Эксперты по безопасности не рекомендуют пользователям перезагружать свои компьютеры после заражения вымогательским ПО, поскольку ситуация может стать только хуже в определенных обстоятельствах. Перезагрузка может привести к перезапуску прерванного процесса шифрования файлов и потенциальной потере ключей шифрования, хранящихся в памяти.
Исследователи рекомендуют жертвам перевести компьютер в спящий режим, отключить его от сети и обратиться к профессиональным IT-специалистам. Выключение компьютера также является альтернативой, но спящий режим лучше, поскольку он сохраняет копию памяти, где некоторые вымогатели могут иногда оставлять копии своих ключей шифрования.
Группа экспертов из компании Symantec, Стэнфордского и Нью-Йоркского университетов провела опрос среди 1180 взрослых американцев, ставших жертвами вымогательского ПО в последние годы. По результатам, почти 30% жертв приняли решение перезагрузить свои компьютеры в качестве способа борьбы с инфекцией.
Перезагрузка в безопасном режиме является хорошим способом удаления старых вымогателей, использующих блокировщики экрана, однако специалисты не рекомендуют прибегать к данному варианту при работе с современными версиями вымогателей, которые шифруют файлы.
«Как правило, исполняемый файл вредоноса, шифрующий ваши данные, предназначен для сканирования через подключенные к определенной машине диски. Иногда он отключается или блокируется из-за проблем с разрешениями и прекращает шифрование. Если вы перезагрузите машину, вредонос запустится вновь и попытается завершить работу. Система может быть зашифрована только частично из-за какой-то удачной ошибки или проблемы, поэтому пользователи НЕ должны позволять вредоносному ПО завершить свою работу… не перезагружаться!», — отметил генеральный директор компании Covewar Билл Зигель (Bill Siegel).
По словам специалистов, жертвы вымогателей должны также пройти два этапа процесса восстановления после заражения. Первым делом необходимо обнаружить артефакты вымогателей (процессы и механизмы персистентности) и удалить их с зараженного устройства, а затем осуществить восстановление данных, если доступен механизм резервного копирования.
Как отмечает Зигель, когда компании пропускают первый шаг, перезагрузка компьютера часто перезапускает вымогатели и заканчивает процесс шифрования недавно восстановленных файлов, и тогда жертвам придется перезапускать процесс восстановления данных с нуля.