Ktorý ransomvér
zašifroval vaše súbory?
Vložte zvláštnu príponu súboru alebo výzvu na výkupné, prípadne sem presuňte jednu zašifrovanú vzorku. Porovnáme ju so známymi rodinami ransomvéru, povieme vám, či existuje bezplatný dešifrovací nástroj a čo ďalej — všetko vo vašom prehliadači. Nič sa nenahráva.
- Beží celé vo vašom prehliadači
- Nič sa nenahráva — žiadne sledovače
- Porovnávané s lokálnou databázou rodín
Prvá reakcia — urobte to hneď
Pokojný plán na prvú hodinu
- Odpojte zariadenie od siete (Wi-Fi aj kábel), aby ste zastavili šírenie.
- Nechajte ho zapnuté, ale izolované — nereštartujte.
- Uchovajte výzvu na výkupné a niekoľko zašifrovaných vzoriek na analýzu.
- Odfoťte obrazovku s výkupným a zaznamenajte prípadné lehoty.
- Skontrolujte, či existujú čisté offline zálohy.
- Neplaťte skôr, než sa poradíte so špecialistom — zriedka to zaručuje obnovu a pri sankcionovaných skupinách to môže byť nezákonné.
- Nepreinštalovávajte operačný systém ani nevymazávajte disky — zničí to dôkazy a možnosti obnovy.
- Nespúšťajte náhodné «dešifrovacie nástroje» z fór — mnohé sú podvody alebo malvér.
- Nepripájajte zálohy k infikovanému počítaču.
- Výzvu/výzvy na výkupné a správu na obrazovke.
- Niekoľko zašifrovaných súborov (a originály, ak nejaké máte).
- Relevantné záznamy, podozrivé e-maily a časové pečiatky.
- Pomáha to pri forenznej analýze, poisťovniach a oznámeniach orgánom činným v trestnom konaní.
PWN-ALL ChainBreak — nepretržitá reakcia na incidenty s ransomvérom
Zadržanie, výskum dešifrovania a forenzná obnova v štyroch fázach. Dvíha to špecialista, nie rad tiketov.
Izolovať, vymedziť rozsah škôd, zastaviť šírenie.
Identifikovať variant, vstupný vektor a perzistenciu.
Výskum dešifrovania, obnova zo záloh a dát.
Forenzná analýza pre poisťovne a orgány činné v trestnom konaní.
Ako to funguje
Identifikátor ransomvéru, ktorý nikdy nevidí vaše dáta
Nástroje ako ID-Ransomware vyžadujú nahranie výzvy na výkupné a zašifrovaného súboru na server. Tento nástroj porovnáva rovnaké signály — výhradne na vašom zariadení — s lokálnou databázou rodín.
- Nahrať výzvu na výkupné na server tretej strany.
- Nahrať zašifrovanú vzorku vašich dát.
- Podrobnosti o vašom incidente opustia vašu sieť.
- Porovnať príponu, názov súboru výzvy a textové vzory lokálne.
- Porovnať známe značky súborov s lokálnou databázou.
- Získať rodinu, vyhliadky na dešifrovanie a pokojný plán.
FAQ
Časté otázky
Nahrávajú sa moje dáta?
Nie. Text výzvy a každý pridaný súbor sa spracúvajú vo vašom prehliadači a nikam sa neodosielajú. Nie sú tu žiadne sledovače.
Aká spoľahlivá je zhoda?
Identifikácia sa zakladá na verejne známych ukazovateľoch — prípone, názve súboru výzvy, textových vzoroch a značkách súborov. Môže byť nesprávna alebo neúplná, najmä pri nových či všeobecných variantoch. Vždy overte na No More Ransom alebo u špecialistu, skôr než začnete konať.
Budem môcť dešifrovať zadarmo?
Niekedy. Niektoré rodiny majú bezplatné dešifrovacie nástroje, mnohé nie. Tunajší výhľad odráža to, čo je verejne známe, a môže sa časom meniť — vždy overte na No More Ransom.
Mám zaplatiť?
Najprv sa poraďte so špecialistom. Platba zriedka zaručuje obnovu a môže byť nezákonná, ak je skupina sankcionovaná. Náš tím ChainBreak vám poradí.
Čo znamená profil útočníka?
Číta, ako vás útočník žiada o kontakt. Vyjednávací alebo únikový portál v sieti Tor naznačuje veľkú skupinu s dvojitým vydieraním — predpokladajte, že dáta boli ukradnuté, a berte to ako únik dát. Kontakt iba e-mailom, cez Tox alebo Jabber je typický pre „masové“ rodiny (Phobos, Dharma, STOP, Mallox), ktoré sa často dostávajú dnu cez slabé prihlásenia vzdialenej plochy a častejšie majú bezplatný dešifrovací nástroj.
Identifikácia sa zakladá na verejne známych ukazovateľoch a môže byť neúplná, najmä pri nových či všeobecných variantoch. Dostupnosť dešifrovacích nástrojov sa časom mení — overte na No More Ransom a pred konaním sa poraďte s kvalifikovaným odborníkom na reakciu na incidenty.