Эксперты по безопасности не рекомендуют пользователям перезагружать свои компьютеры после заражения вирусом-вымогателем, поскольку в определенных обстоятельствах это может помочь вредоносному ПО.
Вместо этого эксперты рекомендуют, чтобы жертвы переводят компьютер в спящий режим, отключают его от сети и обращаются в профессиональную фирму по поддержке ИТ. Выключение компьютера также является альтернативой, но гибернация лучше, потому что он сохраняет копию памяти, где некоторые некачественные вымогатели могут иногда оставлять копии своих ключей шифрования [1, 2].
Эксперты рекомендуют против ПК перезагружается, потому что недавний опрос 1180 взрослых американцев, ставших жертвами вымогателей в последние годы, показал, что почти 30% жертв решили перезагрузить свои компьютеры как способ борьбы с инфекцией.
Но хотя перезагрузка в безопасном режиме является хорошим способом удаления старых вымогателей, использующих блокировщики экрана, не рекомендуется работать с современными версиями вымогателей, которые шифруют файлы.
«Как правило, исполняемый файл [ransomware]который фактически шифрует ваши данные, предназначен для сканирования через подключенные, подключенные и подключенные диски к определенной машине. Иногда он отключается или блокируется из-за проблем с разрешениями и прекращает шифрование», — говорит Билл Сигел, генеральный директор & Соучредитель Coveware, компании, которая предоставляет услуги по восстановлению данных с помощью вымогателей, сообщил ZDNet по электронной почте на этой неделе.
«Если вы перезагрузите компьютер, он запустится снова и попытается завершить работу», — сказал Сигел.
«Частично зашифрованный компьютер шифруется только частично из-за какой-то удачной ошибки или проблемы, поэтому жертвы должны использовать преимущества и НЕ позволять вредоносным программам завершать свою работу … не перезагружаться! "
Зигель рассказал ZDNet, что этот совет применим как к корпоративным, так и к домашним пользователям.
Кроме того, жертвы вымогателей также должны принять к сведению, что им необходимо пройти два этапа процесса вымогательства.
Первый — это поиск артефактов вымогателей — таких как процессы и механизмы сохранения загрузки — и удаление их с зараженного хоста.
Второй — восстановление данных, если доступен механизм резервного копирования.
Зигель предупреждает, что когда компании пропускают или пропускают первый шаг, перезагрузка компьютера часто перезапускает процесс вымогателей и заканчивает шифрованием недавно восстановленных файлов, что означает, что жертвам придется перезапускать процесс восстановления данных с нуля.
В случае предприятий это увеличивает время простоя и увеличивает операционную прибыль компании.
Чтобы узнать больше о борьбе с атаками вымогателей, вы можете ознакомиться с руководством Emsisoft на h благодаря удалению вымогателей и первому руководству по реагированию Coveware о борьбе с атаками вымогателей.
Статья обновлена вскоре после публикации, чтобы рекомендовать компьютер в режиме гибернации вместо выключения питания.