Einführung
Wir haben die Ransomware-Wiederherstellung demonstriert, indem wir Dateien mithilfe der Windows Shadow Volume Copy-Funktion wiederhergestellt haben. Dies war Teil von TryHackMe Advent von Cyber 2
Das Chaos bei Best Festival Company geht weiter. McEager erhält zahlreiche E-Mails und Telefonanrufe über einen möglichen Ransomware-Angriff, der alle Endpunkte im Netzwerk betrifft. McEager weiß, dass die mit der Malware infizierten Endpunkte keine Sicherungskopien haben, aber zum Glück hat er auf seiner Workstation Backups aktiviert.
Ransomware ist eine echte Bedrohung, gegen die sich Unternehmensverteidiger und gelegentliche Computerbenutzer schützen und auf die sie sich vorbereiten müssen. Laut Wikipedia ist Ransomware eine Art von Malware, die damit droht, die Daten des Opfers zu veröffentlichen oder den Zugriff darauf dauerhaft zu blockieren, sofern kein Lösegeld gezahlt wird. Es kann eine beängstigende Erfahrung sein, sich bei einem Computer anzumelden und dann festzustellen, dass Malware alle Ihre wichtigen Dokumente verschlüsselt hat.
Es gibt zahlreiche Sicherheitsprodukte, die in den Sicherheitsstapel implementiert werden können, um diese Art von Malware abzufangen. Wenn Ransomware einen Endpunkt infiziert, kann es je nach der tatsächlichen Malware einen von einem Sicherheitsanbieter bereitgestellten Entschlüsseler geben. Wenn nicht, müssen Sie sich auf Backups verlassen, um Ihre Maschinen zusammen mit ihren Dateien in den letzten funktionsfähigen Zustand zurückzusetzen. Windows verfügt über eine integrierte Funktion, die dabei helfen kann.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der Volumeschattenkopie-Dienst (VSS) koordiniert die Aktionen, die zum Erstellen einer konsistenten Schattenkopie (auch Snapshot oder Point-in-Time-Kopie genannt) der zu sichernden Daten erforderlich sind. (offizielle Definition)
Malware-Autoren kennen diese Windows-Funktion und schreiben Code in ihre Malware, um nach diesen Dateien zu suchen und sie zu löschen. Dadurch ist es unmöglich, sich von einem Ransomware-Angriff zu erholen, es sei denn, Sie verfügen über ein Offline-/Offsite-Backup. Allerdings löscht nicht jede Malware die Volumeschattenkopien.
Bevor wir uns mit VSS auf dem Endpunkt befassen, sprechen wir kurz über den Taskplaner.
Mit dem Taskplaner können Sie Routineaufgaben automatisch auf einem ausgewählten Computer ausführen. Der Taskplaner überwacht dazu die von Ihnen gewählten Kriterien (sogenannte Trigger) und führt die Aufgaben dann aus, wenn diese Kriterien erfüllt sind. (offizielle Definition)
Malware-Autoren können für die Malware eine geplante Aufgabe erstellen, damit die Malware an einem bestimmten gewünschten Tag/zu einer bestimmten Uhrzeit oder mit einem bestimmten Auslöser ausgeführt wird.
Raumantworten
Entschlüsseln Sie die gefälschte „Bitcoin-Adresse“ in der Lösegeldforderung. Was ist der Klartextwert?
Manchmal ändert Ransomware die Dateierweiterungen der verschlüsselten Dateien. Was ist die Dateierweiterung für jede der verschlüsselten Dateien?
Wie lautet der Name der verdächtigen geplanten Aufgabe?
Überprüfen Sie die Eigenschaften der geplanten Aufgabe. Wo befindet sich die ausführbare Datei, die bei der Anmeldung ausgeführt wird?
Es gibt eine weitere geplante Aufgabe, die mit VSS zusammenhängt. Was ist die ShadowCopyVolume-ID?
Weisen Sie der versteckten Partition einen Buchstaben zu. Wie lautet der Name des versteckten Ordners?
Klicken Sie mit der rechten Maustaste und überprüfen Sie die Eigenschaften des versteckten Ordners. Verwenden Sie die Registerkarte „Vorherige Versionen“, um die verschlüsselte Datei in diesem versteckten Ordner auf die vorherige Version zurückzusetzen. Wie lautet das Kennwort in der Datei?
