Експерти з безпеки не рекомендують користувачам перезавантажувати свої комп’ютери після зараження ПО-вамагачом, оскільки ситуація може стати тільки гірше в певних обставинах. Перезавантаження може привести до перезапуску перерваного процесу шифрування файлів і потенційної втрати ключів шифрування, що зберігаються в пам’яті.
Дослідники рекомендують жертвам перевести комп’ютер в сплячий режим, відключити його від мережі і звернутися до професійних IT-фахівців. Вимкнення комп’ютера є альтернативою, але сплячий режим краще, оскільки він зберігає копію пам’яті, де деякі вимагачі можуть іноді залишати копії своїх ключів шифрування.
Група експертів з компанії Symantec, Стенфордського і Нью-Йоркського університетів провела опитування серед 1180 дорослих американців, які стали жертвами ПО-вимагача в останні роки. За результатами, майже 30% жертв прийняли рішення перезавантажити свої комп’ютери в якості способу боротьби з інфекцією.
Перезавантаження в безпечному режимі є хорошим способом видалення старих вимагачів, які використовують блокувальники екрану, проте фахівці не рекомендують вдаватися до даного варіанту при роботі з сучасними версіями вимагачів, які шифрують файли.
«Як правило, шкідливий файл, що шифрує ваші дані, призначений для сканування дисків через підключення до певної машині. Іноді він відключається або блокується через проблеми з дозволами і припиняє шифрування. Якщо ви перезавантажите комп, шкідник запуститься знову і спробує завершити роботу. Система може бути зашифрована тільки частково, тому користувачі НЕ повинні дозволяти шкідливому ПО завершити свою роботу … не перезавантажуватися! », – зазначив генеральний директор компанії Covewar Білл Зігель (Bill Siegel).
За словами фахівців, жертви вимагачів повинні також пройти два етапи процесу відновлення після зараження. Насамперед необхідно виявити артефакти вимагачів (процеси і механізми персистентності) і видалити їх з зараженого пристрою, а потім здійснити відновлення даних, якщо доступний механізм резервного копіювання.
Як зазначає Зігель, коли компанії пропускають перший крок, перезавантаження комп’ютера часто перезапускає вимагача і закінчує процес шифрування щойно відновлених файлів, і тоді жертвам доведеться перезапускати процес відновлення даних з нуля.
Джерело: bin.ua