Introducción
Demostramos la recuperación de ransomware recuperando archivos utilizando la función Instantánea de volumen de Windows. Esto fue parte de TryHackMe Advenimiento de Cyber 2
El caos en Best Festival Company continúa. McEager recibe numerosos correos electrónicos y llamadas telefónicas sobre un posible ataque de ransomware que afecta a todos los puntos finales de la red. McEager sabe que los puntos finales que están infectados con el malware no tienen copias de seguridad, pero afortunadamente en su estación de trabajo tiene las copias de seguridad habilitadas.
El ransomware es una amenaza real contra la que los defensores empresariales y los usuarios ocasionales de computadoras deben defenderse y prepararse. Según Wikipedia, el ransomware es un tipo de malware que amenaza con publicar los datos de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate. Puede ser una experiencia aterradora iniciar sesión en una máquina y darse cuenta de que el malware ha cifrado todos sus documentos importantes.
Existen numerosos productos de seguridad que se pueden implementar en la pila de seguridad para detectar este tipo de malware. Si el ransomware infecta un punto final, dependiendo del malware real, es posible que un proveedor de seguridad proporcione un descifrador. De lo contrario, debe confiar en las copias de seguridad para restaurar sus máquinas al último estado de funcionamiento, junto con sus archivos. Windows tiene una función incorporada que puede ayudar con eso.
Obtenga notas del certificado OSCP
El Servicio de instantáneas de volumen (VSS) coordina las acciones necesarias para crear una instantánea coherente (también conocida como instantánea o copia de un momento determinado) de los datos de los que se va a realizar una copia de seguridad. (definición oficial)
Los creadores de malware conocen esta característica de Windows y escriben código en su malware para buscar estos archivos y eliminarlos. Hacerlo hace que sea imposible recuperarse de un ataque de ransomware a menos que tenga una copia de seguridad fuera de línea o fuera del sitio. Sin embargo, no todo el malware elimina las instantáneas de volumen.
Antes de sumergirnos en VSS en el endpoint, hablemos brevemente sobre el Programador de tareas.
El Programador de tareas le permite realizar automáticamente tareas de rutina en una computadora elegida. El Programador de tareas hace esto monitoreando cualquier criterio que elija (denominados desencadenantes) y luego ejecutando las tareas cuando se cumplen esos criterios. (definición oficial)
Los creadores de malware pueden hacer que el malware cree una tarea programada para que se ejecute en un día/hora o desencadenante específico deseado.
Respuestas de la habitación
Descifre la 'dirección bitcoin' falsa dentro de la nota de rescate. ¿Cuál es el valor de texto plano?
En ocasiones, el ransomware cambia las extensiones de los archivos cifrados. ¿Cuál es la extensión de archivo de cada uno de los archivos cifrados?
¿Cuál es el nombre de la tarea programada sospechosa?
Inspeccione las propiedades de la tarea programada. ¿Cuál es la ubicación del ejecutable que se ejecuta al iniciar sesión?
Hay otra tarea programada relacionada con VSS. ¿Qué es el ID de ShadowCopyVolume?
Asigne una letra a la partición oculta. ¿Cuál es el nombre de la carpeta oculta?
Haga clic derecho e inspeccione las propiedades de la carpeta oculta. Utilice la pestaña 'Versiones anteriores' para restaurar el archivo cifrado que se encuentra dentro de esta carpeta oculta a la versión anterior. ¿Cuál es la contraseña dentro del archivo?
