Jak poznám, že jsem chytil ransomware?

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod dede 12. 7. 2017 20:24

Zdravím,

všude na Internetu jsou návody, co dělat, když chytíte ransomware, ale nikde sem nenašel, jak se projevuje bezprostředně po spuštění.

Je vidět v paměti?

Dneska jsem dostal xls soubor na flashce z práce a až po jeho prohlídnutí a vytištění jsem se dozvěděl, že mají ve firmě toho posledního prevíta a půlka kompů nefunguje. Vzápětí se mi rozpadlo RAID 1 pole a dalo mi dost práce ho rozjet aspoň na jeden disk. Jsem z toho na nervy.

Díky za radu.
dede
Junior

Odeslat příspěvekod m.kv 12. 7. 2017 20:37

Zkus počíst zde

Jinak lze při obdržení tohoto dárečku předpokládat zvýšenou činnost CPU a disků. Zjistíš pocitově při práci.
Ten co ti dal tu flešku - pověsit za koule do průvanu.
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Milanr1 12. 7. 2017 20:40

Příčina:
Vedení firmy a IT těžce zanedbalo své základní povinnosti, vyplývající z novely Zákona o bezpečnosti informací: neproškolilo řádně zaměstnance.
dede píše:Jak poznám, že jsem chytil ransomware?

Záleží na typu.
Typ (1) se projeví příslušnou vyděračskou hláškou, jakmile je vše důležité zašifrováno.
Typ (2) se spustí po restartu, ihned zamkne OS a požaduje výkupné (ransom).
Typ (3) prostě ihned hlásí, že daná kopie OS je neplatná* a požaduje aktivaci na určeném tel. č. (velmi drahém).
Typ (4) - aktuálně nejnovější, je zřejmě zmetek: vše zašifruje, ale nepožaduje výkupné.
dede píše:co dělat, když chytíte ransomware

Co s tím?
Var. (2) a (3) lze snadno vyčistit standardnímu postupy z nouzového režimu nebo live OS.
Důležitější je ovšem proškolit zaměstnance aspoň dodatečně, aby se situace neopakovala.
Standardní postup pro var. (1) a (4):
1) Boot ze záchranného média.
3) Vyčištění systémového SSD i datových HDD|SSD standardním postupem:
Kód: Vybrat vše
diskpart
list disk
sel disk x
clean

kde x = číslo disku.
4) Připojení média se zálohou.
5) Obnova OS ze zálohy.
6) Otestování OS.
7) Obnova dokumentů ze zálohy.
dede píše:Dneska jsem dostal xls soubor na flashce z práce

Nemusíš se ničeho bát:
slušně zabezpečený OS WNT 6. řady** je proti tomu imunní i bez nainstalovaného 3-P bezpečnostního systému.
Pokud jsi ovšem porušil některé z uvedených bezpečnostních pravidel => Tvoje bl-bost => máš smůlu.
---
* Nemusím snad dodávat, že hláška je falešná stejně jako uvedené telefonní číslo. :-)
** Viz FAQ:
https://mople71.cz/faq/

Btw:
Tahle závada
dede píše:Vzápětí se mi rozpadlo RAID 1 pole

nijak nesouvisí z dotazem.
Tipuji to na RAID postavený na parodii diskového řadiče typu integrovaného na MB s chipsetem Intel. :-)
Navíc jsi zapomněl uvést i SMART obou HDD|SSD.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod mople71 12. 7. 2017 22:55

dede píše:jak se projevuje bezprostředně po spuštění

To je moc obecná otázka. Úplně obyčejný (samodomo) ransomware začne dělat bordel okamžitě po spuštění a nejde si toho nevšimnout (CPU). Rozumnější ransomware už se nechová tak očividně a většinou chvíli po spuštění nedělá nic moc. APT ransomware nic moc nedělá klidně 48h po spuštění.

Milanr1 píše:Typ (4) - aktuálně nejnovější, je zřejmě zmetek: vše zašifruje, ale nepožaduje výkupné.

No to už ale není ransomware, ale válečná zbraň s potenciálem hromadného ničení. :/
Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod dede 13. 7. 2017 05:07

Díky moc chlapi. Nakonec to vypadá, že opravdu spadlo jenom to pole. Ale měl jsem nahnáno. :(
dede
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků