Melyik zsarolóvírus
titkosította a fájljait?
Illessze be a furcsa fájlkiterjesztést vagy a váltságdíj-üzenetet, vagy húzzon ide egy titkosított mintát. Összevetjük az ismert zsarolóvírus-családokkal, megmondjuk, létezik-e ingyenes visszafejtő, és mi a következő lépés — mindezt a böngészőjében. Semmit sem töltünk fel.
- Teljes egészében a böngészőjében fut
- Semmit sem tölt fel — nincs nyomkövető
- Helyi családadatbázissal vetjük össze
Első reagálás — tegye meg most
Higgadt terv az első órára
- Válassza le az eszközt a hálózatról (Wi-Fi és kábel), hogy megállítsa a terjedést.
- Hagyja bekapcsolva, de elszigetelve — ne indítsa újra.
- Őrizze meg a váltságdíj-üzenetet és néhány titkosított mintát elemzéshez.
- Fényképezze le a váltságdíj-képernyőt, és jegyezzen fel minden határidőt.
- Ellenőrizze, vannak-e tiszta, offline biztonsági mentések.
- Ne fizessen, mielőtt szakemberrel beszélne — ritkán garantálja a helyreállítást, és szankcionált csoportok esetén illegális lehet.
- Ne telepítse újra az operációs rendszert, és ne törölje a lemezeket — ez megsemmisíti a bizonyítékokat és a helyreállítási lehetőségeket.
- Ne futtasson fórumokról származó találomra «visszafejtőket» — sok közülük átverés vagy kártevő.
- Ne csatlakoztassa a biztonsági mentéseket a fertőzött géphez.
- A váltságdíj-üzenet(ek) és a képernyőn megjelenő üzenet.
- Néhány titkosított fájl (és az eredetiek, ha vannak).
- A vonatkozó naplók, gyanús e-mailek és időbélyegek.
- Ez segít a kriminalisztikai elemzésben, a biztosításban és a hatósági bejelentésekben.
PWN-ALL ChainBreak — 0–24 órás zsarolóvírus-incidenskezelés
Elszigetelés, visszafejtési kutatás és kriminalisztikai helyreállítás négy fázisban. Szakember veszi fel, nem egy jegysor.
Elszigetelni, felmérni a kár mértékét, megállítani a terjedést.
A változat, a behatolási útvonal és a perzisztencia azonosítása.
Visszafejtési kutatás, mentésből és adatból való helyreállítás.
Kriminalisztika biztosításhoz és a hatóságok számára.
Hogyan működik
Egy zsarolóvírus-azonosító, amely soha nem látja az adatait
Az olyan eszközök, mint az ID-Ransomware, megkövetelik a váltságdíj-üzenet és egy titkosított fájl szerverre való feltöltését. Ez az eszköz ugyanazokat a jeleket — teljes egészében az eszközén — egy helyi családadatbázissal veti össze.
- A váltságdíj-üzenet feltöltése külső szerverre.
- Az adatai egy titkosított mintájának feltöltése.
- Az incidens részletei elhagyják a hálózatát.
- A kiterjesztés, az üzenet fájlnevének és a szövegmintáknak helyi összevetése.
- Ismert fájljelölők összehasonlítása egy helyi adatbázissal.
- A család, a visszafejtési kilátások és egy higgadt terv megszerzése.
GYIK
Gyakori kérdések
Feltöltődnek az adataim?
Nem. Az üzenet szövegét és a hozzáadott fájlokat a böngészőjében dolgozzuk fel, és sehová sem küldjük el. Nincsenek nyomkövetők.
Mennyire megbízható az egyezés?
Az azonosítás nyilvánosan ismert jelzőkön alapul — kiterjesztés, üzenet fájlneve, szövegminták és fájljelölők. Hibás vagy hiányos lehet, különösen új vagy általános változatok esetén. Mindig erősítse meg itt: No More Ransom vagy szakemberrel, mielőtt cselekedne.
Tudok ingyen visszafejteni?
Néha. Egyes családokhoz van ingyenes visszafejtő, sokhoz nincs. Az itteni kilátás a nyilvánosan ismert információt tükrözi, és idővel változhat — mindig ellenőrizze a No More Ransom oldalon.
Fizessek?
Először beszéljen szakemberrel. A fizetés ritkán garantálja a helyreállítást, és illegális lehet, ha a csoport szankció alatt áll. ChainBreak csapatunk tud tanácsot adni.
Mit jelent a támadói profil?
Azt olvassa ki, hogyan kéri a támadó a kapcsolatfelvételt. A Tor-os tárgyalási vagy szivárogtató portál nagy, kettős zsarolást alkalmazó csoportra utal — feltételezze, hogy adatokat loptak, és kezelje adatszivárgásként. A csak e-mailben, Toxon vagy Jabberen való kapcsolat a „tömeges” családok (Phobos, Dharma, STOP, Mallox) jellemzője, amelyek gyakran gyenge távoli asztali bejelentkezéseken át jutnak be, és nagyobb eséllyel van hozzájuk ingyenes visszafejtő.
Az azonosítás nyilvánosan ismert jelzőkön alapul, és hiányos lehet, különösen új vagy általános változatok esetén. A visszafejtők elérhetősége idővel változik — ellenőrizze a No More Ransom oldalon, és cselekvés előtt kérje ki képzett incidenskezelő szakember véleményét.