暗号化ランサムウェアの運用中に捕まったらどうしますか？

私がすること：

1. プロセスを一時停止します。殺さないで、一時停止してください。
2. 一時停止を必要とする可能性のある親がある場合は、プロセスツリーを確認してください。
3. ネットワークケーブルを抜くか、WiFiをオフにします（偏執狂の場合はBluetoothも）。
4. それらのプロセスで開いているファイルをチェックして、現在暗号化しているファイルを確認します。それが特に重要な場合は、ファイルを現在の状態（プロセスが中断されている間）にコピーしてから、次のファイルに移動させて、破損しないようにすることができます。次のファイルも重要であることが判明した場合は、パターンを理解してファイルを1ステップ先にコピーするか、すでにすべてのファイルのコピーを開始してください。
5. 特定のOSでプロセスのメモリダンプを作成し、関連するプロセスのメモリダンプを作成する方法。一体、私はマシンからすべての仮想メモリをダンプするかもしれません。
6. 他のプログラムを閉じます。
7. ディスクを同期して、書き込みキャッシュがなくなるようにします。
8. 力を抜く。ラップトップの場合：バッテリーを取り外してから、電源を取り外します（接続されている場合）。

これで、かなり良い状態になりました。電源がオフになっているため、さらに発生する可能性があり、元のプログラムに加えて、使用していた暗号化キーがあります。問題は、その暗号化キーと暗号化方法を見つけることですが、それはプロセスメモリのどこかにある必要があります。それは時間の問題です。ハッカーの仲間に電話して、プログラムをリバースエンジニアリングするか、あるいはウイルス対策会社を作成します。おそらく同じランサムウェアを使用している顧客が多く、キーを抽出するためのメモリダンプを取得することに非常に興味があります。

ハードドライブを別のコンピュータに接続すると、あまりリスクを冒すことなく、まだ暗号化されていないファイルを回復できます。 Wordマクロを実行したり、ドライブなどから.exeファイルを開いたりしないでください。

概要

ランサムウェアプロセスを一時停止して、後で暗号化キーを見つけるためにランサムウェアプロセスとそのメモリのコピーを作成します。次に、システムをオフにして、そこから常識に従います。重要な破損ファイル（途中で暗号化されたファイル）に注意してください。一時停止した後、現在動作しているファイルを確認してください。

コメントに応じて

このコメントにはいくつかの賛成票があります：

「暗号化キー」は多くの場合役に立ちません。ランサムウェアは起動時にコマンドアンドコントロールサーバーに接続し、新しい暗号化ペア（パブリックとプライベート）の作成を要求します。サーバーはペアを作成し、プライベートを保存し、感染したマシンにパブリックを送信します。次に、感染したマシンは公開鍵を使用してファイルを暗号化し、それを元に戻す唯一の方法は秘密鍵を使用することです。これは、支払いが完了するまで被害者のマシンに転送されません。 – Anton Banchev

これは私が投稿を書いている間に私が考えた懸念ですが、まだ対処していません。

dataを非対称暗号化（公開鍵暗号化とも呼ばれます）で暗号化する人はいません。それは遅すぎるので、非対称暗号は ハイブリッド暗号化 スキームでのみ使用されます。 opensslに組み込まれているようなベンチマークでも、AESの場合は1秒あたりのメガバイト数、RSAの場合は1秒あたりの操作数が報告されます。まったく比較できません。私が見つけた唯一のヒットは、このスタックオーバーフローの回答であり、その方法も明らかにしていないソースを使用しています 非対称暗号化は対称暗号化よりも1000倍遅い 。

したがって、各ファイルに使用される暗号化は、ほぼ間違いなく対称暗号化（AESなど）です。つまり、暗号化されているのと同じキーで暗号化を解除することもできます。

更新：多くのランサムウェアの亜種のうち少なくとも1つは公開鍵暗号化のみを使用しているようです。どうやらそれは使用できるほど十分に高速であるか、明らかにそれを使用していないでしょう。このバリアントがないことを望んでいると思いますか？ 更新の終了

これを実行するランサムウェアについては知りませんが、問題が発生する可能性がある唯一の方法は、各ファイルに一意の暗号化キーがある場合です。その場合、現在のファイルのみをメモリから復元できます。ただし、これによりキー管理の問題が発生します。これらのキーはそれぞれ送信するか、（対称）マスターキーで暗号化されたデータベースに保存する必要があります。後者の場合は、おそらくマスターキーもメモリから回復できますが、前者の場合は問題が発生しました。しかし、これはすべて推測にすぎません。これを行うランサムウェアは知りません。

暗号化されたファイルサイズはビットごとの暗号化されていないファイルサイズと一致しないため、ランサムウェア（またはそのことについては任意の暗号化ソフトウェア）はファイルをインプレースで暗号化しません（それが単なるxor shuffleでない限り、実際にはそうではありません）暗号化）。さらに重要なのは、（シャットダウン、バッテリー切れなどが原因で）暗号化プロセスが自然に中断されると、破壊されたファイルが作成され、無作為に削除できないことです。代わりに、これらのプログラムは常に古いものから新しい暗号化ファイルを作成し、古いものを削除します。実際、ほとんどのランサムウェアプログラムには、シャットダウン/再起動のために、半分暗号化された大きなファイルを再起動するチェックがあります。

したがって、暗号化の途中であることが判明した場合は、できるだけ早くコンピュータの電源を切り、影響を受けていないマシンにハードドライブをマウントしてバックアップします。

身代金を支払うかどうかについては、わかりません。身代金のサイズと、私のハードドライブに何があったかによって異なります。私は1時間あたりおよそ$ 2.50を稼いでおり、私のハードドライブには主に公開されている科学データが含まれているため、答えはおそらくノーです。

編集：

他のポスターで推奨されているように、ハイバネーションは、多くの点でコンピューターの電源を切るよりも仮想的に優れています。ただし、実際には、休止状態が機能しない場合があります。どのようなプロセスでも、システムがビジーで現在停止できないことをシステムに通知できます。ピアノを弾く猫のYouTubeビデオでもこれを行うことができます。これは、OSX、Windows、およびLinuxに当てはまります（Linuxを休止状態にする方法によって異なります）。これらのインスタンスでプロセスが中断を拒否する唯一の解決策は、プロセスを強制終了することです。つまり、メモリダンプは発生しません。個人的には、電源コードを外してできるだけ早く暗号化を停止したいと思います。保証できることが1つあれば、システムが次回起動したときにランサムウェアがキーをメモリに戻すためです。仕事を終わらせなかったからです。

[Mod注：この回答は多くのフラグを受け取っていますが、削除する価値はありません。これは潜在的に有効な一連の行動ですが、一部の管轄区域ではリスクがあり、違法である可能性があります。 technicalの観点から、これはデータを保存する方法になる可能性があります。詳細については Meta を参照してください。]

最善の策は何もないことです。愚かなことをすると、データの損失や破損につながる可能性があります。それが終わって、そこにリストされている人々に連絡して、身代金を払えば、あなたは行く準備ができています。私たちは専門家であり、あなたがあなたのファイルを取り戻すのを助けます。

_{免責事項：私はランサムウェア開発者です。}

2番目の質問は、回答として多くの意見を生成する可能性があります。最初の質問に焦点を当てます。実行中の潜在的な不正な暗号化を阻止するために何をしますか？

手順：

1. すぐにインターネットからマシンのプラグを抜いてください。ソリューションのインターネット検索に別のマシンを使用します。

2. 影響を受けるマシンをコールドパワーダウンでシャットダウンします。マシンが通常の電源切断ソフトウェア検査を完了するのを待たないでください。

3. マシンからハードドライブを取り外します。

4. マシンに新しいハードドライブを取り付け、新しいクリーンなOSをインストールします。

5. 元のドライブをマザーボードに接続して、新しいOSがドライブにアクセスできるようにします。

6. 新しいOSの電源を入れ、古いドライブにアクセスし、バックアップを作成します。

7. バックアップを元の場所とは別の物理的に安全な場所に保存します（火事、洪水、竜巻などの場合）。

8. Webブラウザーのセキュリティを向上させます。ランサムウェアの多くは、JavaScriptマルウェアを介してインストールされます。

2番目の質問については、暗号化されたデータの一部を再構築できます。上記の手順が完了したら、次の手順が役立つ場合があります。

1. 元のドライブのデータを監査して、ファイルが正常に暗号化されたかどうかを確認します。暗号化されたファイルをメモします。 （この監査は、クリーンなOSからのみ完了する必要があります。）

2. メモリから（バックアップがないため）、ファイルの内容とその重要性を思い出してください。

3. 次に、暗号化された最も重要なファイルに焦点を当てて、ファイルの回復手法で元のファイルを回復できるかどうかを確認します。暗号化はその場で上書きできないため（多くの理由により）、ランサムウェアは暗号化されたバージョンを作成しているときに元のファイルにアクセスします。その後、元のファイルが削除され、成功の度合いが異なります。リンクされていない元のファイルがまだディスクに存在するかどうかを確認するには、ファイル回復の専門家に連絡してください。

将来自分自身を保護することを忘れないでください。バックアップを作成してオフラインにし、ランサムウェアがインストールされないようにします。参照 ランサムウェアはどのようにして人々のコンピュータに侵入するのですか？

すぐにコンピュータをシャットダウンします。身代金を支払うつもりがなければ、ウイルスが処理しているデータはとにかく失われます。そのため、電源ボタンを押し下げたままにするか、ワイヤーを抜いてください。

buntuまたは別のポータブルLinuxディストリビューションをUSBスティックにインストールします。前回これを行ったとき、2GBスティックに収まりました。 HDDをWindowsファイルシステムでSSDにクローンしていました。ファイルシステムを読み取り専用でマウントします。

非実行可能データのみをバックアップします。他の実行可能ファイルに感染するウイルスの数はわかりませんが、ウイルスを作成している場合は、ウイルスも感染しますJava JARアーカイブ、PHPサーバースクリプト、バッチおよびハッシュスクリプト、その他考えられるすべてのこと。システムコマンドを実行できるプログラムは、ウイルスを保持して実行する可能性があります。可能性は低いですが、可能です。たとえば、base64でバイナリをbashファイルにエンコードできます...

別のハードドライブが必要になります。ドキュメント、写真、またはソースコードを入力します。前のポイントについて、ソースコードのステータスを確認してください。ソース管理を使用する場合は、ソースコードをダンプします。プロセスには時間がかかります。必要なものだけを慎重に選択してください。多分あなたはあなたのHDDスペースのどれくらいがあなたが覚えていなくても必要でもないもので占められているかを知るでしょう。

感染したハードドライブをフォーマットします。 Linuxレスキューシステムからこれを実行するか、優先OSインストールディスクを挿入して、インストーラーにハードドライブをフォーマットさせます。

感染したハードドライブをバックアップすることはお勧めしません。忘れてしまったドキュメントのために、感染したハードドライブのコピーを保持する傾向がある場合があります。それは罠ですそれを手放す。メールの受信トレイまたは送信済みフォルダに多くのドキュメントがあります。

シャットダウンとコピーのアプローチに加えて、他の要素があると他の人が述べています：ランサムウェアは、それが完了するまで何が起こっているのかを非表示にしたいのです。身代金です。

重要で暗号化されたファイルを見つけたら、マシンをインターネット上ではなく一緒に戻し、それらをコピーしてみます。これで問題が解決しない場合は、すべてバックアップをHDに戻し、さらにバックアップを取得してください。

状況のトリアージ（状況認識の原則を呼び出す）

• コンピュータは今どこにありますか？ オフィスで？家に？ホテルで？それ以外の場合、道路上ですか？
• ここではどのような保護が提供されていますか？ ネットワークケーブルを抜くか、WiFiをオフにした場合、コンピューターをより保護された環境に移動できますか？それをオフィスに移動できますか？もしそうなら、今すぐネットワークを切断してください！できるだけ速くに！！ただし、プログラムを閉じないでください。すべてのプログラムを開いたままにしておきます。ブラウザのタブは閉じないでください。疑わしい文書やメールを閉じないでください。
• ポータブルの場合は、コンピューターをオフィスに持っていきます。 データフォレンジックインシデントレスポンス機能など、ランサムウェアを処理するための適切な手順があるかどうか、infosecチームまたはITリーダーに尋ねます。セキュアWebゲートウェイや統合脅威管理ソリューションなど、マルウェアの通信を防止するセキュリティプラットフォームがあるかどうかを確認します。

封じ込めサイクル（これらを上から順に実行します）

• コンピュータをグローバルインターネットに接続しないでください。 可能であれば、別のコンピューターとUSBドライブを使用します。利用できない場合は、ランサムウェアについて何ができるかを調べてください。プロセス名、ファイル拡張子を検索します（たとえば、デスクトップにあるファイルの。zepto）。別のコンピューターを使用してランサムウェアについて検索します。特にアクセス- https://www.nomoreransom.org
• すべてのプログラムをそのまま開いたままにします。まだシャットダウンまたは再起動しないでください。 別のマシンから MalwareBytes インストーラーをネットワークをオンにせずに取得できる場合は、インストーラーをコンピューターにコピーしますが、まだ実行しないでください。コンピューターを再起動させないでください。 MalwareBytesはWindowsまたはmacOS用です。ビジネスの場合は、ライセンスされたバージョンを使用する必要があります。緊急の場合は、後でライセンスを購入してもかまいません（ITリーダーの呼び出し）。
• これをインシデントとして機能させます。 この時点で見つけたものと見つけ続けているものを文書化します。より成熟したデータフォレンジックおよびインシデントレスポンスプログラム（DFIR）には、いくつかの基本的なものがあります。あなたは今これらを始めたいと思うかもしれません。それらには次のものが含まれます。1）シンクホールネットワーク（DHCPサーバーを備えた分離されたハブなどですが、高度なCSIRTには直接VPNする機能があります）、少なくとも DNS RPZ または DNSブラックホール 機能-せいぜい、完全なハニーネットまたは不正なシステムのプラットフォーム。2）この分離されたネットワークがイメージングプラットフォームである可能性があります（たとえば、Microsoft SCCM、 CloneZilla 、 FogProject 、Symantec Client Management（以前のAltiris、またはGhost）とPXEブート機能。これは、 Malware Management Framework （MMF）、これらのシナリオに役立つ成熟したDFIR機能）に最適な場所になります。MMFがランサムウェアの疑いのあるプロセス、ファイル、レジストリエントリ、その他のアーティファクトを手動または自動で特定してから、リサーチモードに戻ります。
• （オプション）DFIRプロセスまたはプラットフォームをアクティブ化します。 非常に成熟したDFIRプログラムには、いくつかの高度なアイテムが配置されます。以前から続けて（そして、できれば同じ分離されたネットワーク上で、これらの機能は実稼働ネットワークでも優れていると思いますが）、次のようなものがあります。3）フォレンジック分析環境、特に Googleなどの分散フォレンジックシステムRapid Response 。ここにあるもう1つのコンポーネントは、 NBDServer などのクライアントベースのリモートイメージング機能です。主な違いは、GRRがエージェントベースのコレクション指向のシステムであり、Webインターフェースを備えていることです。 NBDServerは、Linuxフォレンジックワークステーションを侵害されたWindowsコンピューターに接続する方法です。両方が必要な場合もありますが、GRRはmacOSでも動作します（ osquery ）もチェックしてください）4）処理用に特定のアーティファクトを取得するフォレンジックツールフォレンジックワークステーション。私のお気に入りであり、GRRに含まれているのは、pmem（つまり、winpmem、linpmem、osxpmem）です。これらを直接ダウンロードするための最近のリポジトリが here であり、後で更新される可能性があります here 。正しいCLIでcmd.exeシェルを開くRun As Administrator（またはmacOS/Linux Terminal Shell with Sudo/root rights）にログインし、pmemユーティリティを実行します。出力を収集したら、アーティファクトをフォレンジックワークステーションにコピーし、rekallまたは Volatility Framework （両方ともDFIRコミュニティでよく知られています）で分析します。2番目のメモリダンプを収集するのは良いことですを使用して BelkaSoft RAM Capturer 比較のため、Windowsドライバーをインストールします。もう1つのお気に入りはFTKImager（Liteバージョンで問題ありません）です。ページングファイルの抽出だけから始めたいので、 page_brute ツールを活用できます。土壇場のDFIRトレードクラフトに従事します。
• よく知られているものと悪いものを区別します。 ここでMMFを信頼してください。持っていない場合は、できる限り速いバージョンを設定してください。また、MalwareBytesは、実際の動作を確認することで機能します。このため、以前と同じようにすべてを残すことが重要です。 MalwareBytesを初めてインストールして実行します。コンピュータの再起動を許可しないでください。ブラウザのタブを閉じる代わりに、再読み込みしてください。 Outlookで別の電子メールにスクロールする代わりに、ランサムウェアの原因である可能性がある同じ既知の不良ドキュメントを再度開きます。 ブラウザーの履歴 の簡単なチェックを行い、開いている場合はメールクライアントをスクロールして、通常はエンドユーザーが感染が発生したと考える前の10分以内に）、それらが関連していると思われる場合のアクションを探します。覚えておいてください。完全なインターネット上ではなく、DNSクエリに応答して、ローカルで偽造されたサービスに転送するだけのネットワークです。

緩和サイクル（なんらかの方法で妥協点を取り除き、元に戻らないことを確認します。マシンを稼働状態に復元します）

• ハンカーダウン。 まだ再起動していないか、プログラムを閉じていないか、グローバルインターネットに接続していません。良い。とりあえずDFIR completeを呼び出して、すべての可視プログラムを閉じます。 MalwareBytesを偽のネットワークで実行しました。また、すべてのプログラムを開いた状態で、実行中のメモリ（ページングファイルを含む）のアーティファクトも収集できたはずです。不正なプロセスを強制終了することもできます（MalwareBytesがまだ実行していない場合）。 MMFを参照して、既知の良好なプロセスを特定し、OSの実行を維持するために必要なものを除いて、ほとんどすべてを強制終了します。ただし、次に行うこと、つまりローカルまたはリモートのバックアップとボリュームシャドウコピーの確認に関係がある場合を除きます。サービス（VSS）。
• 復元できるものとできないものを見つけます。 Windows XPは、24時間ごとにシステムの復元ポイントを作成します。ただし、Windows 7以降、バックアップファイルなどを作成するボリュームシャドウコピーメカニズムがあります。これらのすべてのアクションが発生します。ユーザーアクティビティなしで自動的に実行されます。可能であれば、ドライブ全体のクローンを作成します。時間、ディスク領域、またはその他のトリアージが限られているためにそれができない場合は、組み込みのOSバックアップ機能にアクセスします。Win7以降を1秒と仮定しましょう、そしてあなたはここに沿って進むことができますが、私はもともと本「Operating System Forensics」からアイデアを得ました（そしてそれはまた、Incident Response＆Computer Forensics、Third Editionでカバーされています）：

C:\Windows\system32> vssadmin list shadows
[...]
  Contents of shadow copy set ID: {45540ad8-8945-4cad-9100-5b4c9a72bd88}
    Contained 1 shadow copies at creation time: 3/4/2012 5:06:01 PM
     Shadow Copy ID: {670353fe-16ff-4739-ad5e-12b1c09aff00}
      Original Volume: (C:)\\?\Volume{33faab95-9bc6-11df-9987-806e6f6e6963}\
      Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27
      Originating Machine: funhouse
      Service Machine: funhouse
      Provider: ‘Microsoft Software Shadow Copy provider 1.0’
      Type: ClientAccessibleWriters
      Attributes: Persistent, Client-accessible, No auto release,
Differential, Auto recovered

mklink /D c:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy27とcd \vssおよびdirを実行して、ランサムウェアファイル拡張子が付いたファイル（つまり、暗号化されたファイルまたはディレクトリ）が、暗号化されていない状態でトラバースすることで利用できるかどうかを確認できます。それをルートパスとして。完了したらrmdir \vssを実行し、必要に応じて別のHarddiskVolumeShadowCopyイテレーションを試すことができます。 Harlan Carvey および Forensics Wiki もこれらの方法を詳しく説明しています。

• 再起動する前に、必要なすべての情報を収集したことを確認してください。 MalwareBytesがインストールされている場合、再起動する必要があります。ただし、再起動する前に他のいくつかのパッケージをインストールすることをお勧めします。ファイルのシステムの復元またはVSSの復元で問題が発生した場合は、 Arsenal Recon Image Mounter を確認してください（ランサムウェアは実際には復元ポイントとVSS自体の後に移動し、それらを無効にするため、これを試すことが特に重要です）。 。再起動する前にすべきもう1つの素晴らしいことは、 P2V 仮想マシンゲストクローン操作を実行することです。通常は VMware vCenter Converter を使用）。再起動後にグローバルインターネットに接続する可能性が高いため、また、OSレベルおよびアプリレベルのパッチに更新できることを確認してください。他に何もない場合は、 Corporate Software Inspector Flexera（旧Secunia）からの無料トライアルをチェックしてください。お気に入りは Microsoft Baseline Security Analyzer （MBSA）プログラムです。Windowsファイアウォールや、システム環境設定のmacOS Security＆Privacyセクションなどのいくつかの設定を確認してください。セキュリティ設定の大きなリストを表示したい場合は、無料のツール Airlock 、Lunarline（NB、Windows OSバージョン7、8、および8.1でのみ機能し、Internet Explorerバージョン8、9、および10にのみセキュリティ設定を適用します-ただし、このツールは安全な構成で素晴らしいですに関して）。コンピュータの再起動時にネットワーク共有がアタッチ/再マッピングされないことを確認してください。これらは Windows および macOS で確認できます。
• 復元;戻す;戻す。 再起動前に最後に行うことは、自動実行を確認することです。 Windowsの場合、これは Autoruns を実行することを意味します（ここでも、グローバルインターネットではなくUSBまたはラボ/リカバリネットワーク経由で取得してみてください）。各項目を専門家に確認してみてください。macOSでは、起動時に実行し、[システム環境設定]、[ユーザーとグループ]、および[ログイン項目]に移動します。再起動してプロンプトが表示されたらMalwareBytesに注意して復元します。MalwareBytesを再度実行して復元します。グローバルインターネットに接続するための承認を得て復元します。MalwareBytesを更新します。MalwareBytesを再度実行します。OSを更新し、組み込みまたはサードパーティのOSレベルおよびアプリレベルの更新プログラムを実行します。プロンプトが表示された場合は、更新を完了させて再起動することで復元します。ファイルをコピーしても安全ですバックアップから復元し、暗号化されたファイルを上書きします。すべてのサービス/データがインシデントが発生する前の状態に復元したことを確認してください。
• コンピュータを使用します。 大丈夫ですか？すべてが正常に戻っていますか？まだ恐ろしいと思われるプロセスを強制終了したり、サービスを停止したりしても問題ありません。ファイルが見つからないか、バックアップから見つけられなかった場合、次の手段は何ですか？私の提案は、まだ暗号化されているすべてのファイルをUSBドライブなどのオフラインストレージにコピーすることです。おそらく後で、ランサムウェアファイル用のリカバリユーティリティが構築されます。コンピュータは、ランサムウェアだけでなく、マルウェアもあるかのように動作しますか？その場合は、それを隔離し、研究、専門知識、DFIR機能をエスカレーションします。
• 正常に表示されても、別のコンピュータを使用してもかまいません。 専門家にコンピュータを渡してもかまいません。検疫に長く滞在できるようにしてください。次の最後のフェーズでは、この特定のコンピューターを二度と見ることができなかったことに注意して準備してください。

根絶サイクル（状況理解の獲得、行動後のレビュー）

• ランサムウェアがどのように実行またはインストールされたかを調べます。 何が起こったか、何を文書化したかなどを確認して記録します。情報を保存し、 Raquet 、 nightHawkResponse 、 SOF-ELK 、 malcom 、 malcontrol 、または [〜＃〜] misp [〜＃〜] 。正式なSIEMまたはチケットシステムを使用して、この問題を追跡するか、関連する過去の問題などを検索しますas MozDef 。実際にインストールまたは実行された方法の一番下に到達します。ただし、それがどのように機能するかを理解する必要があります。これを手動で実行できない場合は、少なくとも自動マルウェア分析（AMA）を利用してください。ある種の。オフィスのUTMがPalo Alto Networksであり、会社にWildFireのライセンスがある場合、すでにAMAを持っています。その他の商用AMAプラットフォームには、Lastline、Cyphort、Check Point、McAfee Sandbox（Advanced Threat DefenseまたはATD）があります。 、Symantec Blue Coat、FireEye、Trend Micro Deep Discovery Sandbox、Fidelis、Cisco ThreatGRID、Fortinetです。InfoSecまたはITテクノロジーリーダーチームに質問できるように、これらをここで特定しました。彼らはそれが見つけたものを見に行くことができるように存在します。何もない場合は、おそらくベンダーに電話して、なぜそうしないのですか？
• ランサムウェアの機能と相関のための動作を抽出します。 ハッシュ ハッシュ およびその他の侵害の指標（IoC）と、これまでに発生したものよりも詳細な既知の悪い値を比較します。ランサムウェアの感染がOfficeドキュメントの悪意のあるマクロ（または直接電子メールから）、次に Didier Stevens tools ： emldump and oledump を使用してVBAマクロを抽出します。メモリフォレンジック分析で見つかった実行可能ファイルの完全な動作については、 Cuckoo Sandbox多くの 、 多くの 反復（オンライン送信サービスを含む） Malwr 、これに基づいています））は、頼りになるツールです（ macOSの場合は バイナリ） ！）。Malwrと同様に ペイロードセキュリティ 、 コモドカマス 、コモド Valkyrie 、 MalwareViz 、 ThreatExpert 、 ThreatTrack 、 Vicheck 、スクリーンショットと高度な分析手法をカバーする本から抜粋したもの：Advanced Malware Analysis、および：Windows Malware Analysis Essentials。安価な商用ツールについては、 JoeSecurity 、彼らの ブログ にAMAに関する多くの有用な参照があるサイト。ランサムウェアがネットワーク接続を行った（またはコンピューター上で他の悪意のある通信が見つかった）場合は、それらがどこに行くのか、そしてその理由を調べます。
• あなたの敵を知り、それに応じて応答してください。 ランサムウェア攻撃の表面をこするために、DFIRまたは脅威インテリジェンスの専門家である（または割り当てるか、雇う）必要はありません（ただし、それは役立ちます）。ただし、犯罪的に動機付けられたランサムウェアの代わりに APT Ransomware があることがわかっている場合は、特別な種類の問題があります。おそらく、ランサムウェアがローカルネットワーク経由で配信されたMicrosoft Active Directoryグループポリシーオブジェクト（AD GPO）を介してのように。攻撃が標的にされている疑いがある場合（たとえば、経営幹部のコンピューターのみがランサムウェアを使用しているか、注目を集めている個人のみ）、本当に誰かが必要です。それ以外の場合は宿題を採点してください。自分でできると思われる場合は、すぐに進んでください。このサイトはあなたの探求に役立ちます- http://www.threathunting.net
• 次のイベントの前に、ダメージを予防的に回避します。 それがコンピューターだけの場合は、OSをアップグレードするか、可能な限り最高レベルのUAC（またはその両方）を有効にすることを検討してください。 Windows Updateコントロールパネルの設定を確認します。 ITまたはInfoSecの専門家がランサムウェアを手助けしている場合は、次の2つのポリシーを再検討する必要があります。1）管理者以外のポリシー。つまり、通常のエンドユーザーは管理者アクセス権を持っていてはならず、2）アプリのホワイトリストポリシー。特にWindowsの場合、知っておく必要があるアプリのホワイトリストへのトリックがいくつかあります。このスライド資料をお読みください。特にスライド15以降- http://www.info-assure.co.uk/public_downloads/Talk%20is%20cheap-IR%20tools%20can%20be%20too.pdf - -そして、次の10枚のスライド（15-25）はランサムウェアを無料でかなり永久に入手することからあなたを救うことに注意してください。しかし、スライド29-37を読んで、PowerShell v5をすべてにインストールする必要があることを理解することを強くお勧めします。 AppLockerアプリホワイトリストポリシーを備えたエンドユーザーのコンピューター簡単な作業ではありませんが、興味があればコメントで質問してください。そこで答えるか、ここで答えを更新します。
• 更新;更新;更新。 ネットワークでサポートされていないすべてのOSを更新します（中期オプションとポスチャを含む防御機能を減らします）。新しいOSに更新します。 OSアップデートを実行します。アプリを更新します。プラグインを更新します。 Officeスイートを更新します。 Office 2016に更新できる場合は、シンプルなAD GPO（上記のAppLockerと同様））を使用して インターネットからOfficeファイルでマクロが実行されるのをブロックする 。
• 常に最新の状態に保ってください。 更新を拒否するのを簡単にしないようにしてください（そのため、管理者以外のポリシーが適用されます）。 GPOを押すと、ローカルコンピュータポリシーが変更されます–コンピュータの構成–管理用テンプレート– Windowsコンポーネント– Windows Updateアイテム。たとえば、Re-Prompt for restart with scheduled installationsを1440（24時間）後に有効に変更しますNo auto-restart with logged on users for scheduled automatic updates installationsをEnabledに設定します。Allow automatic updates immediate installationをEnabledにして終了します。書面のポリシーを通じて、また従業員または請負業者のオリエンテーションを通じて、すべてのエンドユーザーに、会社がコンピュータがオンの場合、会社はは、少なくとも1日おきに再起動する必要がある場合があります。これは公正なポリシーです。一部のユーザー、特にCADの労働者は、一度に数日または数週間コンピュータをオンのままにすることを好む数か月も！）これらのエンドユーザーに適切な例外プロセスがあることを確認するだけでなく、合意された例外ポリシーにパッチが適用され、合意された代替または代替コントロールが追加されていることを確認してください。ほとんどの場合、そうしません。 t letそれら！Appleコンピュータは、実行するルートレベルのcronjobを持つことができますsoftwareupdate -i -a毎日。収容サイクルで使用されているPXEブートネットワークを覚えていますか？ベースラインインストールイメージがこれらの同じポリシーに従って（つまり、隔日で）更新されていることを確認してください。そこにいる間は、他のローカルソフトウェア（Corporate Software Inspectorなど）を更新してください。特に、ウイルス対策ソフトウェアまたはエージェントの更新を更新してください。新しい従業員または請負業者が新しくイメージ化されたラップトップを受け取り、仕事の最初の日にマルウェアまたはランサムウェアを受け取るという話を聞いたことがあるかもしれません（私は確かに知っています）。ベースラインイメージも最新の状態に保つことで、これらのシナリオが発生しないようにしてください。これは、同じ分離されたネットワーク上に構築したMMFシステムとうまく連動します。既知の正常なハッシュを最新の状態に保ちます。また、エンタープライズを構成するすべてのユーザーと要素のアセットインベントリの追跡を開始するのにも適しています。
• のこぎりを研ぎます。 あなたのInfoSecチームやあなたのIT管理者は、ランサムウェアが彼らの環境で活発に働いている彼らがここで実際に何が間違っているのかを知らなければなりません。彼らが持っているかもしれない非常に多くの無料の（またはすでに支払われた）オプションがあります。私がたった今行ったのは、Microsoft RAP彼らのプロアクティブプレミアサービスからです）と呼ばれています。ベクトルがマクロからのものである場合、その問題を修正してください; USB、その1つ、APT、そうです-最善を尽くしてくださいプロアクティブステムセクションで引用したスライドデッキには、ネットワークレベル、ログストリーミング、システム用に実装できるものについて、すぐに簡単で無料のアイデアがたくさんあります。管理、または組織レベル。このドキュメントも参照してください- https://www.melani.admin.ch/dam/melani/en/dokumente/2016/technical%20report%20ruag.pdf.download.pdf /Report_Ruag-Espionage-Case.pdf -ここで、これらのアイデアの多くを得ました。

注：「ベストアンサー」は上級ユーザー向け（インシデントレスポンスチームのレベルでも）に向けられているように思われるため、LinuxとLive CDについての知識を持つユーザーなら誰でも簡単に実行できます。

。

。

無知に聞こえる危険にさらされて、私はワンライナーに答えます：

PCの電源を切り、Live Linux CDを起動します。

詳細：

Windows OSの場合は、システムをオフにしてLinux Live CDを起動します。データをバックアップしてから、バックアップのクローンを作成します。 1つは安全に保管し、もう1つはクリーンなOSで実行してみてください。

Linuxの場合、ランサムウェアはLinuxで動作するように設計されているため、バックアッププロセスは同じですが、別のOS（* BSD、Windows、Android -Linuxでビルドされていますが、非常に多くのOSで実行できます）私の経験では異なります）。

もちろん、ランサムウェア開発者が言ったように、あなたはそれを終わらせた方がいいかもしれません。プロセスの途中で停止すると、すでに暗号化されているものを復元することはできません。開発者に連絡するためのIDはありません。開発者はおそらく暗号化キーをまだ受け取っていない可能性があります。オプションで、両方を組み合わせることができます。前に言ったことを使用してから、感染したシステムを再起動して終了させます。

免責事項：私は人間のジャガイモです。つまり、[〜＃〜]ではない[〜＃〜]すべての開発者

ランサムウェアは、人々がそれを支払っているという理由だけで広まっています。質問と回答は、ランサムウェアを人々に支払わせる可能性が高い評判を得るために役立ちます。それはあなたのデータを回復するために後で支払う必要があるよりも良いアンチウイルスにいくらかのお金を投資する方がはるかに良いです。

途中でプロセスを中断することが有害である可能性がある場合（開発者が暗号化を停止しないようにしたかったため）関連するデータの損失による異常な中断を防ぐものはありません（RESETボタンを数秒間押し続けると、バグのあるドライバが原因のブルースクリーン...）。一般に、暗号化されたデータは、単一ビットの小さなエラーに耐えられなくなります（ビットが間違っていてもテキストファイルに違いはありませんが、暗号化されたデータのビットが間違っていると、すべてのデータが失われます）。

また、多くのI/O操作は実際にハードドライブの寿命を縮めるため、ランサムウェアの開発者は実際にハードドライブの価格のごく一部を支払う必要があります。

もう1つの重要なポイント、アカウントのパスワードをリセットするだけですが、再アクティベーションコードはまだ入力しないでください。ランサムウェアの損傷は、一部のデータがクラウドサービスまたは何らかのサーバーでホストされている場合に制限される可能性があります。つまり、マルウェアが資格情報/セッションにアクセスした場合、安全に保存されたデータにアクセスして損傷を増大させることができます。パスワードをリセットすると、アカウントへの以降のアクセスがブロックされます（スマートフォンが感染しておらず、再アクティベーションコードが傍受されていない場合）。

固有のログインを提供する多くのWebサービスでは、デバイスへのアクセスを管理し、認証情報が盗まれた場合（または認証情報が盗まれた場合）に何らかのアクションを実行することもできます。

それはゲーム理論における数学の問題の1つに似ています。お金を払って小さなアドバンテージをすぐに得ますか（データを回復します）、またはランサムウェアを無視して、長期的に「良い」ことを行ってビジネスを停止させます。すべて？