Które ransomware
zaszyfrowało twoje pliki?
Wklej dziwne rozszerzenie pliku lub żądanie okupu albo upuść jedną zaszyfrowaną próbkę. Porównujemy je ze znanymi rodzinami ransomware, mówimy, czy istnieje darmowy deszyfrator i co dalej — wszystko w przeglądarce. Nic nie jest przesyłane.
- Działa w całości w przeglądarce
- Nic nie jest przesyłane — brak śledzących
- Porównywane z lokalną bazą rodzin
Pierwsza reakcja — zrób to teraz
Spokojny plan na pierwszą godzinę
- Odłącz urządzenie od sieci (Wi-Fi i kabel), aby zatrzymać rozprzestrzenianie.
- Pozostaw włączone, ale odizolowane — nie uruchamiaj ponownie.
- Zachowaj żądanie okupu i kilka zaszyfrowanych próbek do analizy.
- Sfotografuj ekran z żądaniem okupu i zanotuj wszelkie terminy.
- Sprawdź, czy istnieją czyste kopie zapasowe offline.
- Nie płać przed rozmową ze specjalistą — rzadko gwarantuje to odzyskanie danych i może być nielegalne w przypadku grup objętych sankcjami.
- Nie instaluj ponownie systemu ani nie czyść dysków — niszczy to dowody i możliwości odzyskania.
- Nie uruchamiaj przypadkowych «deszyfratorów» z forów — wiele z nich to oszustwa lub złośliwe oprogramowanie.
- Nie podłączaj kopii zapasowych do zainfekowanej maszyny.
- Żądanie/żądania okupu i komunikat na ekranie.
- Kilka zaszyfrowanych plików (i oryginały, jeśli je masz).
- Istotne logi, podejrzane e-maile i znaczniki czasu.
- Pomaga to w informatyce śledczej, ubezpieczeniach i zgłoszeniach do organów ścigania.
PWN-ALL ChainBreak — całodobowe reagowanie na incydenty ransomware
Powstrzymanie, badania nad deszyfrowaniem i odzyskiwanie śledcze w czterech fazach. Odbiera specjalista, a nie kolejka zgłoszeń.
Odizoluj, oceń zasięg szkód, zatrzymaj rozprzestrzenianie.
Zidentyfikuj odmianę, wektor wejścia i mechanizm utrzymania.
Badania nad deszyfrowaniem, odzyskiwanie z kopii zapasowych i danych.
Informatyka śledcza dla ubezpieczeń i organów ścigania.
Jak to działa
Identyfikator ransomware, który nigdy nie widzi twoich danych
Narzędzia takie jak ID-Ransomware wymagają przesłania żądania okupu i zaszyfrowanego pliku na serwer. To narzędzie porównuje te same sygnały — w całości na twoim urządzeniu — z lokalną bazą rodzin.
- Przesłanie żądania okupu na serwer zewnętrzny.
- Przesłanie zaszyfrowanej próbki twoich danych.
- Szczegóły incydentu opuszczają twoją sieć.
- Porównanie rozszerzenia, nazwy pliku notatki i wzorców tekstu lokalnie.
- Porównanie znanych markerów plików z lokalną bazą danych.
- Uzyskanie rodziny, perspektyw deszyfrowania i spokojnego planu.
FAQ
Częste pytania
Czy moje dane są przesyłane?
Nie. Treść notatki i każdy dodany plik są przetwarzane w przeglądarce i nigdy nigdzie nie wysyłane. Nie ma elementów śledzących.
Jak wiarygodne jest dopasowanie?
Identyfikacja opiera się na publicznie znanych wskaźnikach — rozszerzeniu, nazwie pliku notatki, wzorcach tekstu i markerach plików. Może być błędna lub niepełna, zwłaszcza dla nowych lub ogólnych wariantów. Zawsze potwierdzaj na No More Ransom lub u specjalisty przed podjęciem działań.
Czy będę mógł odszyfrować za darmo?
Czasami. Niektóre rodziny mają darmowe deszyfratory, wiele nie. Perspektywa tutaj odzwierciedla to, co publicznie wiadomo, i może się zmieniać — zawsze sprawdzaj na No More Ransom.
Czy powinienem zapłacić?
Najpierw porozmawiaj ze specjalistą. Zapłata rzadko gwarantuje odzyskanie danych i może być nielegalna, jeśli grupa jest objęta sankcjami. Nasz zespół ChainBreak może doradzić.
Co oznacza profil sprawcy?
Odczytuje, w jaki sposób atakujący prosi o kontakt. Portal negocjacyjny lub wycieków w sieci Tor wskazuje na dużą grupę stosującą podwójne wymuszenie — załóż, że dane zostały skradzione, i potraktuj to jako naruszenie. Kontakt wyłącznie przez e-mail, Tox lub Jabber jest typowy dla rodzin „masowych” (Phobos, Dharma, STOP, Mallox), które często włamują się przez słabe logowania do pulpitu zdalnego i częściej mają darmowy deszyfrator.
Identyfikacja opiera się na publicznie znanych wskaźnikach i może być niepełna, zwłaszcza dla nowych lub ogólnych wariantów. Dostępność deszyfratorów zmienia się w czasie — sprawdź na No More Ransom i skonsultuj się z wykwalifikowanym specjalistą ds. reagowania na incydenty przed podjęciem działań.