Kuinka suojautua ransomware-virukselta. Suojaus ransomware-viruksia vastaan. Kannattaako hyökkääjille maksaa rahaa

Tällä kertaa tarkistimme, kuinka monimutkaiset virustentorjuntatyökalut selviävät kiristysohjelmista troijalaisia ​​vastaan. Tätä varten tehtiin valikoima lunnasohjelmia ja jopa erillinen ohjelma, joka jäljittelee tuntemattoman salaavan troijalaisen toimintaa. Sen allekirjoitus ei todellakaan ole kenenkään tämän päivän testauksen osallistujan tietokannassa. Katsotaan mitä he voivat tehdä!

VAROITUS

Artikkeli on kirjoitettu tutkimustarkoituksiin. Kaikki siinä olevat tiedot ovat vain tiedoksi. Kaikki näytteet hankitaan avoimista lähteistä ja lähetetään virusanalyytikoille.

Vanhat keinot uusiin uhkiin

Klassiset virustorjuntaohjelmat eivät juurikaan suojaa troijalaisilta, jotka salaavat tiedostoja ja vaativat lunnaita niiden salauksen purkamisesta. Teknisesti tällaiset kiristysohjelmat koostuvat kokonaan tai lähes kokonaan laillisista osista, joista jokainen ei suorita haitallisia toimia yksinään. Haittaohjelma yksinkertaisesti yhdistää ne ketjuksi, mikä johtaa tuhoiseen lopputulokseen - käyttäjältä viedään mahdollisuus työskennellä tiedostojensa kanssa, kunnes hän purkaa ne.

Viime aikoina monet erikoistuneet apuohjelmat ovat näyttäneet suojaavan troijalaisilta kiristysohjelmilta. He joko yrittävät suorittaa ei-allekirjoitusanalyysin (eli tunnistaa uudet ransomware-versiot niiden käyttäytymisestä, tiedostojen maineesta ja muista epäsuorista merkeistä) tai yksinkertaisesti kieltää ohjelmia tekemästä muutoksia, jotka ovat tarpeen kiristysohjelmien toiminnan kannalta.

Olemme nähneet, että tällaiset apuohjelmat ovat käytännössä hyödyttömiä. Edes niissä asetetut tiukimmat rajoitukset (joiden alla ei voi enää toimia normaalisti) eivät tarjoa luotettavaa estettä kiristysohjelmia troijalaisia ​​vastaan. Nämä ohjelmat ehkäisevät joitakin tartuntoja, mutta tämä luo vain väärän turvallisuuden tunteen käyttäjälle. Hänestä tulee huolimattomampi ja joutuu kiristysohjelmien uhriksi entistä nopeammin.

Suurin ongelma klassisten lunnasohjelmien troijalaisten torjunnassa on, että kaikki heidän toiminnonsa suoritetaan vain käyttäjätiedostoilla eivätkä ne vaikuta järjestelmän osiin. Käyttäjää ei voida estää muuttamasta ja poistamasta tiedostojaan. Laadukkaiden kiristyshaittaohjelmien edustajien käyttäytymisessä on hyvin vähän selviä piirteitä tai ne puuttuvat kokonaan. Verkkoyhteys ajaa nyt useimpia ohjelmia (ainakin päivitysten tarkistamista varten), ja salausominaisuudet on sisäänrakennettu jopa tekstieditoreihin.

Osoittautuu, että ennalta ehkäisevistä suojaustyökaluista ei ole jäljellä selviä merkkejä, jotka auttaisivat erottamaan seuraavan salaavan troijalaisen laillisesta ohjelmasta. Jos troijalainen allekirjoitus ei ole tietokannassa, mahdollisuus, että virustorjunta havaitsee sen, on hyvin pieni. Heuristinen moduuli reagoi vain karkeisiin muutoksiin tunnetuista kiristysohjelmista, eikä käyttäytymisanalysaattori yleensä havaitse epäilyttävää toimintaa ollenkaan.

Varmuuskopiot varmuuskopiot ovat erilaisia!

Nykyään tuhansia tietokoneita saa päivittäin kiristysohjelmia ja pääsääntöisesti käyttäjien itsensä käsissä. Virustorjuntayritykset hyväksyvät sovelluksia tiedostojen salauksen purkamiseen (maksutta asiakkailtaan), mutta niiden analyytikot eivät myöskään ole kaikkivaltiaat. Joskus on mahdollista kerätä liian vähän dataa onnistuneeseen salauksen purkamiseen, tai itse troijalainen algoritmi sisältää virheitä, jotka tekevät tiedostojen palauttamisen alkuperäisessä muodossaan mahdottomaksi. Nyt salauksenpurkuhakemuksia käsitellään kahdesta päivästä kuuteen kuukauteen, ja tänä aikana monet niistä yksinkertaisesti menettävät merkityksensä. On vielä etsittävä lisäsuojakeinoja, ei luota virustarkistuksiin.

Varmuuskopiot olivat pitkään yleistä suojaa kaikkia virushyökkäyksiä vastaan. Uuden haittaohjelmatartunnan sattuessa oli mahdollista yksinkertaisesti palauttaa kaikki varmuuskopiosta, korvaamalla salatut tiedostot niiden alkuperäisillä versioilla ja palauttamalla kaikki ei-toivotut muutokset. Nykyaikaiset ransomware-troijalaiset ovat kuitenkin oppineet havaitsemaan ja korruptoimaan myös varmuuskopioita. Jos niiden automaattinen luominen on määritetty, varmuuskopiomuisti on yhdistetty ja kirjoitettava. Kehittynyt troijalainen skannaa kaikki paikalliset, ulkoiset ja verkkoasemat, määrittää hakemiston varmuuskopioineen ja salaa ne tai poistaa ne korvaamalla vapaan tilan.

Varmuuskopiointi manuaalisesti on liian työlästä ja epäluotettavaa. Tällaista toimenpidettä on vaikea suorittaa päivittäin, ja pidemmän ajan kuluessa kerääntyy paljon olennaista dataa, jota ei enää palauteta. Kuinka olla?

Nykyään useimmat kehittäjät tarjoavat klassisten virustorjuntaohjelmien lisäksi kattavia tietoturvaratkaisuja. Nyt ne sisältävät palomuurin, IDS:n ja muiden tunnettujen komponenttien lisäksi uuden - suojatun varmuuskopiotallennustilan. Toisin kuin tavallisessa hakemistossa, jossa on varmuuskopiot, vain virustorjunta itse voi käyttää sitä, ja sitä ohjaa sen ohjain. Hakemiston ulkoinen hallinta on kokonaan poistettu käytöstä - edes järjestelmänvalvoja ei voi avata tai poistaa sitä tiedostonhallinnan kautta. Katsotaan kuinka hyvä tämä lähestymistapa on.

Testausmenetelmät

Kokeita varten teimme klooneja virtuaalikoneen puhtaalla Windows 10:llä ja uusimmilla korjaustiedostoilla. Jokaisessa niistä oli asennettuna oma virustorjunta. Heti tietokantojen päivityksen jälkeen tarkistimme virustorjunnan reaktion testisarjaan ja simulaattoriohjelmaamme. Testisarjaan kuului 15 näytettä. Näistä 14 oli tunnettujen kiristysohjelmien troijalaisten erilaisia ​​modifikaatioita ja viidestoista oli lataustroijalainen, joka latasi toisen kiristysohjelman etäsivustolta.

Kaikilla näytteillä oli .tst-tunniste todellisesta tiedostomuodosta riippumatta. Erityisesti näitä testejä varten kirjoitettu ohjelma yksinkertaisella nimellä EncryptFiles jäljitteli tyypillistä salaustroijalaisen käyttäytymistä. Kun se ajettiin oletusasetuksilla, se salasi välittömästi My Documents -hakemiston tiedostojen sisällön ilman kysymyksiä. Selvyyden vuoksi tallensimme kaikuviestit ohjelmaan ja sijoitimme pari tekstitiedostoa OEM-866-koodaukseen nykyisen käyttäjän asiakirjojen hakemistoon, jotta niiden sisältö näkyisi välittömästi suoraan konsolissa. Yksi tiedosto sisälsi lainauksia Strugatskien teoksista (pelkkä muotoilematon teksti), ja toinen tiedosto sisälsi linssin parametreja taulukon muodossa (muotoiltu teksti).

Kunkin virustorjuntaohjelman asennuksen ja päivityksen jälkeen kiristysohjelmanäytteet kopioitiin Lataukset-hakemistoon vain luku -tilassa yhdistetystä verkkokansiosta. Sitten virustorjunta (pakotettu tarkistus on demand) tarkisti kopioidut tiedostot oletusasetuksissa. Jäljelle jääville näytteille määritettiin tarkistuksen jälkeen todellinen jatke, jonka jälkeen ne käynnistettiin. Jos järjestelmässä ei ollut tartuntaa, virustorjuntaohjelman reaktio simulaattoriohjelmaan tarkistettiin. Jos tiedostojen salaus onnistui, yritimme palauttaa niiden alkuperäiset versiot virustorjuntatyökaluilla ja kirjasimme tuloksen.

Kaspersky Total Security

Asensimme yhteen testivirtuaalikoneista Kaspersky Total Securityn, joka lupasi "suojan kiristysohjelmia vastaan ​​estämään haittaohjelmia korruptoimasta tiedostoja". KTS tunnisti lähes kaikki uhat jo yrittäessään kopioida kiristysohjelmanäytteitä verkkokansiosta.


Vain yksi tiedosto viidestätoista päätyi "Lataukset"-hakemistoon - nd75150946.tst - tämä on vain Trojan.Downloader, ja se on ollut tiedossa pitkään. KTS:n pyynnöstä tehdyn lisätarkastuksen jälkeen tiedostoa pidettiin jälleen turvallisena. VirusTotalin 45 virustarkistusohjelmaa oli eri mieltä.



Avasimme tämän kuvion Hex-editorilla määrittääksemme sen todellisen laajennuksen. Tuttu otsikko 50 4B 03 04 ja toisen tiedoston nimi sisällä - tietysti meillä on ZIP-arkisto. Arkiston sisällä oli epäilyttävä tiedosto: sen kuvake vastasi PDF-dokumenttia ja tiedostopääte oli .scr - näytönsäästäjä, eli se on suoritettava koodi.


Kun yritettiin ajaa .scr-tunnisteella varustettua tiedostoa arkistosta, KTS esti sen automaattisesti puretun kopion käyttäjän väliaikaisessa hakemistossa. KSN-verkon kautta suoritetun pilvianalyysin tulosten perusteella hän tunnisti tämän tiedoston tuntemattomaksi haitalliseksi objektiksi ja ehdotti sen poistamista uudelleenkäynnistyksellä. Tässä tapauksessa se oli ylimääräinen varotoimenpide, koska troijalaiselle ei annettu hallintaa ja se voitiin poistaa millään tavalla, kuten normaali tiedosto.


On huomionarvoista, että Kaspersky Total Security ei opi virheistään. Kun arkisto tarkistettiin uudelleen, se todettiin jälleen puhtaaksi, vaikka siitä purettu tiedosto oli juuri käynnistänyt laukaisun KSN:n analyysitulosten perusteella.



Seuraavan testausvaiheen alussa tarkistimme Omat asiakirjat -hakemiston alkutilan ja näytimme sieltä konsoliin muutaman tekstitiedoston sisällön.



Sen jälkeen avasimme "Varmuuskopiointi ja palautus" -moduulin ja varmuuskopioimme nämä asiakirjat Varmuuskopiointi-kansioon aivan järjestelmäosion päällä. Todellisessa tilanteessa sinun tulisi valita eri paikka (esimerkiksi ulkoinen asema), mutta testimme kannalta sillä ei ole merkitystä. Joka tapauksessa pääsyä tähän kansioon ohjataan KTS:n avulla, eivätkä troijalaiset voi olla vuorovaikutuksessa sen kanssa tavallisen tiedostojärjestelmäohjaimen kautta.



Tavallisia työkaluja käyttämällä jopa järjestelmänvalvoja voi tarkastella vain tämän kansion ominaisuuksia. Kun yrität syöttää sen, KTS-varmuuskopiointihallinta käynnistyy automaattisesti ja pyytää sinua syöttämään salasanan, jos se on asetettu aiemmin.



Kaspersky tekee itse varmuuskopionhallinnan erittäin selväksi. Voit valita vakiohakemistoja, määrittää omia tai jättää yksittäisiä tiedostoja pois. Kunkin tyyppisten tiedostojen määrä näkyy välittömästi vasemmalla olevassa ikkunassa ja niiden koko - oikeanpuoleisissa ominaisuuksissa.



Varmuuskopioiden kirjoittamisen lisäksi paikallisille ja irrotettaville asemille KTS tukee niiden lähettämistä Dropboxiin. Pilvitallennustilan käyttö on erityisen kätevää, jos haittaohjelmat estävät tietokonetta käynnistymästä ja yhdistämästä ulkoisia tietovälineitä.



KTS jätti huomioimatta simulaattoriohjelmamme. Hän salasi tiedostot hiljaa ja muutti niiden sisällön hölynpölyyn. My Videos-, My Pictures- ja My Music -alihakemistojen pääsyn estäminen on itse ohjelmassa oleva virhe, joka ei vaikuta millään tavalla sen kykyyn salata tiedostoja %USERPROFILE%Documentsissa.

Jos ohjelmassamme salauksenpurkutoiminto suoritetaan yksinkertaisesti kun se käynnistetään /decrypt-avaimella, niin troijalaisilla sitä ei aina käynnistetä edes lunnaita koskevien vaatimusten täyttymisen jälkeen. Ainoa riittävän nopea vaihtoehto salattujen tiedostojen palauttamiseksi tässä tapauksessa on korvata ne aiemmin luodusta varmuuskopiosta. Vain muutamalla napsautuksella palautimme valikoivasti yhden salatuista tiedostoista alkuperäiseen sijaintiinsa. Vastaavasti voit palauttaa yhden tai useamman kokonaisen hakemiston.


Dr.Web Security Space

Kuten KTS, Dr.Web SS havaitsi 14 näytteestä 15 jo yrittäessään kopioida niitä Downloads-hakemistoon.



Toisin kuin KTS, se kuitenkin havaitsi Trojan.Downloaderin jäljellä olevasta näytteestä sen jälkeen, kun sen laajennus oli vaihdettu ZIP-muotoon ja suoritettu pakotettu tarkistus.


Useimmat Dr.Web SS -asetukset on oletusarvoisesti poissa käytöstä. Aktivoidaksesi sen, sinun on ensin napsautettava lukkokuvaketta ja annettava salasana, jos sellainen on asetettu.


Varmuuskopiot luodaan Dr.Web SS:ssä Data Loss Prevention -työkalulla. Käytettävissä olevat asetukset ovat minimaaliset. Voit valita vakiomuotoisia mukautettuja hakemistoja varmuuskopioita varten tai määrittää omasi, asettaa jonkin valituista kopioiden koon rajoituksista, määrittää varmuuskopioiden sijainnin ja määrittää varmuuskopiointiaikataulun. Dr.Web SS ei tue lataamista pilvivarastoihin, joten sinun on rajoituttava paikallisiin asemiin.



Hakemiston suojaus varmuuskopioilla Dr.Web SS:ssä on aggressiivisempaa kuin KTS:ssä. Ylläpitäjä ei voi edes tarkastella sen ominaisuuksia Explorerin kautta.



Teimme asiakirjoista varmuuskopiot ja siirryimme testin toiseen osaan.

Dr.Web SS:n jäljittelijä ei tunnistanut sitä eikä häirinnyt sen toimintaa millään tavalla. Sekunnin murto-osassa kaikki tiedostot salattiin.



Palautimme alkuperäiset tiedostot suorittamalla Data Loss Prevention uudelleen. He eivät kuitenkaan selviytyneet ollenkaan siellä, missä he odottivat.


Kun määritetään kohdekansio "Omat asiakirjat", siihen luodaan automaattisesti alihakemisto, jonka nimeksi on nykyinen päivämäärä ja kellonaika. Tallennetut tiedostot on jo purettu varmuuskopiosta siihen, ja kaikki suhteelliset polut on palautettu. Tämä johtaa erittäin hankalaan pitkään polkuun, joka voi helposti ylittää yleisen 255 merkin rajan.


Norton Security Premium

Kun muistaa Norton Ghost, josta tuli varmuuskopiointistandardi 1990-luvulla, oli helppo ennustaa tällaisten toimintojen ilmestyminen Symantecin virustorjuntaan. On yllättävää, että kului kaksi vuosikymmentä, ennen kuin tälle ilmeiselle ratkaisulle tuli kysyntää. Ei olisi onnea, mutta epäonni auttoi.

Yrittessään kopioida kiristysohjelmanäytehakemistoa NSP havaitsi ja asetti karanteeniin 12 uhasta 15:stä.



Kaikki kolme jäljellä olevaa tiedostoa tunnistetaan haitallisiksi, kun VirusTotal analysoi ne, mukaan lukien kaksi niistä Symantecin antivirus. Oletusasetukset on vain tehty niin, että NSP ei tarkista joitain tiedostoja kopioitaessa. Suoritetaan pakotettu tarkistus... ja NSP löytää kaksi muuta troijalaista samasta hakemistosta.



Kuten aiemmat virustorjuntaohjelmat, NSP jättää troijalaisen latausohjelman uudelleen nimettyyn ZIP-arkistoon. Kun yritetään ajaa .scr-tiedostoa NSP-arkistosta, se estää troijalaisen pakkaamattoman kopion käynnistämisen nykyisen käyttäjän väliaikaisesta hakemistosta. Tässä tapauksessa itse arkistoa ei käsitellä millään tavalla.


Arkistoa pidetään puhtaana, vaikka se tarkistetaan uudelleen välittömästi sen jälkeen, kun siitä purettu troijalainen on havaittu. Kirjoitus näyttää erityisen hauskalta: "Jos mielestäsi on edelleen uhkauksia, napsauta tästä." Kun napsautat sitä, tietokannat päivitetään (tai eivät, jos ne ovat jo tuoreita).



Yllättäen NSP havaitsee osan vanhemmista kiristysohjelmanäytteistä edelleen vain heuristisen analysaattorin ja pilvipohjaisten tarkastustyökalujen avulla. Vaikuttaa siltä, ​​että Symantecin virologit ovat liian laiskoja pitämään tietokannat ajan tasalla. Heidän virustorjuntansa vain estää kaiken epäilyttävän ja odottaa käyttäjän reaktiota.

Toinen testausvaihe oli perinteinen. Varmuuskopioimme tiedostot Omat asiakirjat -hakemistosta ja yritimme sitten salata ne.

NSP:n varmuuskopiointipäällikkö oli ensin tyytyväinen sen logiikkaan. Se käyttää klassista "Mitä? Missä? Milloin? ”, tuttua esineuvostoaikaa. Modernissa versiossa sitä kuitenkin varjostaa liiallinen abstraktisuus. Sen sijaan, että objektit, joissa on täydet polut ja tiedostot, luetellaan suoraan laajennuksittain, käytetään niiden virtuaalista sijaintia ja ehdollista ryhmittelyä tyyppien mukaan. Nähtäväksi jää, mitkä tiedostot NSP katsoo liittyvän taloudellisiin tietoihin ja mitkä se yksinkertaisesti laittaa "Muu"-osioon.



Lisäasetukset ovat mahdollisia (esimerkiksi käyttämällä linkkiä "Lisää tai poissulje tiedostoja ja kansioita"), mutta niiden tekeminen on erittäin vaikeaa. Muutaman tiedoston (kukin alle kilotavun) vuoksi sinun on silti varmuuskopioitava puoli hakemistopuuta ja kaikenlaista roskaa, kuten desktop.ini , ja varmuuskopiointivelho ehdottaa tämän säilyttämistä CD-R-levyllä. Näyttää siltä, ​​että 2000-luku ei ole tullut kaikille.



Toisaalta NSP-käyttäjille tarjotaan 25 Gt varmuuskopioita pilvessä. Jos haluat ladata varmuuskopiot sinne, valitse kohteeksi "Suojattu verkkotallennus".



Paikallisen varmuuskopion luomisen jälkeen käynnistimme ohjelman, joka jäljittelee troijalaisen salauksen toimintoja. NSP ei häirinnyt häntä millään tavalla ja antoi hänen salata tiedostot.



Niiden palauttaminen varmuuskopiosta oli nopeampaa ja kätevämpää kuin Dr.Web SS:ssä. Ylikirjoituksen vahvistaminen riitti, ja tiedostot alkuperäisessä muodossaan päätyivät heti alkuperäisille paikoilleen.


K7 Ultimate Security

Aiemmin tämä intialaisen K7 Computingin tuote oli nimeltään Antivirus Plus. Tämän kehittäjän nimien kanssa ja nyt on pieni hämmennys. Esimerkiksi K7 Total Security -jakelussa ei ole varmuuskopiointityökaluja. Siksi testasimme Ultimate-versiota - ainoaa, joka pystyy tekemään varmuuskopion.

Toisin kuin Venäjällä tunnetut virustorjuntaohjelmat, tämä kehitys oli testeissämme synkkä hevonen. Ilmausta "intialainen koodi" pidetään ohjelmoijien keskuudessa kirouksena, emmekä odottaneet siltä paljon. Kuten testit ovat osoittaneet - turhaan.

K7 Ultimate Security on ensimmäinen virustorjunta, joka havaitsi välittömästi kaikki 15 uhkaa valikoimastamme. Se ei edes sallinut näytteiden kopioimista Lataukset-hakemistoon ja olisi poistanut ne suoraan verkkokansiosta, jos sitä ei olisi liitetty vain luku -tilaan.



Ohjelman suunnittelu on naamiointiterästä. Ilmeisesti kehittäjät rakastavat tankkien pelaamista tai yrittävät yksinkertaisesti herättää assosiaatioita johonkin luotettavaan tällä tavalla. K7:n varmuuskopiointiasetukset on asetettu samalla tavalla kuin NSP:ssä. Kaiken kaikkiaan K7:n käyttöliittymä on kuitenkin vähemmän sotkuinen ja on helpompi päästä hienompiin yksityiskohtiin.



K7 ei reagoinut simulaattoriohjelman käynnistämiseen ja tiedostojen salaukseen. Kuten aina, minun piti palauttaa alkuperäiset varmuuskopiosta.



Palauttaessasi voit kätevästi valita yksittäisiä tiedostoja ja kirjoittaa ne alkuperäiseen sijaintiinsa. Vastaamalla myöntävästi pyyntöön korvata olemassa oleva tiedosto, palautimme lenses.txt parilla napsautuksella alkuperäiselle paikalleen.


Osana tätä testiä ei ole enää mitään lisättävää K7:n työstä. Menestys on menestystä.

johtopäätöksiä

Hyvistä testituloksista huolimatta yleiset johtopäätökset olivat pettymys. Jopa suosittujen maksullisten virustentorjuntaohjelmien täysversioista puuttuu oletusasetuksista joitain kiristysohjelmien muunnelmia. Mukautettu on-demand-skannaus ei myöskään takaa skannattujen tiedostojen turvallisuutta. Primitiivisten temppujen (kuten laajennuksen vaihtamisen) avulla myös tunnetut troijalaiset muutokset välttävät havaitsemisen. Uudet haittaohjelmat tarkistetaan lähes aina, ettei niitä havaita, ennen kuin ne päästetään luontoon.

Älä luota käyttäytymisanalysaattoriin, pilvivarmennukseen, tiedostojen maineen ominaisuuksiin ja muihin ei-allekirjoitusanalyysityökaluihin. Näissä menetelmissä on järkeä, mutta hyvin vähän. Mikään virustorjunta ei estänyt edes primitiivistä simulaattoriohjelmaamme, jolla oli nollamaine ja ilman digitaalista allekirjoitusta. Kuten monet kiristysohjelmat troijalaiset, se sisältää paljon puutteita, mutta tämä ei estä sitä salaamasta tiedostoja esteettömästi heti käynnistyksen jälkeen.

Käyttäjätiedostojen automaattinen varmuuskopiointi ei ole seurausta edistymisestä, vaan välttämätön toimenpide. Se voi olla varsin tehokas vain, jos varmuuskopiotallennusta suojataan jatkuvasti itse virustorjunnan avulla. Se toimii kuitenkin tarkalleen, kunnes virustentorjunta poistetaan muistista tai poistetaan ollenkaan. Siksi kannattaa aina tehdä lisäkopioita jollekin harvoin yhdistetylle medialle tai ladata ne pilveen. Tietenkin, jos luotat pilvipalveluntarjoajaan tarpeeksi.

Ransomware-virukset ovat hyvin tunnettu uhkatyyppi. Ne ilmestyivät suunnilleen samaan aikaan tekstiviestibannerien kanssa ja asettuivat tiiviisti viimeksi mainittujen kanssa kiristysohjelmavirusten kärkisijoille.

Kiristyshaittaviruksen rahallistamismalli on yksinkertainen: se estää osan tiedoista tai käyttäjän tietokoneesta kokonaan, ja tietojen takaisin saaminen edellyttää tekstiviestien lähettämistä, sähköistä rahaa tai matkapuhelinnumeron saldon täydentämistä päätelaitteen kautta. .

Kun kyseessä on virus, joka salaa tiedostoja, kaikki on ilmeistä - tiedostojen salauksen purkamiseksi sinun on maksettava tietty summa. Lisäksi nämä virukset ovat muutaman viime vuoden aikana muuttaneet suhtautumista uhriinsa. Jos aiemmin niitä jaettiin klassisten suunnitelmien mukaisesti warezin, pornosivustojen, huijauslähetysten ja joukkoroskapostilähetysten kautta, samalla kun ne tartuttavat tavallisten käyttäjien tietokoneita, nyt postitetut kirjeet osoitetaan manuaalisesti "normaalien" verkkotunnusten postilaatikoista - mail.ru, gmail jne. Ja he yrittävät saastuttaa oikeushenkilöitä, joissa tietokannat ja sopimukset kuuluvat salausten alle.

Nuo. Hyökkäykset ovat kehittyneet määrästä laatuun. Yhdessä yrityksissä kirjoittajalla oli tilaisuus kohdata .kova kryptografi, joka tuli postissa ansioluettelon kanssa. Tartunta tapahtui välittömästi sen jälkeen, kun henkilöstöviranomaiset avasivat tiedoston, yhtiö oli vain etsimässä henkilöstöä eikä tiedosto herättänyt epäilyksiä. Se oli docx, johon oli upotettu AdobeReader.exe :)

Mielenkiintoisin asia on, että mikään Kaspersky Anti-Virusin heuristisista ja ennakoivista antureista ei toiminut. Toinen päivä tai kaksi tartunnan jälkeen dr.web ja nod32 eivät havainneet virusta

Mitä tehdä sellaisille uhkauksille? Onko virustorjunta turha?

Vain allekirjoituksia sisältävien virustorjuntaohjelmien aika on loppumassa.

G Data TotalProtection 2015 - paras suoja lunnasohjelmia vastaan
sisäänrakennetulla varmuuskopiointimoduulilla. Klikkaa ja osta.

Kaikille niille, joihin toiminta vaikuttaa ransomware - tarjouskoodi, joka sisältää alennuksen G DATA:n ostosta - GDTP2015. Syötä tämä tarjouskoodi kassalla.

Ransomware-virukset ovat jälleen kerran osoittaneet virustentorjuntaohjelmien epäonnistumisen. Tekstiviestibannerit "yhdistivät" kerralla vapaasti käyttäjät temp-kansioon ja käynnistettiin yksinkertaisesti koko työpöydälle ja sieppasivat kaikkien palveluyhdistelmien painamisen näppäimistöltä.

Virustorjuntaohjelma toimi tuolloin loistavasti :) Kaspersky, kuten normaalitilassa, näytti kirjoituksensa "Protected by Kaspersky LAB".

Banner ei ole ovela haittaohjelma, kuten rootkit, vaan yksinkertainen ohjelma, joka muuttaa 2 näppäintä rekisterissä ja kaappaa näppäimistön syötteen.

Virukset, jotka salaavat tiedostoja, ovat saavuttaneet uuden huijaustason. Tämä on jälleen tavallinen ohjelma, jota ei ole upotettu käyttöjärjestelmän koodiin, se ei korvaa järjestelmätiedostoja eikä lue muiden ohjelmien RAM-alueita.

Se toimii vain lyhyen ajan, luo julkisen ja yksityisen avaimen, salaa tiedostot ja lähettää yksityisen avaimen hyökkääjälle. Joukko salattuja tietoja ja tiedosto hakkereiden yhteystiedoista jätetään uhrin tietokoneelle jatkomaksua varten.

Perusteltua ajatella: Ja miksi sitten tarvitaan virustorjuntaa, jos se pystyy löytämään vain sen tuntemat haittaohjelmat?

Itse asiassa virustorjuntaohjelma on välttämätön - se suojaa kaikilta tunnetuilta uhilta. Monet uudentyyppiset haitalliset koodit ovat kuitenkin liian kovia hänelle. Suojautuaksesi ransomware-viruksilta sinun on ryhdyttävä toimenpiteisiin; pelkkä virustorjunta ei riitä tähän. Ja sanon heti: "Jos tiedostosi on jo salattu, olet mukana. Ei ole helppoa saada niitä takaisin."

:

Älä unohda virustorjuntaasi

Tärkeiden tietojärjestelmien ja tietojen varmuuskopiointi Jokaisella palvelulla on oma palvelin.

Varmuuskopioi tärkeät tiedot.

:

Mitä tehdä itse virukselle?

Itsenäiset toiminnot salatuilla tiedostoilla

Kokemus kommunikoinnista virustentorjunnan teknisen tuen kanssa, mitä odottaa?

Yhteydenotto poliisiin

Huolehdi varotoimista jatkossa (katso edellinen osa).

Jos kaikki muu epäonnistuu, ehkä kannattaa maksaa?

Jos et ole vielä joutunut ransomware-viruksen uhriksi:

*Virustorjuntaohjelmiston läsnäolo tietokoneessa uusimmilla päivityksillä.

Sanotaanpa suoraan: "Virustorjuntaohjelmat ovat kauheita käsittelemään uudentyyppisiä kiristysohjelmia, mutta ne ovat erinomaisia ​​taistelemaan tunnettuja uhkia vastaan." Joten virustorjuntaohjelman läsnäolo työasemassa on välttämätöntä. Jos uhreja on jo, niin ainakin vältyt epidemialta. Mikä virustorjunta valita, on sinun.

Kokemuksen mukaan Kaspersky "syö" enemmän muistia ja prosessoriaikaa, ja kannettavan tietokoneen kiintolevyille, joiden nopeus on 5200, tämä on katastrofi (usein sektorin lukuviiveillä 500 ms ..) Nod32 on nopea, mutta saa vain vähän kiinni. Voit ostaa GDATA-virustorjunta - paras vaihtoehto.

* Tärkeiden tietojärjestelmien ja tietojen varmuuskopiointi. Jokaisella palvelulla on oma palvelin.

Siksi on erittäin tärkeää siirtää kaikki palvelut (1C, veronmaksaja, tietyt työasemat) ja kaikki ohjelmistot, joista yrityksen elämä riippuu, erilliselle palvelimelle, vielä parempi - päätepalvelimelle. Vielä parempi, aseta jokainen palvelu omalle palvelimellesi (fyysinen tai virtuaalinen - päätä itse).

Älä säilytä 1c-tietokantaa julkisesti verkossa. Monet ihmiset tekevät näin, mutta se on väärin.

Jos työ 1:n kanssa on järjestetty verkon kautta, jossa kaikille työntekijöille on jaettu luku-/kirjoitusoikeus, vie 1:t päätepalvelimelle ja anna käyttäjien työskennellä sen kanssa RDP:n kautta.

Jos käyttäjiä on vähän, eikä palvelinkäyttöjärjestelmään riitä rahaa, voit käyttää tavallista Windows XP:tä päätepalvelimena (edellyttäen, että samanaikaisten yhteyksien määrää koskevat rajoitukset poistetaan, eli sinun on korjattava). Vaikka samalla menestyksellä voit asentaa Windows Serverin lisensoimattoman version. Onneksi Microsoft antaa sinun käyttää sitä, mutta osta ja aktivoi se myöhemmin :)

Käyttäjien työ 1:stä RDP:hen toisaalta vähentää verkon kuormitusta ja nopeuttaa 1:n työtä, toisaalta se estää tietokantojen tartunnan.

Tietokantatiedostojen tallentaminen jaettuun verkkoon ei ole turvallista, ja jos muita mahdollisuuksia ei ole, huolehdi varmuuskopioinnista (katso seuraava osa.)

* Varmuuskopioi tärkeät tiedot.

Jos et ole vielä tehnyt varmuuskopioita (varmuuskopioita) - olet tyhmä, anna minulle anteeksi. No, tai tervehdi järjestelmänvalvojaasi. Varmuuskopiot eivät säästä vain viruksilta, vaan myös huolimattomilta työntekijöiltä, ​​hakkereilta ja lopulta "pudotuvilta" kiintolevyiltä.

Miten ja mitä varmuuskopioida - voit lukea erillisestä artikkelista. Esimerkiksi GDATA-virustorjuntaohjelmassa on varmuuskopiointimoduuli kahdessa versiossa - kokonaissuojaus ja päätepistesuojaus organisaatioille ( voit ostaa GDATA-täyssuojauksen).

Jos löydät salattuja tiedostoja tietokoneeltasi:

*Mitä tehdä itse virukselle?

Sammuta tietokoneesi ja ota yhteyttä tietokonepalveluun + virustorjuntatukeen. Jos olet onnekas, viruksen runkoa ei ole vielä poistettu ja sitä voidaan käyttää tiedostojen salauksen purkamiseen. Jos et ole onnekas (kuten usein tapahtuu), virus lähettää tietojen salauksen jälkeen yksityisen avaimen hyökkääjille ja kaikki sen jäljet ​​poistetaan. Tämä tehdään niin, ettei ole mahdollista määrittää, kuinka ja millä algoritmilla ne salataan.

Jos sinulla on edelleen sähköposti, jossa on tartunnan saanut tiedosto, älä poista sitä. Lähetä suosittuja tuotteita virustentorjuntalaboratorioon. Ja älä avaa sitä uudelleen.

* Itsenäiset toimet salatuilla tiedostoilla

Mitä voidaan tehdä:

Ota yhteyttä virustorjuntatukeen, hanki ohjeita ja mahdollisesti viruksen salauksenpurku.

Kirjoita ilmoitus poliisille.

Etsi Internetistä muiden käyttäjien kokemuksia, jotka ovat jo kohdanneet tämän ongelman.

Pura tiedostojen salaus sen jälkeen, kun olet kopioinut ne erilliseen kansioon.

Jos sinulla on Windows 7 tai 8, voit palauttaa tiedostojen aiemmat versiot (napsauta tiedostojen sisältävää kansiota hiiren kakkospainikkeella). Muista myös kopioida niitä etukäteen.

Mitä ei saa tehdä:

Asenna Windows uudelleen

Poista salatut tiedostot, nimeä ne uudelleen ja vaihda tunniste. Tiedostonimi on erittäin tärkeä, kun salausta puretaan tulevaisuudessa

* Kokemus kommunikoinnista virustentorjuntaohjelmiston teknisen tuen kanssa, mitä odottaa?

Kun yksi asiakkaistamme sai kiinni .hardended kryptoviruksen, joka ei vielä ollut virustorjuntatietokannassa, lähetettiin pyyntöjä dr.webille ja Kasperskylle.

Pidimme dr.webin teknisestä tuesta, palaute ilmestyi välittömästi ja jopa neuvoi. Lisäksi muutaman päivän kuluttua he sanoivat rehellisesti, etteivät he voineet tehdä mitään, ja jättivät tarkat ohjeet pyynnön lähettämisestä toimivaltaisten viranomaisten kautta.

Kasperskyssä päinvastoin, botti vastasi ensin, sitten botti ilmoitti, että virustorjunnan asentaminen uusimpien tietokantojen kanssa ratkaisisi ongelmani (muistutan, että ongelma on sadat salatut tiedostot). Viikkoa myöhemmin pyyntöni tilaksi vaihtui "lähetetty virustorjuntalaboratorioon", ja kun kirjoittaja pari päivää myöhemmin kysyi vaatimattomasti pyynnön kohtalosta, Kasperskyn edustajat vastasivat, että emme saa vastausta laboratorio vielä, he sanovat, odotamme.

Jonkin ajan kuluttua sain viestin, että pyyntöni päätettiin ehdotuksella arvioida palvelun laatu (kaikki tämä laboratorion vastausta odotellessa) .. "Painu vittuun!" ajatteli kirjoittaja.

NOD32 muuten alkoi tarttua tähän virukseen 3. päivänä sen ilmestymisen jälkeen.

Periaate on, että olet yksin salattujen tiedostojesi kanssa. Suurten virustorjuntamerkkien laboratoriot auttavat sinua vain, jos jos sinulla on avain vastaavalle virustorjuntatuotteelle ja jos sisään kryptoviruksella on haavoittuvuus. Jos hyökkääjät salasivat tiedoston useilla algoritmeilla kerralla ja useammin kuin kerran, joudut todennäköisesti maksamaan.

Virustorjuntaohjelman valinta on sinun, älä unohda sitä.

* Ota yhteyttä poliisiin

Jos olet joutunut kryptoviruksen uhriksi ja sinulle on aiheutunut vahinkoa, jopa salattujen henkilötietojen muodossa, voit ottaa yhteyttä poliisiin. Sovellusohjeet yms. On .

*Jos kaikki muu epäonnistuu, kannattaako maksaa?

Koska virustorjuntaohjelmat ovat suhteellisen epäaktiivisia kiristysohjelmien suhteen, on joskus helpompi maksaa hyökkääjille. Esimerkiksi kovetettuista tiedostoista viruksen tekijät pyytävät noin 10 tuhatta ruplaa.

Muiden uhkien (gpcode jne.) hintalappu voi vaihdella 2 tuhannesta ruplasta. Useimmiten tämä summa on pienempi kuin menetykset, joita tietojen puute voi aiheuttaa, ja pienempi kuin summa, jonka käsityöläiset voivat pyytää sinulta tiedostojen manuaalista purkamista.

Yhteenvetona voidaan todeta, että paras suoja ransomware-viruksia vastaan ​​on tärkeiden tietojen varmuuskopiointi käyttäjien palvelimilta ja työasemilta.

Kuinka edetä, on sinun päätettävissäsi. Onnea.

Käyttäjät, jotka lukevat tämän artikkelin, lukevat yleensä:

Yhteydessä

Viime aikoina koko Internetiä ovat häirinneet virusepidemiat. WannaCry ransomware, Petya ransomware ja muut virtuaaliset ikävät hyökkäykset tietokoneita ja kannettavia tietokoneita vastaan, häiritsevät niiden normaalia toimintaa ja saastuttavat kiintolevylle tallennettuja tietoja. Tämä tehdään pakottaakseen käyttäjän maksamaan rahaa haittaohjelman tekijöille. Haluan antaa vinkkejä, jotka auttavat suojaamaan tietokonettasi viruksilta mahdollisimman hyvin ja estämään niitä tartuttamasta tärkeitä tietoja.

Niitä voidaan käyttää sääntöinä, joiden noudattaminen on avain tietokoneesi tietoturvaan.

1. Muista käyttää virustorjuntaa

Jokaisessa tietokoneessa, johon on asennettu Windows-käyttöjärjestelmä ja jolla on Internet-yhteys, on oltava asennettuna virustorjuntaohjelma. Tästä ei edes keskustella, se on aksiooma! Muuten voit poimia niin monta tartuntaa melkein ensimmäisenä päivänä, että vain käyttöjärjestelmän täydellinen uudelleenasennus kiintolevyn alustamisella pelastaa sinut. Heti herää kysymys - mikä virustorjunta on parempi asentaa? Omasta kokemuksestani voin sanoa, että ei ole mitään parempaa kuin Kaspersky Internet Security tai DrWeb Security Space! Itse käytän itse aktiivisesti molempia ohjelmia kotona ja töissä, ja voin varmuudella sanoa, että ne havaitsevat 99% kaikista tartunnoista ilman ongelmia, toimivat nopeasti ja virheettömästi, joten ovat ehdottomasti rahansa arvoisia.

Jos et ole valmis etsimään hyvää tietokoneesi suojaa viruksilta, voit käyttää ilmaisia ​​virustorjuntasovelluksia. Lisäksi heidän valintansa on erittäin suuri. Olen jo lähettänyt sen - voit käyttää jotakin siellä ehdotetuista vaihtoehdoista.

Huomautus: Tein itselleni pienen anti-luokituksen virustorjuntaohjelmistosta, jota en itse käytä enkä suosittele muille. Tässä ne ovat: Avast, Eset NOD32, F-Secure, Norton Antivirus, Microsoft Security Essentials. Usko minua, nämä eivät ole tyhjiä sanoja ja ohjelmat on sisällytetty tähän luetteloon syystä! Johtopäätökset tehdään henkilökohtaisen käyttökokemuksen sekä ystävieni ja työtovereideni kokemuksen perusteella.

2. Pidä käyttöjärjestelmäsi ja ohjelmasi ajan tasalla

Vältä vanhentuneiden ohjelmistojen käyttöä. Tämä ei koske vain virustentorjuntatietokantojen pakollista säännöllistä päivittämistä (vaikka jopa käyttäjät unohtavat tämän jostain syystä hyvin usein)! Älä unohda asentaa Windows-päivityksiä vähintään kerran kuukaudessa. Lisäksi käyttöjärjestelmä tekee tämän itse, sinun tarvitsee vain aloittaa haku päivityskeskuksen kautta.

Älä myöskään unohda päivittää muita ohjelmia, koska vanhentuneisiin versioihin ilmestyy haavoittuvuuksia, joita hyökkääjät yrittävät välittömästi käyttää, kun he yrittävät saastuttaa laitettasi. Tämä koskee erityisesti verkkoselaimia ja muita sovelluksia, joiden kautta työskentelet Internetissä.

3. Älä käytä järjestelmänvalvojana

Useimpien käyttäjien päävirhe, jonka vuoksi jopa täydellisin suojaus viruksia vastaan ​​voi romahtaa, on työskennellä järjestelmässä suurimmalla teholla, eli järjestelmänvalvojan oikeuksilla. Luo tavallinen käyttäjätili rajoitetuilla oikeuksilla ja työskentele sen alla. Älä anna järjestelmänvalvojan oikeuksia muille käyttäjille - tämä on merkittävä tietoturva-aukko tietokoneessasi. Kuten käytäntö osoittaa, useimmat haitalliset sovellukset eivät pystyisi suorittamaan tuhoisaa tehtäväänsä, jos käyttäjällä ei olisi pääkäyttäjän oikeuksia järjestelmään tullessaan. Haittaohjelmilla ei yksinkertaisesti olisi oikeuksia suorittaa toimia.

4. Käytä Järjestelmän palauttamista

Jokaisessa Microsoftin käyttöjärjestelmän versiossa, nyt vanhasta Windows XP:stä muodikkaan Windows 10:een, on sisäänrakennettu työkalu palautuspisteiden luomiseen ja käyttämiseen, joita voidaan käyttää aiemman toimintatilan palauttamiseen.
Jos esimerkiksi sait viruksen, voit palata viimeiseen palautuspisteeseen, kun käyttöjärjestelmä ei ollut vielä saanut tartuntaa.

On syytä huomata, että jos sait ransomware-encryptorin, voit joissakin tapauksissa palauttaa osan salatuista tiedostoista käyttämällä Windowsin varjokopioita.
Muista tarkistaa, onko tämä ominaisuus käytössä järjestelmässäsi. Voit tehdä tämän napsauttamalla hiiren kakkospainikkeella tietokoneen kuvaketta ja valitsemalla näkyviin tulevasta valikosta "Ominaisuudet":

Napsauta näkyviin tulevassa ikkunassa oikeanpuoleisessa valikossa kohtaa "Lisäasetukset" avataksesi toisen Järjestelmän ominaisuudet -ikkunan:

Etsi "Järjestelmän suojaus" -välilehdeltä "Määritä" -painike ja napsauta sitä. Toinen ikkuna avautuu. Laitamme pisteen "Ota suojaus käyttöön" -valintaruutuun. Alla sinun on edelleen siirrettävä levyn käytön liukusäädintä vähintään 5-10 %:iin, jotta käyttöjärjestelmä voi tallentaa useita palautuspisteitä. Ota tehdyt muutokset käyttöön.

5. Piilotetut tiedostot ja laajennukset

Windowsissa oletusarvoisesti tiedostotunnisteita ei näytetä, eivätkä piilotetut tiedostot ja kansiot ole näkyvissä. Verkkorikolliset käyttävät tätä hyvin usein viruksia syöttäessään tietokoneisiin. Suoritettava tiedosto, jonka tunniste on ".exe" tai komentosarja ".vbs", on yleensä naamioitu Word-asiakirjaksi tai Excel-laskentataulukoksi ja yrittää siirtää sen pahaa aavistamattomalle käyttäjälle. Tällä periaatteella toimivat viime aikoina yleiset kryptografit.

Tästä syystä suosittelen menemään kansiovaihtoehtoihin ja "Näytä"-välilehdellä poistamaan "Piilota tunnettujen tiedostotyyppien laajennukset" -valintaruudusta ja valitse alta "Näytä piilotetut tiedostot, kansiot ja asemat" -valintaruutu. Napsauta "OK"-painiketta. Tämän avulla voit suojata tietokonettasi piilotetuilta ja peitetyiltä viruksilta sekä seurata nopeasti haitallisia liitteitä kirjeissä, flash-asemissa jne.

6. Poista kaukosäädin käytöstä

Windowsissa oletusarvoisesti kaukosäädintoiminto RDP-protokollan kautta - Remote Desktop Protocol on käytössä. Tämä ei ole hyvä, ja siksi suosittelen tämän vaihtoehdon poistamista käytöstä, jos et käytä sitä. Voit tehdä tämän avaamalla järjestelmän ominaisuudet ja siirtymällä kohtaan "Lisäasetukset":

Siirry "Etäkäyttö"-välilehteen ja valitse "Älä salli etäyhteyksiä tähän tietokoneeseen" -valintaruutu. Sinun on myös poistettava Salli etätukiyhteydet tähän tietokoneeseen -valintaruudun valinta. Ota asetukset käyttöön napsauttamalla "OK"-painiketta.

7. Noudata tietoturvan sääntöjä

Älä unohda turvallisen työskentelyn perusteita tietokoneella ja Internetissä. Tässä on muutamia sääntöjä, joita sinun tulee noudattaa itse ja selittää niiden merkitys perheellesi, ystävillesi ja työtovereillesi.

- Käytä monimutkaisia ​​ja pitkiä (ei lyhyempiä kuin 8 merkkiä) salasanoja;
- Käytä kaksivaiheista todennusta aina kun mahdollista;
- Älä tallenna salasanoja selaimen muistiin;
- Salasanoja ei tarvitse tallentaa tekstitiedostoihin, eikä niitä yleensä pidä säilyttää tietokoneellasi;
- Kirjaudu ulos tililtä työn päätyttyä (jos tietokonetta käyttävät useat ihmiset);
- Älä avaa tuntemattomien henkilöiden sähköpostien liitteitä;
- Älä suorita tiedostoja, joiden tunniste on .exe, .bat, .pdf, .vbs edes tuntemiesi henkilöiden kirjeistä;
— Älä käytä henkilökohtaista tai työsähköpostia rekisteröityäksesi verkkosivustoille ja sosiaalisiin verkostoihin;

Vain yllä olevien digitaalisen turvallisuuden perusteiden pakollinen noudattaminen mahdollistaa tietokoneesi suojan ransomware- ja ransomware-ohjelmia vastaan ​​pitävän riittävän korkealla tasolla!

P.S.: Lopuksi haluan todeta, että on paljon helpompaa ryhtyä varotoimiin etukäteen ja ehkäistä virustartuntaa kuin karsia sen seurauksia myöhemmin toivoen, että ainakin osa tiedoista saadaan talteen!

Hyvää iltapäivää, rakkaat blogin lukijat ja vieraat, kuten muistatte, toukokuussa 2017 alkoi laajamittainen Windows-käyttöjärjestelmän tietokoneiden tartuntaaalto uudella ransomware-viruksella nimeltä WannaCry, jonka seurauksena se pystyi saastuttaa ja salata tietoja yli 500 000 tietokoneessa. Ajattele vain tätä lukua. Pahinta on, että nykyaikaiset virustorjuntaratkaisut eivät käytännössä tartu tämän tyyppisiin viruksiin, mikä tekee siitä entistä uhkaavamman, alla kerron sinulle menetelmän kuinka suojata tietosi sen vaikutuksilta ja kuinka suojautua lunnasohjelmilta hetken, luulen, että olet kiinnostunut.

Mikä on enkooderivirus

Salausvirus on eräänlainen troijalainen ohjelma, jonka tehtävänä on saastuttaa käyttäjän työasema, tunnistaa siltä vaaditun muotoiset tiedostot (esim. valokuvat, äänitallenteet, videotiedostot) ja sitten salata ne tiedostotyyppiä muuttamalla, esim. jonka seurauksena käyttäjä ei voi enää avata niitä ilman erityistä dekooderiohjelmaa. Se näyttää tältä.

Salatut tiedostomuodot

Yleisimmät tiedostomuodot salauksen jälkeen ovat:

  • no_more_ransom
  • holvi

Kiristysohjelmaviruksen seuraukset

Kuvaan yleisimmän tapauksen, jossa kooderivirus on osallisena. Kuvittele tavallinen käyttäjä missä tahansa abstraktissa organisaatiossa, 90 prosentissa tapauksista käyttäjällä on Internet työpaikkansa takana, koska sen avulla hän tuo voittoa yritykselle, surffailee nettiavaruudessa. Ihminen ei ole robotti, ja hänet voi häiritä työstä selaamalla häntä kiinnostavia sivustoja tai sivustoja, joita hänen ystävänsä on neuvonut. Tämän toiminnan seurauksena hän voi saastuttaa tietokoneensa tiedostosalausohjelmalla tietämättään ja saada tietää siitä, kun on liian myöhäistä. virus on tehnyt tehtävänsä.

Virus yrittää työskennellessään käsitellä kaikkia tiedostoja, joihin sillä on pääsy, ja tästä alkaa, että tärkeät asiakirjat osastokansiossa, joihin käyttäjällä on pääsy, muuttuvat yhtäkkiä digitaaliseksi roskiksi, paikallisiksi tiedostoiksi ja paljon muuta. . On selvää, että tiedostoosuuksista pitäisi olla varmuuskopioita, mutta entä paikalliset tiedostot, jotka voivat muodostaa kaiken henkilön työn, minkä seurauksena yritys menettää rahaa yksinkertaisesta työstä ja järjestelmänvalvoja menee mukavuusalueeltaan ja viettää aikaansa tiedostojen salauksen purkamiseen.

Sama voi tapahtua tavalliselle ihmiselle, mutta seuraukset ovat paikallisia ja liittyvät henkilökohtaisesti häneen ja hänen perheeseensä, on erittäin surullista nähdä tapauksia, joissa virus salasi kaikki tiedostot, mukaan lukien perheen valokuva-arkistot ja ihmisillä ei ollut varmuuskopiota , no, tavallisten ihmisten ei ole tapana tehdä sitä.

Pilvipalveluissa kaikki ei ole niin yksinkertaista, jos tallennat kaiken sinne eikä käytä Windows-käyttöjärjestelmässäsi paksua asiakasta, se on yksi asia, siellä 99% ei ole vaarassa, mutta jos käytät esim. "Yandex disk" tai "mail Cloud" synkronoi tiedostot tietokoneeltasi siihen, saa tartunnan ja saatuaan, että kaikki tiedostot on salattu, ohjelma lähettää ne suoraan pilveen ja menetät myös kaiken.

Seurauksena on, että näet samanlaisen kuvan kuin tämä, jossa sinulle ilmoitetaan, että kaikki tiedostot on salattu ja sinun on lähetettävä rahaa, nyt tämä tehdään bitcoineissa, jotta hyökkääjiä ei selvitetä. Maksun jälkeen sinulle pitäisi lähettää dekooderi ja palautat kaiken.

Älä koskaan lähetä rahaa huijareille

Muista, ettei yksikään nykyaikainen virustorjunta pysty tällä hetkellä tarjoamaan Windows-suojausta kiristysohjelmia vastaan, yhdestä yksinkertaisesta syystä, että tämä troijalainen ei tee mitään epäilyttävää sen näkökulmasta, se käyttäytyy olennaisesti kuin käyttäjä, se lukee tiedostoja, kirjoittaa, toisin kuin virukset, se ei yritä muuttaa järjestelmätiedostoja tai lisätä rekisteriavaimia, minkä vuoksi sen havaitseminen on niin vaikeaa, ei ole riviä, joka erottaa sen käyttäjästä

Kiristysohjelmien troijalaisten lähteet

Yritetään tunnistaa pääasialliset lähteet kooderin tunkeutumiselle tietokoneellesi.

  1. Sähköposti > hyvin usein ihmiset saavat outoja tai väärennettyjä sähköposteja, joissa on linkkejä tai tartunnan saaneita liitteitä, joita napsauttamalla uhri alkaa järjestää itselleen unetonta yötä. Kerroin sinulle kuinka suojata sähköposti, suosittelen lukemaan sen.
  2. Ohjelmiston kautta - latasit ohjelman tuntemattomasta lähteestä tai väärennetyltä sivustolta, se sisältää enkooderiviruksen, ja kun asennat ohjelmiston, syötät sen käyttöjärjestelmääsi.
  3. Flash-asemien kautta - ihmiset menevät edelleen hyvin usein toistensa luo ja kuljettavat joukkoa viruksia flash-asemien kautta, suosittelen lukemaan "Flash-asemien suojaaminen viruksilta"
  4. IP-kameroiden ja verkkolaitteiden kautta, joilla on pääsy Internetiin - hyvin usein paikalliseen verkkoon kytketyn reitittimen tai IP-kameran vääristyneiden asetusten vuoksi, hakkerit tartuttavat samassa verkossa olevia tietokoneita.

Kuinka suojata tietokoneesi ransomware-virukselta

Tietokoneen oikea käyttö suojaa lunnasohjelmilta, nimittäin:

  • Älä avaa viestejä, joita et tunne, äläkä seuraa käsittämättömiä linkkejä riippumatta siitä, miten ne saapuvat sinulle, olipa kyseessä posti tai joku lähettiläistä
  • Asenna Windows- tai Linux-käyttöjärjestelmän päivitykset mahdollisimman nopeasti, niitä ei julkaista niin usein, noin kerran kuukaudessa. Jos puhumme Microsoftista, tämä on jokaisen kuukauden toinen tiistai, mutta tiedostojen salaajien tapauksessa päivitykset voivat olla epänormaalia.
  • Älä liitä tuntemattomia flash-asemia tietokoneeseesi, vaan pyydä ystäviäsi lähettämään parempi linkki pilveen.
  • Varmista, että jos tietokoneesi ei tarvitse olla muiden tietokoneiden käytettävissä lähiverkossa, sulje sen käyttö.
  • Rajoita tiedostojen ja kansioiden käyttöoikeuksia
  • Virustorjuntaratkaisun asentaminen
  • Älä asenna käsittämättömiä ohjelmia, joihin tuntematon henkilö on hakkeroitu

Kaikki on selvää kolmesta ensimmäisestä kohdasta, mutta käsittelen kahta muuta yksityiskohtaisemmin.

Estä verkkoyhteys tietokoneeseesi

Kun ihmiset kysyvät minulta, kuinka suojaus kiristysohjelmia vastaan ​​on järjestetty Windowsissa, suosittelen ensimmäisenä, että ihmiset sammuttavat "Microsoft Networks File and Printer Sharing Service", jonka avulla muut tietokoneet voivat käyttää tämän tietokoneen resursseja Microsoft-verkkojen kautta. Tämä on yhtä tärkeää Internet-palveluntarjoajaltasi työskentelevien uteliaiden järjestelmänvalvojien kannalta.

Poista tämä palvelu käytöstä ja suojautua lunnasohjelmilta paikallisessa tai palveluntarjoajan verkossa seuraavasti. Paina näppäinyhdistelmää WIN + R ja suorita avautuvassa ikkunassa ja kirjoita komento ncpa.cpl. Näytän tämän testitietokoneellani, jossa on Windows 10 Creators Update -käyttöjärjestelmä.

Valitse haluamasi verkkoliitäntä ja napsauta sitä hiiren kakkospainikkeella, valitse pikavalikosta "Ominaisuudet".

Löydämme kohteen "Tiedostojen ja tulostimien jakaminen Microsoft-verkoille" ja poista sen valinta ja tallenna se, kaikki tämä auttaa suojaamaan tietokonetta paikallisverkon kiristysohjelmaviruksilta, työasemasi ei yksinkertaisesti ole käytettävissä.

Käyttöoikeuksien rajoittaminen

Suojaus ransomware-virusta vastaan ​​Windowsissa voidaan toteuttaa niin mielenkiintoisella tavalla, kerron kuinka tein sen itse. Ja niinpä suurin ongelma kiristysohjelmien torjunnassa on se, että virukset eivät yksinkertaisesti pysty taistelemaan niitä vastaan ​​reaaliajassa, no, ne eivät voi suojata sinua tällä hetkellä, joten ollaan fiksumpia. Jos salausviruksella ei ole kirjoitusoikeuksia, se ei voi tehdä mitään tiedoillesi. Esimerkiksi minulla on valokuvakansio, joka on tallennettu paikallisesti tietokoneeseen, ja eri kiintolevyillä on kaksi varmuuskopiota. Paikallisella tietokoneellani tein sen vain luku -tilassa sille tilille, jonka alla istun tietokoneen ääressä. Jos virus pääsisi sinne, hänellä ei yksinkertaisesti olisi tarpeeksi oikeuksia, kuten näet, kaikki on yksinkertaista.

Kuinka toteuttaa tämä kaikki suojataksesi itseäsi tiedostojen salaajilta ja tallentaaksesi kaiken, teemme seuraavasti.

  • Valitse tarvitsemasi kansiot. Yritä käyttää täsmälleen kansioita, niille on helpompi antaa oikeuksia. Ja ihannetapauksessa luo vain luku -niminen kansio ja laita siihen jo kaikki tarvitsemasi tiedostot ja kansiot. Mikä on hyvä, kun määrität oikeudet ylimmälle kansiolle, niitä sovelletaan automaattisesti muihin kansioihin. Kun olet kopioinut kaikki tarvittavat tiedostot ja kansiot siihen, siirry seuraavaan vaiheeseen.
  • Napsauta kansiota hiiren kakkospainikkeella ja valitse valikosta "Ominaisuudet".

  • Siirry "Turvallisuus"-välilehteen ja napsauta "Muokkaa" -painiketta

  • Yritämme poistaa käyttöoikeusryhmiä, jos saat ikkunan, jossa on varoitus "Ryhmää ei voi poistaa, koska tämä objekti perii käyttöoikeudet vanhemmalta", sulje se.

  • Napsauta "Lisäasetukset" -painiketta. Napsauta avautuvassa kohdassa "poista perintö käytöstä"

  • Kun sinulta kysytään "Mitä haluat tehdä nykyisillä perityillä käyttöoikeuksilla", valitse "Poista kaikki perityt käyttöoikeudet tästä objektista".

  • Tämän seurauksena "Luvat"-kentässä kaikki poistetaan.

  • Tallennamme muutokset. Huomaa, että nyt vain kansion omistaja voi muuttaa käyttöoikeuksia.

  • Napsauta nyt Suojaus-välilehdellä Muokkaa

  • Napsauta seuraavaksi "Lisää - Lisäasetukset"

  • Meidän on lisättävä "Kaikki" -ryhmä, napsauta "Hae" ja valitse haluamasi ryhmä.

  • Suojataksesi Windowsia kiristysohjelmilta, sinulla on oltava "Kaikki"-ryhmän käyttöoikeudet, kuten kuvassa.

  • Siinä kaikki, mikään enkooderivirus ei uhkaa sinua tämän hakemiston tiedostojen takia.

Toivon, että Microsoft ja muut virustentorjuntaratkaisut voivat parantaa tuotteitaan ja suojata tietokoneita kiristysohjelmilta ennen kuin ne tekevät haitallisen työnsä, mutta ennen kuin tämä tapahtuu, noudata sinulle kuvailemiani sääntöjä ja varmuuskopioi aina tärkeät tiedot.



AIHEESEEN LIITTYVÄT ARTIKKELIT