Jada Cyrus zajmująca się na co dzień bezpieczeństwem w sieci we współracy z Lawrence’m Abrams’em i Cody Johnston’em z BleepingComputer zebrała w jednej kompilacji kilka narzędzi do walki z Ransomware, a raczej z tym co po nich pozostaje. Zaszyfrowanych plików w większości przypadków nie da się już odzyskać, oczywiście poza kilkoma wyjątkami, o których piszemy poniżej.
- Aplikację Ransomware Removal Kit możesz pobrać z: https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview z sekcji /Download
Jada Cyrus sama przyznaje, że nie jest autorką tych narzędzi, ale z uwagi na rosnące zagrożenie ze strony crypto-ransomware postanowiła zebrać w jednym miejscu aplikacje, które pomogą w usunięciu tego szkodliwego oprogramowania, a w niektórych przypadkach nawet w odzyskaniu danych.
Niezbędne kroki po zaszyfrowaniu plików
Jeżeli padliście ofiarą operacji zaszyfrowania plików musicie być świadomi tego, iż prawdopodobnie należycie do grona ignorantów, którzy kompletnie nie przejmują się tym, z jakimi zagrożeniami spotykają się na co dzień w sieci Internet.
Nie mniej jednak zdajemy sobie sprawę z tego, że nie każdego interesuje tematyka bezpieczeństwa komputerowego, jednak zważywszy na postępującą komercjalizację IT prędzej czy później każdy z nas może zostać ofiarą przestępstwa komputerowego. I pamiętajcie, prokuratora nie będzie obchodziło, czy Wasz komputer został wykorzystany do nielegalnej dystrybucji pornografii lub spamu, a nawet pośredniczył w nielegalnych operacjach bankowych – winę za to poniesiecie sami. Dlatego zanim w przeglądarce zamkniesz to okno i przystąpisz jak zwykle do codziennych komputerowych czynności zastanów się, czy:
1. Korzystasz z porządnego oprogramowania antywirusowego?
2. Weryfikujesz nadawców wiadomości e-mail?
3. Nie otwierasz załączników niewiadomego pochodzenia (czyt. od przypadkowych nadawców)?
Jeżeli te trzy podstawowe punkty nie są Ci znane to:
1. Czy w efekcie padłe(a)ś ofiarą malvertising’u i ataku drive-by download?
2. Czy padłe(a)ś ofiarą scamu np. „na Pocztę Polską”, „na DHL”, „na Allegro”?
3. Czy padłe(a)ś ofiarą spamu z w/w szkodliwym załącznikiem?
4. Czy w ostateczności został(a)ś ofiarą własnej głupoty i niewiedzy?
Jeżeli choć jeden punkt się sprawdził, a Twoje pliki zostały zaszyfrowane:
1. Odłącz od sieci komputer oraz wszystkie podłączone do niego dyski i pamięci przenośne. Musisz wiedzieć, że większość odmian crypto-ransomware szyfruje nie tylko pliki na lokalnym dysku, ale także te udostępnione w sieci lokalnej i na pamięciach podłączonych do portów USB.
2. Jeśli szkodliwy plik został uruchomiony jeszcze nie wszystko stracone. Ransomware przez pierwsze kilkadziesiąt sekund lub nawet kilka minut przeszukuje dysk i tworzy listę zaszyfrowanych plików. Jeżeli więc zauważysz, że coś dzieje się z komputerem natychmiast zresetuj system włącznikiem na obudowie i odłącz internetowy kabel od routera / antenę z portu USB / wyłącz Wi-Fi na laptopie odpowiednią kombinacja klawiszy (w zależności od zastosowanego skrótu przez danego producenta).
Zazwyczaj jednak jest już po fakcie. Kiedy Twoim oczom ukaże się podmieniona tapeta i okienko z instrukcją jak zrealizować płatność BTC lub PayPal żaden restart już nie nie wskóra. Pomimo wszystko zdecydowałe(a)ś się na restart i podejrzewasz, że jeszcze nie wszystkie pliki są utracone uważaj na porady, które można znaleźć na różnych forach. A oto jedna z nich:
„Włącz komputer, pobierz program X, program Y, wklej logi na stronę Z i załącz wszystko w poście na forum”.
Cały szkopuł w tym, że Ransomware przed zaszyfrowaniem plików komunikuje się z serwerem C&C w celu pobrania klucza szyfrującego. Może też pobierać dodatkowe składniki lub inne złośliwe oprogramowanie. Korzystanie w takim przypadku z sieci jest głupotą. Przed tą operacją przeskanuj wszystkie dyski antywirusem z płyty ratunkowej.
3. Najskuteczniejszą metodą na odzyskanie plików jest… przywrócenie ich z kopii zapasowej. Najpierw przeskanuj komputer z płyty ratunkowej lub użyj przenośnego oprogramowania / zainstaluj antywirusa i wykonaj „pełne skanowanie”, a następnie przywróć pliki. Ransomware musi zostać całkowicie unicestwiony, aby ponownie nie doszło do operacji zaszyfrowania plików.
4. Możesz skorzystać z Ransomware Removal Kit oraz narzędzi, które znajdziesz w archiwum:
- BitCryptor – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez BitCryptor.
- CoinVault – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez CryptoLocker. Dostępne są narzędzia CryptoLockerDecrypt od FireEye lub Kaspersky CoinVault Decryptor (zob. Krok po kroku jak odzyskać zaszyfrowane pliki przez Ransomware CoinVault).
- FBIRansomWare – narzędzie do usuwania infekcji po FBIRansomWare.
- OperationGlobal – narzędzie do usuwania infekcji po OperationGlobal.
- PCLock – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez PCLock.
- TeslaCrypt – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez TeslaCrypt i Alpfa Crypt.
- TorrentLocker – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez TorrentLocker.
- TrendMicro_Ransomware_RemovalTool – uniwersalny skaner Trend Micro Anti-Threat Toolkit w wersji 32 i 64-bitowej.
Użycie wyżej wymienionych narzędzi nie gwarantuje odzyskania plików. Klucz deszyfrujący w większości przypadków znajduje się na kontrolowanych przez przestępców serwerach C&C, które są niemal nie do odzyskania. Nie mniej jednak Kaspersky Lab wraz z holenderską policją National High Tech Crime Unit (NHTCU) uruchamiając serwis www.noransom.kaspersky.com pokazał, że operacje „zdjęcia” serwerów C2 są jak najbardziej możliwe.
Od jakiegoś czasu powiedzenie: „ludzie dzielą się na tych, którzy robią kopie zapasowe i na tych, którzy zaczną je robić” staje się coraz bardziej popularne. I nie ma się czemu dziwić, w końcu tylko kopia danych pozwoli w pełni je odzyskać po ich zaszyfrowaniu.
