Introduction
Nous avons démontré la récupération de ransomware en récupérant des fichiers à l'aide de la fonctionnalité Windows Shadow Volume Copy. Cela faisait partie de TryHackMe L'avènement de Cyber 2
Le chaos au sein de la Best Festival Company continue. McEager reçoit de nombreux e-mails et appels téléphoniques concernant une éventuelle attaque de ransomware affectant tous les points finaux du réseau. McEager sait que les points finaux infectés par le malware ne disposent d'aucune copie de sauvegarde, mais heureusement, sur son poste de travail, les sauvegardes sont activées.
Les ransomwares constituent une menace réelle contre laquelle les défenseurs des entreprises et les utilisateurs occasionnels d'ordinateurs doivent se défendre et se préparer. Selon Wikipédia, un ransomware est un type de malware qui menace de publier les données de la victime ou d'en bloquer perpétuellement l'accès à moins qu'une rançon ne soit payée. Il peut être effrayant de se connecter à une machine et de se rendre compte qu'un logiciel malveillant a crypté tous vos documents importants.
Il existe de nombreux produits de sécurité qui peuvent être implémentés dans la pile de sécurité pour détecter ce type de malware. Si un ransomware infecte un point final, en fonction du malware réel, un décrypteur peut être mis à disposition par un fournisseur de sécurité. Sinon, vous devez vous fier aux sauvegardes afin de restaurer vos machines au dernier état de fonctionnement, ainsi que leurs fichiers. Windows dispose d'une fonctionnalité intégrée qui peut vous aider.
Obtenir les notes du certificat OSCP
Le Service de cliché instantané des volumes (VSS) coordonne les actions requises pour créer un cliché instantané cohérent (également appelé instantané ou copie ponctuelle) des données à sauvegarder. (définition officielle)
Les auteurs de logiciels malveillants connaissent cette fonctionnalité de Windows et écrivent du code dans leurs logiciels malveillants pour rechercher ces fichiers et les supprimer. Cela rend impossible la récupération après une attaque de ransomware, à moins que vous ne disposiez d'une sauvegarde hors ligne/hors site. Cependant, tous les logiciels malveillants ne suppriment pas les clichés instantanés du volume.
Avant de plonger dans VSS sur le point final, parlons brièvement du planificateur de tâches.
Le Planificateur de tâches vous permet d'effectuer automatiquement des tâches de routine sur un ordinateur choisi. Le Planificateur de tâches fait cela en surveillant les critères que vous choisissez (appelés déclencheurs), puis en exécutant les tâches lorsque ces critères sont remplis. (définition officielle)
Les auteurs de logiciels malveillants peuvent demander au logiciel malveillant de créer une tâche planifiée afin que le logiciel malveillant s'exécute à un jour/une heure ou un déclencheur spécifique souhaité.
Réponses de la salle
Décryptez la fausse « adresse Bitcoin » contenue dans la demande de rançon. Quelle est la valeur du texte brut ?
Parfois, les ransomwares modifient les extensions des fichiers cryptés. Quelle est l’extension de fichier de chacun des fichiers cryptés ?
Quel est le nom de la tâche planifiée suspecte ?
Inspectez les propriétés de la tâche planifiée. Quel est l’emplacement de l’exécutable exécuté lors de la connexion ?
Il existe une autre tâche planifiée liée à VSS. Qu'est-ce que l'ID ShadowCopyVolume ?
Attribuez une lettre à la partition cachée. Quel est le nom du dossier caché ?
Cliquez avec le bouton droit et inspectez les propriétés du dossier caché. Utilisez l'onglet « Versions précédentes » pour restaurer le fichier crypté qui se trouve dans ce dossier caché vers la version précédente. Quel est le mot de passe dans le fichier ?
