Jak jsme si již řekli v článku o identifikaci procesu ransomware, proč vlastně chceme dělat memory dump. Tak zde si řekneme jak se poprat s postupem při vyrábění memory dumpu.
Otevřme si tedy proces explorer a následně přes right click vybereme vytvoření Memory Dumpu. Rozhodně je vhodnější vybrat Full memory dump.
Potom se to uloží na plochu, nebo sem:
(%LocalAppData%) C:\Users\YourUserName\AppData\Local\
U některých typů Ramsomware je možné získat šifrovací klíč na stroji na kterém je ramsomware process stále v běhu a to několika metodami. První metodou je dekompilace ramsomware binárního souboru za pomoci zpětného inženýringu. S pomocí vhodného software, v našem případě použijeme software dnSpy.
Jak je na obrázku patrné zdroják se skládá z vícero souborů, než jenom jednoho a nedílnou součásti ramsomware bývá i konfigurační soubor (podle vzorků na gitu a podobně). Je možné, že je v binárce hardcodovaný i klíč s jehož pomocí následně můžeme decryptaci provést.
Nejprve bu pravděpodobně nutné identifikovat ransomware process, tento postup naleznete v tomto článku na blogu.
Tuto metodu volíme v takové fázi, ve které již máme jednoznačně identifikovaného člena sítě z kterého probíhal útok a máme ho izolovaného od ostatních prvků sítě. Na kterých již můžeme pracovat na obnově škod.
Identifikace vlastně není nic jiného než pouze nalezení procesu v process manageru
Proč to chceme? Existuje metoda, otisku paměti pro danný proces. Jestliže tedy provedu Memory dump na danný process mám vše co obsahuje a má uloženo v operační paměti a z této části jsme schopni při troše štěstí schopni provést extraxci klíče v případě, že se v paměti nachází a hlavně víme-li jak ji nalézt.
