introduzione
Abbiamo dimostrato il recupero del ransomware recuperando i file utilizzando la funzionalità Copia shadow del volume di Windows. Questo faceva parte TryHackMe L'avvento di Cyber 2
Il caos alla Best Festival Company continua. McEager riceve numerose e-mail e telefonate su un possibile attacco ransomware che colpisce tutti gli endpoint della rete. McEager sa che gli endpoint infettati dal malware non hanno copie di backup ma fortunatamente sulla sua workstation ha i backup abilitati.
Il ransomware è una minaccia reale da cui i difensori aziendali e gli utenti occasionali di computer devono difendersi e prepararsi. Secondo Wikipedia, il ransomware è un tipo di malware che minaccia di pubblicare i dati della vittima o di bloccarne permanentemente l'accesso a meno che non venga pagato un riscatto. Può essere un'esperienza spaventosa accedere a una macchina solo per rendersi conto che il malware ha crittografato tutti i tuoi documenti importanti.
Esistono numerosi prodotti di sicurezza che possono essere implementati nello stack di sicurezza per individuare questo tipo di malware. Se il ransomware infetta un endpoint, a seconda del malware reale, potrebbe esserci un decryptor reso disponibile da un fornitore di sicurezza. In caso contrario, devi fare affidamento sui backup per ripristinare le tue macchine all'ultimo stato funzionante, insieme ai relativi file. Windows ha una funzionalità integrata che può aiutarti in questo.
Ottieni le note sul certificato OSCP
IL Servizio Copia Shadow del volume (VSS) coordina le azioni necessarie per creare una copia shadow coerente (nota anche come snapshot o copia point-in-time) dei dati di cui eseguire il backup. (definizione ufficiale)
Gli autori di malware conoscono questa funzionalità di Windows e scrivono codice nel loro malware per cercare questi file ed eliminarli. Ciò rende impossibile il ripristino da un attacco ransomware a meno che non si disponga di un backup offline/off-site. Tuttavia, non tutti i malware eliminano le copie shadow del volume.
Prima di approfondire VSS sull'endpoint, parliamo brevemente dell'Utilità di pianificazione.
L'Utilità di pianificazione consente di eseguire automaticamente attività di routine su un computer selezionato. L'Utilità di pianificazione esegue questa operazione monitorando i criteri scelti (denominati trigger) e quindi eseguendo le attività quando tali criteri vengono soddisfatti. (definizione ufficiale)
Gli autori di malware potrebbero fare in modo che il malware crei un'attività pianificata affinché il malware venga eseguito in un giorno/ora o in un trigger specifici desiderati.
Risposte in camera
Decifrare il falso "indirizzo bitcoin" all'interno della richiesta di riscatto. Qual è il valore del testo normale?
A volte il ransomware modifica le estensioni dei file crittografati. Qual è l'estensione del file per ciascuno dei file crittografati?
Qual è il nome dell'attività pianificata sospetta?
Esaminare le proprietà dell'attività pianificata. Qual è la posizione dell'eseguibile eseguito all'accesso?
Esiste un'altra attività pianificata correlata a VSS. Qual è l'ID ShadowCopyVolume?
Assegna una lettera alla partizione nascosta. Qual è il nome della cartella nascosta?
Fare clic con il tasto destro e controllare le proprietà della cartella nascosta. Utilizza la scheda "Versioni precedenti" per ripristinare la versione precedente del file crittografato che si trova all'interno di questa cartella nascosta. Qual è la password all'interno del file?
