge, Xorist, CryptXXX (v1–v5), Jigsaw, Crysis o WannaCry.
• WanaDecrypt at WanaKiwi: : mga partikular na kagamitan para sa WannaCry; Ang WanaKiwi ay maaaring gumana hanggang sa Windows XP, ngunit kung ang koponan lamang ay hindi na-restart mula noong impeksyon.

Step-by-Step na Gabay: Pagdidisimpekta sa Windows at Paghahanda sa Site

Bago subukang bawiin ang mga file, alisin ang malware. Sa isip, magtrabaho sa Safe mode na may networking at gumamit ng maramihang mga layer ng pag-scan.

Mag-boot sa Safe Mode na may Networking

Sa Windows 10/8, ipasok muna ang Windows Recovery Environment (Windows RE) at, mula doon, i-access ang Safe Mode with Networking. Ang ideya ay magsimula sa minimal na mga driver upang maiwasan ang paglo-load ng ransomware.

1. Buksan ang Mga Setting > Update at seguridad > Pagbawi at i-tap ang I-restart ngayon (Advanced na startup).
2. Piliin ang I-troubleshoot > Mga advanced na opsyon > Mga Setting ng Startup at pindutin ang I-restart.
3. Piliin ang opsyon 5 o pindutin ang F5 para pumasok sa Safe Mode with Networking.

En Windows 7, Ang boot Ginagawa ito mula sa mga advanced na opsyon gamit ang F8 key. Ang layunin ay pigilan ang paglo-load ng mga malisyosong driver at serbisyo sa startup.

1. I-restart ang iyong computer at pindutin ang F8 nang paulit-ulit bago mag-load ang Windows.
2. Piliin ang Safe Mode with Networking at pindutin ang Enter.

Hakbang 1: Mag-scan gamit ang Malwarebytes

Kapag nakahiwalay ang system, i-download ang Malwarebytes, i-install ito, at magpatakbo ng buong pag-scan. Ang libreng bersyon ay mabuti para sa linisin ang kagamitan ng malware at PUP.

1. I-download ang installer at patakbuhin ito (tanggapin ang mga prompt ng Account Control kung saan naaangkop).
2. Kumpletuhin ang wizard at, kapag nagbukas ito, piliin ang I-scan upang simulan ang pag-scan gamit ang mga na-update na lagda.
3. I-quarantine ang lahat ng nakita at i-restart kung hiniling. Ulitin ang pag-scan sa normal na mode upang kumpirmahin ang paglilinis.

Hakbang 2: Pangalawang opinyon sa HitmanPro

Nag-aalok ang HitmanPro ng cloud-based na diskarte at kadalasang nakakakita ng mga labi. Para sa alisin ang mga nakitang pagbabanta kakailanganin mong i-activate ang iyong pansamantalang pagsubok.

1. I-download ang naaangkop na bersyon (32/64 bit) at patakbuhin ito.
2. Magsimula ng isang pag-scan o magtago ng kopya para sa mga pag-scan sa hinaharap.
3. Suriin ang mga resulta, alisin ang anumang nakakahamak na nilalaman, at i-activate ang iyong lisensya sa pagsubok kung kinakailangan.

Hakbang 3: Pag-verify gamit ang Emsisoft Emergency Kit

Ang Emsisoft Emergency Kit ay hindi nangangailangan ng tradisyonal na pag-install: ito ay mainam bilang isang ikatlong layer para sa manghuli ng mga nalalabi na sila ay nakatakas.

1. I-download ito, kunin ang package at patakbuhin ang Start Emsisoft Emergency Kit.
2. Piliin ang Scan and Clean, at pagkatapos ay piliin ang Malware Scan.
3. I-quarantine kung ano ang nakita at i-restart kung sinenyasan.

Pagbawi ng file kapag walang available na decryptor

Kung walang decryptor para sa iyong variant, kakailanganin mong galugarin ang mga opsyon sa pagbawi. Mahalaga: huwag gumana sa orihinalKung maaari, i-clone ang disk o lumikha ng isang imahe upang mapanatili ang ebidensya at maiwasan ang karagdagang pinsala.

Paraan 1: Maghanap ng isang partikular na decryptor

Regular na tingnan ang No More Ransom at ang mga website ng mga manufacturer para sa mga post ng suporta para sa iyong pamilya. Minsan, pinapayagan ng mga error sa ransomware lumikha ng mga decryptor sa oras.

Paraan 2: I-recover gamit ang data recovery software

Kung ang ransomware ay nag-encrypt ng isang kopya at tinanggal ang orihinal, maaari pa ring mabawi ang mga hindi nakasulat na labi. Ang Recuva ay isang libre at madaling gamitin.

1. I-install ang Recuva at patakbuhin ang wizard (Run Recuva).
2. Piliin ang Lahat ng File at, kung hindi ka sigurado sa lokasyon, piliin ang Hindi ako sigurado.
3. Simulan ang pag-scan at suriin ang mga resulta: tinatantya ng berde/orange/pula na indicator ang mga probabilidad.
4. Piliin ang mga file at pindutin ang I-recover, i-save sa ibang drive para sa iwasan ang mga overwrite.

Paraan 3: Mga Shadow Copies at Nakaraang Bersyon

Maraming pilit ang sumusubok tanggalin ang Shadow Copies, ngunit hindi sila palaging nagtatagumpay. Sa ShadowExplorer magagawa mo mag-browse ng mga restore point at mag-export ng mga file.

1. I-install ang ShadowExplorer at piliin ang drive at petsa bago ang impeksyon.
2. Hanapin ang folder o file, i-right-click, at I-export sa isang ligtas na lokasyon.

Bilang karagdagan, sa Windows maaari mong mabawi ang mga nakaraang bersyon mula sa File Properties o kahit na magsagawa ng isang Pagpapanumbalik ng system sa isang nakaraang punto, kung magagamit. Kung mayroon kang File History o cloud/external backups, ito ang pinaka-maaasahang paraan upang maibalik ang data nang ligtas.

Pangunahing cryptography upang maunawaan kung ano ang posible at kung ano ang hindi

Pinipigilan ng modernong pag-encrypt ang isang umaatake na mabawi ang data nang walang susi. Ang pag-alam sa mga pangunahing kaalaman ay makakatulong sa iyo iwasan ang maling inaasahan.

• Symmetric key: Ang parehong key ay nag-e-encrypt at nagde-decrypt (hal., AES). Ito ay mabilis at malawakang ginagamit ng ransomware para sa mass file encryption.
• Asymmetric cryptography: gumagamit ng key pair (pampubliko/pribado). Karaniwan para sa ransomware na i-encrypt ang isang lokal na simetriko na key gamit ang pampublikong susi mula sa umaatake, na pumipigil sa pag-decryption nang wala ang iyong pribado.
• PSK o pre-shared na key: Ito ay napagkasunduan sa pamamagitan ng isang secure na channel bago ang pag-encrypt. Hindi ito karaniwan sa ransomware, ngunit nakakatulong na maunawaan ang termino kapag nagbabasa ng teknikal na dokumentasyon.
• Pag-encrypt ng password: Maraming mga system ang hindi nag-iimbak ng mga password sa malinaw na teksto, ngunit sa halip ay mga hash. Hindi dapat malito sa pag-encrypt ng file: iba ang pagsira sa mahinang hash i-decrypt ang isang dokumento na may malakas na cryptography.
• AES‑256: block cipher standard (128-bit block) na may 256-bit key. Sa wastong pagpapatupad at random na mga susi, ito ay computationally hindi magagawa upang basagin ito sa pamamagitan ng malupit na puwersa; samakatuwid, kung wala kang susi o a kilalang kahinaan, walang magic shortcut.
• IV/nonce: mga halaga ng pagsisimula na umiiwas sa mga paulit-ulit na pattern. Sa mga mode tulad ng CBC o GCM, ang mahusay na pamamahala ng IV ay susi sa hindi para pahinain ang scheme.
• Brute force at pag-atake sa diksyunaryo: Kapaki-pakinabang para sa mahihinang password sa mga partikular na file (depende sa format at tool), ngunit hindi para sa pagtalo sa malakas na encryption na ginagamit ng modernong ransomware. Gumamit lamang ng software sa pagbawi ng password kapag naaangkop. eksaktong uri ng file at nauunawaan ang mga limitasyon nito.

Landscape ng banta, mga timescale at gastos

Sinasamantala ng mga operator ng RaaS ang mga kahinaan at kredensyal upang makakuha ng pagpasok, ilipat sa gilid, magnakaw ng data, at mag-encrypt. Mga sektor tulad ng kalusugan at pananalapi Ang mga ito ay madalas na target dahil sa kanilang mataas na halaga ng PII. Ang dobleng pangingikil ay nagdaragdag ng presyon na may banta ng pagtagas.

Maaaring tumagal ang pagbawi isa o dalawang linggo sa mga karaniwang sitwasyon, na nag-iiba ayon sa saklaw at paghahanda. Tinatantya ng iba't ibang ulat ang mga average na gastos sa multimilyon kapag nagdagdag ka ng kawalan ng aktibidad, tugon, nawalang negosyo, at mga parusa. Kaya naman ang kahalagahan ng a 3-2-1 na diskarte ng mga kopya at pamumuhunan sa pagtuklas at pagtugon.

Pag-iwas at paghahanda: ang iyong pinakamahusay na patakaran

Ang pinakamahusay na hakbang ay proactivity. Palakasin ang kapaligiran upang gawing mas mahirap ang mga panghihimasok at paikliin ang window ng pagtuklas.

• pag-backup: 3 kopya, sa 2 magkaibang media at 1 offline/hindi nababago, at naka-encrypt gamit ang BitLocker. Pana-panahong nagbabalik ang pagsubok.
• EDR + SIEM at, kung maaari, SOC: visibility, ugnayan at mabilis na pagtugon sa maanomalyang pag-uugali.
• Patching at hardening: Inaayos ang mga kahinaan at ipinapatupad ang pinakamababang pribilehiyo at segmentasyon ng network.
• kamalayan: Binabawasan ng mga kawani ng pagsasanay ang panganib ng phishing at mga nakakahamak na macro.
• Plano ng pagtugon: malinaw na mga runbook para sa paghihiwalay, komunikasyon, forensics, abiso sa mga awtoridad at pagbawi.

Kung magpasya kang umasa sa mga panlabas na supplier, may mga tagagawa na nagbibigay mga decipher, EDR at mga gabay, at mga espesyal na kumpanya sa pagbawi na nagpapatakbo ng mga laboratoryo na may malawak na karanasan. Sinusuri nito ang buong chain: pagtatapon, pag-decryption kung posible, ligtas na muling pagtatayo, at mga hakbang upang maiwasan ang muling impeksyon.

Sa lahat ng nasa itaas, ikaw ay nasa isang mas mahusay na posisyon upang harapin ang isang insidente: mabilis na tukuyin ang variant, alisin ang malware na may maraming mga layer ng pag-scan, galugarin ang mga decryptor at mga paraan ng pagbawi (mga kopya ng anino, mga nakaraang bersyon at pagbawi ng data) at, kapag umiiral ang malusog na mga backup, nagbabalik nang walang pag-aalinlanganAng maagang paghahanda, mahusay na ginawang mga kopya, at mapagbantay na seguridad sa pagpapatakbo ay, sa katagalan, ang higit na nakakabawas sa epekto, oras, at gastos.

Kaugnay na artikulo:

Tutorial sa Cybersecurity: Mga pagkakaiba sa pagitan ng TPM, fTPM, at dTPM

Isaac

Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.