Který ransomware
zašifroval vaše soubory?
Vložte podivnou příponu souboru nebo zprávu o výkupném, případně sem přetáhněte jeden zašifrovaný vzorek. Porovnáme jej se známými rodinami ransomwaru, řekneme vám, zda existuje bezplatný dešifrovací nástroj a co dělat dál — vše ve vašem prohlížeči. Nic se nenahrává.
- Běží zcela ve vašem prohlížeči
- Nic se nenahrává — žádné sledovače
- Porovnáváno s lokální databází rodin
První reakce — udělejte to hned
Klidný plán pro první hodinu
- Odpojte zařízení od sítě (Wi-Fi i kabel), abyste zastavili šíření.
- Nechte je zapnuté, ale izolované — nerestartujte.
- Uchovejte zprávu o výkupném a několik zašifrovaných vzorků k analýze.
- Vyfoťte obrazovku s výkupným a zaznamenejte případné lhůty.
- Zkontrolujte, zda existují čisté offline zálohy.
- Neplaťte, dokud nepromluvíte se specialistou — zřídka to zaručuje obnovu a u sankcionovaných skupin to může být nezákonné.
- Nepřeinstalovávejte operační systém ani nemažte disky — zničí to důkazy a možnosti obnovy.
- Nespouštějte náhodné «dešifrovací nástroje» z fór — mnohé jsou podvody nebo malware.
- Nepřipojujte zálohy k infikovanému počítači.
- Zprávu/zprávy o výkupném a zprávu na obrazovce.
- Několik zašifrovaných souborů (a originály, pokud nějaké máte).
- Relevantní protokoly, podezřelé e-maily a časová razítka.
- Pomáhá to forenzní analýze, pojišťovnám a oznámením orgánům činným v trestním řízení.
PWN-ALL ChainBreak — nepřetržitá reakce na incidenty s ransomwarem
Zadržení, výzkum dešifrování a forenzní obnova ve čtyřech fázích. Zvedne to specialista, ne fronta tiketů.
Izolovat, vymezit rozsah škod, zastavit šíření.
Identifikovat variantu, vstupní vektor a persistenci.
Výzkum dešifrování, obnova ze záloh a dat.
Forenzní analýza pro pojišťovny a orgány činné v trestním řízení.
Jak to funguje
Identifikátor ransomwaru, který nikdy nevidí vaše data
Nástroje jako ID-Ransomware vyžadují nahrání zprávy o výkupném a zašifrovaného souboru na server. Tento nástroj porovnává stejné signály — výhradně na vašem zařízení — s lokální databází rodin.
- Nahrát zprávu o výkupném na server třetí strany.
- Nahrát zašifrovaný vzorek vašich dat.
- Podrobnosti o vašem incidentu opustí vaši síť.
- Porovnat příponu, název souboru zprávy a textové vzory lokálně.
- Porovnat známé značky souborů s lokální databází.
- Získat rodinu, vyhlídky na dešifrování a klidný plán.
FAQ
Časté dotazy
Nahrávají se moje data?
Ne. Text zprávy a každý přidaný soubor se zpracovávají ve vašem prohlížeči a nikam se neodesílají. Nejsou zde žádné sledovače.
Jak spolehlivá je shoda?
Identifikace je založena na veřejně známých indikátorech — příponě, názvu souboru zprávy, textových vzorech a značkách souborů. Může být chybná nebo neúplná, zejména u nových či obecných variant. Vždy ověřte na No More Ransom nebo u specialisty, než začnete jednat.
Budu moci dešifrovat zdarma?
Někdy. Některé rodiny mají bezplatné dešifrovací nástroje, mnohé ne. Zdejší vyhlídka odráží to, co je veřejně známé, a může se časem měnit — vždy ověřte na No More Ransom.
Mám zaplatit?
Nejprve se poraďte se specialistou. Platba zřídka zaručuje obnovu a může být nezákonná, pokud je skupina sankcionovaná. Náš tým ChainBreak vám poradí.
Co znamená profil útočníka?
Vyčítá, jak útočník žádá o kontakt. Vyjednávací nebo únikový portál na síti Tor ukazuje na velkou skupinu s dvojím vydíráním — předpokládejte, že data byla ukradena, a berte to jako únik dat. Kontakt pouze e-mailem, přes Tox nebo Jabber je typický pro „masové“ rodiny (Phobos, Dharma, STOP, Mallox), které se často dostávají dovnitř přes slabá přihlášení vzdálené plochy a častěji mají bezplatný dešifrovací nástroj.
Identifikace je založena na veřejně známých indikátorech a může být neúplná, zejména u nových či obecných variant. Dostupnost dešifrovacích nástrojů se v čase mění — ověřte na No More Ransom a před jednáním se poraďte s kvalifikovaným odborníkem na reakci na incidenty.