Kali ini kami menyemak cara alat kompleks menangani Trojan ransomware perlindungan antivirus. Untuk tujuan ini, pilihan perisian tebusan telah dibuat dan juga ditulis program berasingan, meniru tindakan Trojan ransomware yang tidak diketahui. Tandatangannya pastinya tiada dalam pangkalan data mana-mana peserta dalam ujian hari ini. Mari lihat apa yang mereka boleh lakukan!

AMARAN

Artikel itu ditulis untuk tujuan penyelidikan. Semua maklumat di dalamnya adalah untuk tujuan maklumat sahaja. Semua sampel diperoleh daripada sumber terbuka dan dihantar kepada penganalisis virus.

Ubat lama untuk ancaman baru

Antivirus klasik tidak banyak membantu dalam melindungi daripada program Trojan yang menyulitkan fail dan menuntut wang tebusan untuk menyahsulitnya. Secara teknikalnya, perisian tebusan tersebut terdiri sepenuhnya atau hampir keseluruhannya daripada komponen yang sah, setiap satunya tidak melakukan sebarang tindakan berniat jahat dengan sendirinya. Malware hanya menggabungkannya dalam satu rantai, membawa kepada hasil yang buruk - pengguna kehilangan peluang untuk bekerja dengan failnya sehingga dia menyahsulitnya.

DALAM Kebelakangan ini Banyak utiliti khusus telah muncul untuk melindungi daripada Trojan ransomware. Mereka sama ada cuba melakukan analisis bukan tandatangan (iaitu, mengenal pasti versi baharu perisian tebusan melalui tingkah laku mereka, reputasi fail dan tanda tidak langsung lain), atau hanya melarang mana-mana atur cara daripada membuat perubahan yang diperlukan untuk tindakan perisian tebusan.

Kami yakin bahawa utiliti sedemikian boleh dikatakan tidak berguna. Malah sekatan paling ketat yang ditetapkan di dalamnya (di mana ia tidak lagi boleh berfungsi seperti biasa) tidak memberikan halangan yang boleh dipercayai terhadap Trojan ransomware. Program ini menghalang beberapa jangkitan, tetapi ini hanya mewujudkan rasa selamat yang palsu dalam pengguna. Dia menjadi lebih cuai dan mendapati dirinya menjadi mangsa perisian tebusan dengan lebih pantas.

Masalah utama apabila melawan Trojan penyulitan klasik ialah semua tindakan mereka dilakukan hanya pada fail pengguna dan tidak menjejaskan komponen sistem. Pengguna tidak boleh dilarang menukar dan memadam failnya. Wakil perisian tebusan berkualiti tinggi mempunyai sangat sedikit atau tiada ciri tingkah laku tersendiri yang jelas. Sambungan rangkaian kini menjalankan kebanyakan program (sekurang-kurangnya untuk menyemak kemas kini), dan fungsi penyulitan malah dibina ke dalam editor teks.

Ternyata tiada tanda jelas yang tinggal untuk alat perlindungan pencegahan untuk membantu membezakan satu lagi Trojan ransomware daripada program yang sah. Jika tandatangan Trojan tiada dalam pangkalan data, kemungkinan antivirus akan mengesannya adalah sangat kecil. Modul heuristik hanya bertindak balas terhadap pengubahsuaian kasar kriptografi terkenal, dan penganalisis tingkah laku biasanya tidak mengesan sebarang aktiviti yang mencurigakan sama sekali.

Sandaran berbeza daripada sandaran!

Hari ini, beribu-ribu komputer dijangkiti perisian tebusan setiap hari dan, sebagai peraturan, oleh tangan pengguna sendiri. Syarikat antivirus menerima permintaan untuk menyahsulit fail (secara percuma daripada pelanggan mereka), namun, penganalisis mereka tidak mahakuasa. Kadangkala adalah mungkin untuk mengumpul terlalu sedikit data untuk penyahsulitan yang berjaya, atau algoritma Trojan itu sendiri mengandungi ralat yang menjadikannya mustahil untuk memulihkan fail dalam bentuk asalnya. Sekarang permohonan untuk penyahsulitan diproses dari dua hari hingga enam bulan, dan pada masa ini banyak daripada mereka kehilangan kaitannya. Yang tinggal hanyalah mencari dana tambahan perlindungan tanpa bergantung pada pengimbas anti-virus.

Untuk masa yang lama perlindungan sejagat daripada mana-mana serangan virus terdapat sandaran. Sekiranya jangkitan dengan perisian hasad baharu, anda hanya boleh memulihkan segala-galanya daripada sandaran, menimpa fail yang disulitkan dengan versi asalnya dan membatalkan sebarang perubahan yang tidak diingini. Walau bagaimanapun, Trojan penyulitan moden telah belajar untuk mengenal pasti dan merosakkan sandaran juga. Jika dikonfigurasikan penciptaan automatik, maka storan sandaran disambungkan dan tersedia untuk ditulis. Trojan lanjutan mengimbas semua pemacu tempatan, luaran dan rangkaian, menentukan direktori dengan salinan sandaran dan menyulitkannya atau memadamkannya, memadamkan ruang kosong.

Membuat sandaran secara manual adalah terlalu membosankan dan tidak boleh dipercayai. Sukar untuk melakukan operasi sedemikian setiap hari, dan dalam tempoh yang lebih lama banyak data yang berkaitan akan terkumpul, yang tidak akan mempunyai tempat untuk dipulihkan. Bagaimana untuk menjadi?

Hari ini, kebanyakan pembangun menawarkan, sebagai tambahan kepada antivirus klasik, penyelesaian keselamatan yang komprehensif. Kini, sebagai tambahan kepada tembok api, IDS dan komponen terkenal lain, ia mengandungi yang baharu - storan selamat salinan sandaran. Tidak seperti direktori biasa dengan sandaran, hanya antivirus itu sendiri mempunyai akses kepadanya dan dikawal oleh pemacunya. Kawalan luaran direktori dilumpuhkan sepenuhnya - walaupun pentadbir tidak boleh membuka atau memadamkannya pengurus fail. Mari kita lihat sejauh mana pendekatan ini bagus.

Metodologi ujian

Untuk eksperimen kami, kami membuat klon mesin maya dengan Windows 10 yang bersih dan set terbaru pembetulan. Setiap daripada mereka telah dipasang antivirus sendiri. Sejurus selepas mengemas kini pangkalan data, kami menyemak tindak balas antivirus terhadap pemilihan ujian dan program simulator kami. Set ujian termasuk 15 sampel. Daripada jumlah ini, 14 adalah pelbagai pengubahsuaian Trojan ransomware yang terkenal, dan yang kelima belas ialah Trojan pemuat turun yang memuat turun perisian tebusan lain dari tapak terpencil.

Semua sampel mempunyai sambungan .tst, tanpa mengira format fail sebenar. Program yang ditulis khas untuk ujian ini, hanya dinamakan EncryptFiles, meniru tingkah laku tipikal Trojan penyulitan. Apabila dilancarkan dengan parameter lalai, ia segera menyulitkan kandungan fail daripada direktori "Dokumen Saya" tanpa sebarang soalan. Untuk kejelasan, kami menyimpan mesej gema dalam program dan meletakkan beberapa daripadanya dalam direktori dengan dokumen pengguna semasa fail teks dalam pengekodan OEM-866 untuk segera memaparkan kandungannya terus dalam konsol. Satu fail mengandungi petikan daripada karya Strugatskys (teks mudah tidak berformat), dan satu lagi mengandungi parameter kanta dalam bentuk jadual (teks berformat).

Selepas memasang dan mengemas kini setiap antivirus, sampel perisian tebusan telah disalin ke direktori Muat Turun daripada folder rangkaian yang disambungkan dalam mod Baca Sahaja. Kemudian fail yang disalin telah diimbas tambahan oleh antivirus (imbasan paksa atas permintaan) dalam tetapan lalai. Sampel yang tinggal selepas pengesahan telah diberikan sambungan sebenar mereka, selepas itu ia dilancarkan. Jika sistem tidak dijangkiti, maka tindak balas antivirus kepada program simulator telah diperiksa. Jika fail berjaya disulitkan, kami cuba memulihkan versi asalnya menggunakan perisian antivirus dan mencatatkan hasilnya.

Kaspersky Total Security

Kami memasang Kaspersky dalam salah satu mesin maya ujian Keselamatan Total, yang menjanjikan "perlindungan anti-ransomware untuk menghalang perisian hasad daripada merosakkan fail anda." KTS mengiktiraf hampir semua ancaman apabila cuba menyalin sampel ransomware daripada folder rangkaian.

Hanya satu daripada lima belas fail dimasukkan ke dalam direktori "Muat Turun" - nd75150946.tst - ini ialah Trojan.Downloader, dan ia telah diketahui sejak sekian lama. Dengan dia pengesahan tambahan atas permintaan, KTS sekali lagi menganggap fail itu selamat. Empat puluh lima pengimbas antivirus VirusTotal tidak bersetuju dengannya.

Kami membuka sampel ini dengan editor Hex untuk menentukan sambungan sebenarnya. Pengepala biasa 50 4B 03 04 dan nama fail lain di dalamnya - jelas sekali, ini adalah arkib ZIP. Di dalam arkib adalah fail yang mencurigakan: ikonnya sepadan dokumen PDF, dan sambungannya ialah .scr - penyelamat skrin, iaitu, ia adalah kod boleh laku.

Apabila anda cuba menjalankan fail dengan sambungan .scr dari arkib KTS menyekat salinannya yang dibongkar secara automatik dalam direktori sementara pengguna. Mengikut keputusan analisis awan Melalui rangkaian KSN, dia mengenal pasti fail ini sebagai objek berniat jahat yang tidak diketahui dan mencadangkan untuk memadamkannya dengan but semula. Dalam kes ini, ia adalah langkah berjaga-jaga yang berlebihan, kerana Trojan tidak mendapat kawalan dan boleh dipadamkan dalam apa jua cara, seperti fail biasa.

Perlu diperhatikan bahawa Kaspersky Total Security tidak belajar daripada kesilapannya. Apabila arkib itu disemak semula, ia sekali lagi didapati bersih, walaupun fail yang dibongkar daripadanya baru sahaja menyebabkan pencetus mengikut hasil analisis di KSN.

Pada permulaan peringkat ujian seterusnya, kami menyemak keadaan awal Direktori "Dokumen Saya" dan mengeluarkan kandungan beberapa fail teks daripadanya ke konsol.

Selepas itu kami membuka modul "Sandaran dan Pulihkan" dan menyandarkan dokumen ini ke folder Sandaran terus pada partition sistem. Dalam situasi sebenar, anda harus memilih lokasi yang berbeza (contohnya, pemacu luaran), tetapi untuk ujian kami ia tidak penting. Akses kepada folder ini dalam apa jua keadaan dikawal oleh alat KTS, dan melalui pemacu standard sistem fail Trojan tidak boleh berinteraksi dengannya.

Dengan cara biasa malah pentadbir hanya boleh melihat sifat folder ini. Apabila anda cuba log masuk, pengurus sandaran KTS bermula secara automatik dan meminta anda memasukkan kata laluan, jika kata laluan telah ditetapkan sebelum ini.

Pengurus sandaran Kaspersky sendiri sangat jelas. Anda boleh memilih direktori standard, menentukan sendiri atau mengecualikan fail individu. Bilangan fail bagi setiap jenis segera dipaparkan dalam tetingkap di sebelah kiri, dan saiznya dipaparkan dalam sifat di sebelah kanan.

Selain merekodkan sandaran kepada tempatan dan pemacu boleh tanggal, KTS menyokong penghantarannya ke Dropbox. Menggunakan storan awan amat mudah jika perisian hasad menghalang komputer daripada memulakan dan menyambungkan media luaran.

KTS mengabaikan program simulator kami. Dia dengan tenang menyulitkan fail, menukar kandungannya menjadi gobbledygook. Penafian akses kepada subdirektori "Video Saya", "Gambar Saya" dan "Muzik Saya" adalah kecacatan dalam program itu sendiri, yang tidak sama sekali menjejaskan keupayaannya untuk menyulitkan fail dalam %USERPROFILE%Documents.

Jika dalam program kami fungsi penyahsulitan dilakukan hanya apabila dilancarkan dengan kekunci /decrypt, maka dalam Trojan ia tidak selalu bermula walaupun selepas tuntutan tebusan dipenuhi. Satu sahaja sudah memadai pilihan cepat Untuk memulihkan fail yang disulitkan dalam kes ini, satu-satunya pilihan adalah untuk menulis gantinya daripada salinan sandaran yang dibuat sebelum ini. Hanya dalam beberapa klik, kami secara terpilih memulihkan salah satu fail yang disulitkan ke lokasi asalnya. Dengan cara yang sama, anda boleh memulihkan satu atau lebih keseluruhan direktori.

Ruang Keselamatan Dr.Web

Seperti KTS, Dr.Web SS mengenal pasti 14 daripada 15 sampel walaupun semasa cuba menyalinnya ke direktori "Muat Turun".

Walau bagaimanapun, tidak seperti KTS, ia masih mengesan Trojan.Downloader dalam sampel yang tinggal selepas menukar sambungannya kepada ZIP dan menjalankan imbasan paksa.

Kebanyakan tetapan SS Dr.Web dikunci secara lalai. Untuk mengaktifkannya, anda mesti terlebih dahulu mengklik pada ikon kunci dan masukkan kata laluan, jika telah ditetapkan.

Sandaran dibuat dalam Dr.Web SS menggunakan alat "Pencegahan Kehilangan Data". Tetapan yang tersedia adalah minimum. Anda boleh memilih direktori pengguna standard untuk sandaran atau tentukan sendiri, tetapkan salah satu sekatan yang dipilih pada jumlah salinan, tentukan lokasi salinan sandaran dan konfigurasikan jadual sandaran. Dr.Web SS tidak menyokong muat naik ke storan awan, jadi anda perlu mengehadkan diri anda kepada pemacu tempatan.

Perlindungan direktori sandaran Dr.Web SS adalah lebih agresif daripada KTS. Pentadbir tidak boleh melihat sifatnya melalui Explorer.

Kami membuat salinan sandaran dokumen dan memulakan bahagian kedua ujian.

Simulator Dr.Web SS tidak mengenali program dan tidak mengganggu operasinya dalam apa jua cara. Dalam sepersekian saat, semua fail telah disulitkan.

Dengan menjalankan "perlindungan kehilangan data" sekali lagi, kami memulihkan fail sumber. Walau bagaimanapun, mereka tidak dipelihara seperti yang diharapkan.

Apabila anda menentukan folder sasaran "Dokumen Saya", subdirektori dengan tarikh semasa dan masa sebagai nama. Fail yang disimpan daripada sandaran sudah dibongkar ke dalamnya, dan semua laluan relatif dipulihkan. Ini mewujudkan laluan panjang yang sangat menyusahkan yang boleh dengan mudah melebihi had biasa 255 aksara.

Norton Security Premium

Mengingati Norton Ghost, yang menjadi standard sandaran pada tahun sembilan puluhan, adalah mudah untuk meramalkan kemunculan fungsi serupa dalam antivirus daripada Symantec. Sungguh menakjubkan dua dekad berlalu sebelum ini penyelesaian yang jelas telah menjadi permintaan. Tidak akan ada kebahagiaan, tetapi kemalangan akan membantu.

Apabila cuba menyalin direktori dengan sampel perisian tebusan, NSP mengenal pasti dan mengkuarantin 12 daripada 15 ancaman.

Ketiga-tiga fail yang tinggal diiktiraf sebagai berniat jahat apabila dianalisis oleh VirusTotal, termasuk dua daripadanya oleh antivirus Symantec. Cuma tetapan lalai dibuat supaya NSP tidak menyemak beberapa fail semasa menyalin. Kami melakukan imbasan paksa... dan NSP mengesan dua lagi Trojan dalam direktori yang sama.

Seperti antivirus sebelumnya, NSP meninggalkan Trojan pemuat turun dinamakan semula ZIP arkib. Apabila anda cuba menjalankan fail .scr daripada arkib, NSP menyekat pelancaran salinan Trojan yang tidak dibungkus daripada direktori sementara pengguna semasa. Dalam kes ini, arkib itu sendiri tidak diproses dalam apa jua cara.

Arkib dianggap bersih walaupun ia diimbas semula serta-merta selepas Trojan yang diekstrak daripadanya dikesan. Prasasti itu sangat lucu: "Jika anda fikir masih terdapat ancaman, klik di sini." Apabila anda mengklik padanya, pangkalan data dikemas kini (atau tidak jika ia sudah segar).

Adalah menghairankan bahawa beberapa sampel ransomware lama masih dikesan oleh NSP hanya oleh penganalisis heuristik dan alat semakan awan. Nampaknya ahli virologi Symantec terlalu malas untuk memastikan pangkalan data dikemas kini. Antivirus mereka hanya menyekat semua yang mencurigakan dan menunggu reaksi pengguna.

Tahap kedua ujian berlaku secara tradisional. Kami menyandarkan fail daripada direktori My Documents dan kemudian cuba menyulitkannya.

Pengurus sandaran di NSP pada mulanya menggembirakan saya dengan logiknya. Dia menggunakan klasik "Apa? di mana? Bila?”, biasa dari zaman pra-Soviet. Walau bagaimanapun, dalam versi moden ia dibayangi oleh abstraksi yang berlebihan. Daripada menyenaraikan terus objek dengan laluan penuh dan fail mengikut sambungan, lokasi maya dan pengelompokan bersyarat mengikut jenis digunakan. Ia masih perlu dilihat fail mana yang akan dipertimbangkan oleh NSP berkaitan dengan maklumat kewangan, dan yang hanya akan diletakkan di bahagian "Lain".

Tetapan tambahan adalah mungkin (contohnya, menggunakan pautan "Tambah atau kecualikan fail dan folder"), tetapi ia sangat sukar untuk dilakukan. Demi beberapa fail (masing-masing kurang daripada satu kilobait), anda masih perlu membuat sandaran setengah pokok direktori dan semua jenis sampah seperti desktop.ini, dan wizard sandaran menawarkan untuk mengabadikannya pada CD-R. Nampaknya abad ke-21 belum tiba untuk semua orang.

Sebaliknya, pengguna NSP disediakan dengan 25 GB sandaran dalam awan. Untuk memuat naik sandaran di sana, cuma pilih "Storan Rangkaian Selamat" sebagai lokasi destinasi.

Setelah mencipta sandaran tempatan, kami melancarkan program yang menyerupai tindakan Trojan ransomware. NSP tidak menghalangnya dalam apa jua cara dan membenarkannya menyulitkan fail.

Memulihkannya daripada sandaran adalah lebih pantas dan lebih mudah daripada di Dr.Web SS. Ia sudah cukup untuk mengesahkan penggantian, dan fail dalam bentuk asalnya serta-merta muncul di tempat asalnya.

K7 Ultimate Security

Sebelum ini, produk dari syarikat India K7 Computing ini dipanggil Antivirus Plus. Masih terdapat sedikit kekeliruan dengan nama pemaju ini. Sebagai contoh, pengedaran K7 Total Security tidak mempunyai alat sandaran. Itulah sebabnya kami menguji versi Ultimate - satu-satunya yang mampu membuat sandaran.

Tidak seperti antivirus yang dikenali di Rusia, perkembangan ini adalah kuda hitam dalam ujian kami. Frasa "kod India" dianggap sebagai perkataan kotor di kalangan pengaturcara, dan kami tidak mengharapkan banyak daripadanya. Seperti yang ditunjukkan oleh ujian, ia adalah sia-sia.

K7 Ultimate Security ialah antivirus pertama yang segera mengesan kesemua 15 ancaman daripada pilihan kami. Ia tidak akan membenarkan anda selesai menyalin sampel ke direktori Muat Turun dan akan memadamkannya terus ke dalam folder rangkaian, jika ia tidak disambungkan dalam mod Baca Sahaja.

Reka bentuk program adalah penyamaran dan keluli. Nampaknya, pemaju berminat untuk bermain kereta kebal atau hanya cuba membangkitkan persatuan dengan sesuatu yang boleh dipercayai dengan cara ini. Parameter sandaran dalam K7 ditetapkan dengan cara yang lebih kurang sama seperti dalam NSP. Secara keseluruhan, walau bagaimanapun, antara muka K7 adalah kurang bersepah dan memudahkan penalaan halus untuk diakses.

K7 tidak bertindak balas dalam apa jua cara untuk melancarkan program simulator dan menyulitkan fail. Seperti biasa, saya terpaksa memulihkan yang asal daripada sandaran.

Adalah mudah apabila memulihkan, anda boleh memilih fail individu dan menulisnya ke lokasi asalnya. Menjawab ya untuk permintaan tulis semula fail sedia ada, kami memulihkan lenses.txt dalam beberapa klik ke lokasi asalnya.

Tiada apa lagi yang perlu ditambah tentang prestasi K7 dalam ujian ini. Kejayaan adalah kejayaan.

kesimpulan

Walaupun keputusan baik ujian, kesimpulan keseluruhan adalah mengecewakan. Malah versi penuh antivirus berbayar popular terlepas beberapa varian perisian tebusan dalam tetapan lalai. Pengimbasan atas permintaan terpilih juga tidak menjamin keselamatan fail yang diimbas. Pengubahsuaian Trojan yang sudah lama diketahui juga mengelakkan pengesanan menggunakan helah primitif (seperti menukar sambungan). Malware baharu hampir selalu diperiksa untuk pengesanan sebelum dilepaskan ke alam liar.

Anda tidak seharusnya bergantung pada penganalisis tingkah laku, semakan awan, ciri reputasi fail dan alat analisis bukan tandatangan yang lain. Terdapat beberapa faedah daripada kaedah ini, tetapi sangat sedikit. Malah program simulator primitif kami dengan reputasi sifar dan tidak tandatangan digital Tidak disekat oleh mana-mana antivirus. Seperti kebanyakan Trojan ransomware, ia mengandungi banyak kelemahan, tetapi ini tidak menghalangnya daripada menyulitkan fail dengan mudah sebaik sahaja dilancarkan.

Automatik sandaran fail pengguna- bukan akibat kemajuan, tetapi langkah yang perlu. Ia boleh menjadi agak berkesan hanya dengan perlindungan kekal storan sandaran menggunakan antivirus itu sendiri. Walau bagaimanapun, ia akan berkesan sehingga antivirus dipunggah daripada memori atau dinyahpasang sama sekali. Oleh itu ia sentiasa bernilai dilakukan salinan tambahan pada beberapa media yang jarang disambungkan atau muat naiknya ke awan. Sudah tentu, jika anda cukup mempercayai pembekal awan.

Menyulitkan virus ransomware baru-baru ini menjadi salah satu ancaman utama dan setiap hari kami mengetahui tentang serangan baharu, virus ransomware baharu atau versinya dan, malangnya, mengenai mangsa yang daripadanya penjenayah siber menuntut wang tebusan untuk mendapatkan semula akses kepada data yang disulitkan. Oleh itu, Kaspersky Lab dalam komponen System Watcher (Pemantauan Aktiviti) produk terkini termasuk subsistem khas untuk memerangi penyulitan perisian hasad, Kaspersky Cryptomalware Countermeasures Subsystem. Terima kasih kepada satu set teknologi unik, di Latvia dan di dunia dalam kalangan pengguna produk Kaspersky terkini yang menggunakan peluang yang disediakan oleh produk dengan betul, Hampir tiada mangsa menyulitkan serangan ransomware! Dan ini bukan sihir atau konspirasi, seperti yang kadang-kadang dikatakan oleh pakar, melihat bagaimana, tidak seperti pengguna antivirus lain, peminat produk Kaspersky kekal tidak terjejas dalam serangan dengan menyulitkan virus ransomware. Ini hanyalah teknologi yang dicipta dan dilaksanakan oleh pembangun Kaspersky Lab!

Produk manakah yang termasuk System Watcher dan Subsistem Tindakan Balas Cryptomalware Kaspersky?

Teknologi khas untuk memerangi penyulitan virus ransomware disertakan dalam versi semasa produk berikut untuk sistem pengendalian Windows atau komponennya untuk Windows.

Produk Perniagaan Kecil:
Produk perlindungan korporat:

* Semua produk Percubaan berciri penuh percuma selama 30 hari tersedia dengan sokongan teknikal tempatan. Untuk mencuba dan memasang juga.

Bagaimanakah System Watcher dan Kaspersky Cryptomalware Countermeasures Subsistem berfungsi?

Kaspersky Lab memproses purata 315,000 sampel perisian hasad baharu setiap hari. Dengan kemasukan baru yang begitu besar perisian hasad Syarikat antivirus selalunya perlu melindungi pengguna daripada serangan perisian hasad yang belum diketahui oleh mereka. Dalam analogi dunia sebenar, ini sama seperti mengenal pasti penjenayah sebelum cap jari, gambar dan data lain diperoleh. Bagaimana hendak melakukannya? Memerhati dan menganalisis tingkah laku. Inilah yang dilakukan oleh komponen terbina dalam produk Kaspersky Lab terkini, memantau sistem komputer secara berterusan, yang dipanggil System Watcher.

Pemerhati Sistem memerhati proses yang berlaku dalam sistem dan mengesan tindakan berniat jahat, menggunakan Tandatangan Strim Tingkah Laku (BSS) dan dengan itu membolehkan anda mengenal pasti dan menghentikan perisian hasad yang baharu dan tidak diketahui sepenuhnya melalui tingkah laku mereka. Tetapi bukan itu sahaja. Sehingga menjadi jelas bahawa program berniat jahat, ia mungkin mempunyai masa untuk melakukan sesuatu. Oleh itu, satu lagi ciri System Watcher ialah keupayaan untuk melancarkan semula perubahan pada sistem yang dibuat oleh program berniat jahat.

Untuk melancarkan semula perubahan yang dibuat oleh perisian hasad penyulitan baharu, pakar Kaspersky Lab menambahkan subsistem anti-penyulitan pada komponen System Watcher. Virus Kaspersky Cryptomalware Countermeasures Subsystem, yang mencipta salinan sandaran fail jika ia dibuka oleh program yang mencurigakan, dan seterusnya, jika perlu, memulihkannya daripada salinan yang disimpan. Oleh itu, walaupun virus penyulitan itu baru, iaitu, antivirus tidak mempunyai "cap jari", dan ia tidak dikenal pasti oleh mekanisme lain, System Watcher mengesannya dengan tingkah lakunya dan, menggunakan subsistem yang telah disebutkan, mengembalikan komputer sistem kepada keadaan sebelum serangan malware.

Menyedari perisian hasad penyulitan yang tidak diketahui dengan tingkah lakunya, menghentikan operasinya dan melancarkan semula perubahan yang telah dibuatnya (menggantikan fail yang disulitkan dengan salinan yang tidak disulitkan) boleh dilihat dalam video demo di bawah.

Di sini adalah perlu untuk menjelaskan bahawa semua orang pengguna tertentu situasi di mana perlu untuk menggunakan Subsistem Tindakan Balasan Kaspersky Cryptomalware boleh berlaku sangat jarang, kerana maklumat tentang setiap kejadian dengan perisian hasad yang tidak diketahui sampai ke awan dalam masa beberapa saat. Keselamatan Kaspersky Rangkaian dan pengguna lain penyelesaian Kaspersky sudah dilindungi daripada ancaman baru sistem pengesanan awal. Ini bermakna bahawa sebarang percubaan lanjut untuk menjangkiti komputer pengguna Kaspersky akan disekat oleh tandatangan terdahulu. Tindakan mekanisme unik sedemikian yang menjelaskan fakta bahawa di Latvia hampir tiada kemalangan jiwa dalam kalangan pengguna produk Kaspersky terkini, kerana ia berfungsi seperti sistem imun global untuk semua 400 juta pengguna Kaspersky di seluruh dunia!

Maklumat tambahan tentang System Watcher dan Kaspersky Cryptomalware Countermeasures Subsystem dalam bahasa Inggeris boleh didapati dalam dokumen PDF:

Apa lagi yang perlu anda ketahui tentang System Watcher dan Subsistem Tindakan Balasan Cryptomalware Kaspersky?

System Watcher dan bersama-sama dengannya secara automatik Kaspersky Cryptomalware Countermeasures Subsystem didayakan secara lalai mengikut tetapan awal pengilang. Selepas memasang produk, pengguna tidak perlu melakukan sebarang tindakan tambahan untuk menggunakan teknologi yang diterangkan di atas.

Perlu diingatkan terutamanya bahawa Pemerhati Sistem tidak disertakan dalam Produk Kaspersky Anti-Virus untuk Windows Workstation 6.0 (dikeluarkan 2007), yang masih digunakan sekali-sekala. Pengguna produk ini digalakkan untuk memanfaatkan peningkatan percuma kepada lebih banyak lagi Kaspersky baharu Keselamatan Titik Akhir untuk Windows. Pengguna yang sah boleh memuat turun dan memasang versi terkini produk secara percuma, contohnya, dari bahagian " " tapak ini.

Alat Anti-Ransomware Kaspersky untuk Perniagaan- alat yang dibangunkan oleh Kaspersky Lab untuk melindungi komputer Windows daripada tindakan perisian tebusan.

Program Trojan yang direka untuk memeras wang daripada mangsa dipanggil ransomware. Ini juga termasuk perisian tebusan, yang telah tersebar luas baru-baru ini.

Aktiviti jahat ancaman ini bertujuan untuk menyekat operasi komputer atau menyulitkan data pada cakera dan menyekat akses kepada fail penting. Akibatnya, penyerang menuntut bayaran untuk membatalkan perubahan yang dibuat oleh program Trojan pada komputer mangsa. Ini membawa kepada kerugian yang ketara, terutamanya dalam persekitaran korporat.

Alat Anti-Ransomware Kaspersky percuma untuk Perniagaan serasi dengan pihak ketiga program antivirus dan boleh berfungsi sebagai perlindungan tambahan terhadap Trojan perisian tebusan dan penyulitan menggunakan teknologi canggih.

Ciri utama Alat Anti-Ransomware Kaspersky untuk Perniagaan

• Percuma dan penyelesaian yang mudah
• Pengesanan perisian tebusan untuk penyelesaian perniagaan premium (KES untuk Windows)
• Teknologi perlindungan: rangkaian awan Rangkaian Keselamatan Kaspersky + "Pemantauan Aktiviti"
• Serasi dengan pihak ketiga penyelesaian antivirus
• Sokongan untuk sistem popular: dari Windows 7 hingga 10, termasuk OS pelayan Pelayan Windows
• Laporan pengesanan melalui e-mel kepada pentadbir

Teknologi perlindungan

Alat Anti-Ransomware Kaspersky untuk melindungi komputer dihidupkan berasaskan Windows kegunaan pelbagai kaedah pengesanan ancaman. Alat ini mengenal pasti aplikasi berniat jahat berdasarkan maklumat yang terkandung dalam pangkalan data antivirus. Alat ini menggunakan dua teknologi revolusioner untuk mengenal pasti gelagat ciri perisian tebusan: Rangkaian Keselamatan Kaspersky dan Monitor Aktiviti.

Rangkaian Keselamatan Kaspersky berasaskan awan memberikan respons yang lebih pantas kepada ancaman yang tidak diketahui. A peluang unik"Pemantauan Aktiviti" termasuk keupayaan untuk menyekat dan melancarkan semula perubahan berbahaya kepada sistem.

Terima kasih kepada pengguna yang mengambil bahagian dalam Rangkaian Keselamatan Kaspersky, Lab Kaspersky dapat mengumpul maklumat dengan cepat tentang jenis dan sumber ancaman baharu, serta membangunkan penyelesaian untuk meneutralkannya. Penyertaan dalam Rangkaian Keselamatan Kaspersky melibatkan penghantaran statistik yang dikumpulkan oleh Alat Anti-Ransomware Kaspersky untuk Perniagaan pada komputer anda.

Cara Alat Anti-Ransomware Kaspersky untuk Perniagaan berfungsi

Apabila ancaman dikesan, Alat Anti-Ransomware Kaspersky secara automatik menyekatnya dan menambahkannya pada senarai aplikasi yang disekat (Aplikasi Disekat). Sebelum menyekat, perisian tebusan mungkin mempunyai masa untuk melakukan tindakan yang tidak diingini sistem operasi(contohnya, buat atau ubah suai fail, atau buat perubahan pada pendaftaran). Untuk membatalkan tindakan berniat jahat program Kaspersky Alat Anti-Ransomware menyimpan sejarah aktiviti aplikasi.

Alat Anti-Ransomware Kaspersky meletakkan fail yang dicipta oleh perisian hasad dalam storan khas. Fail yang diletakkan dalam storan boleh dipulihkan oleh pakar Kaspersky Lab. Jika terdapat keperluan untuk memulihkan fail dari storan, adalah disyorkan untuk mendapatkan nasihat di forum pembangun.

Sebelum menghubungi sokongan teknikal, anda mesti membiasakan diri anda

Trojan Ransomware ialah sejenis perisian hasad khas yang dicipta untuk pemerasan (perisian tebusan). Larian beramai-ramai mereka pertama kali didaftarkan pada penghujung tahun 2006. Sepanjang sepuluh tahun yang lalu, keadaan hampir tidak berubah. Hari ini, contoh baharu Trojan terus menyulitkan fail di bawah hidung perisian antivirus dan menuntut bayaran untuk penyahsulitan. Siapa yang harus dipersalahkan untuk ini dan, yang paling penting, apa yang perlu dilakukan?

Jika Trojan telah menyulitkan fail anda, matikan komputer anda dengan segera! Kemudian cuba kumpulkan data sebanyak mungkin. Sebaik-baiknya, anda perlu membuat imej sektor demi sektor cakera dan kemudian menganalisis keadaan dengan tenang.

Apakah Trojan ransomware?

Hari ini, kebanyakan pengguna mempunyai beberapa antivirus yang popular atau sekurang-kurangnya MSRT - "alat penyingkiran perisian hasad" terbina dalam Windows. Walau bagaimanapun, perisian tebusan berjalan secara senyap, menyulitkan fail dan meninggalkan mesej tebusan. Biasanya mereka berjanji untuk menghantar kunci penyahsulitan selepas pembayaran dalam beberapa cara separa tanpa nama. Sebagai contoh, pergi melalui Tor ke halaman dengan arahan lanjut dan pindahkan wang tebusan ke nombor nonce dompet

Antivirus bertindak balas terhadap perkara ini sangat jarang sehinggakan pemaju mereka telah dituduh bersubahat. Ini bukan kali pertama ahli virologi disyaki mempunyai tujuan jenayah, tetapi secara teknikal semuanya dijelaskan dengan lebih ringkas di sini. Hakikatnya ialah penyulitan Trojan tidak melakukan sebarang tindakan yang jelas menunjukkan aktiviti berniat jahatnya. Sam ialah program ringkas dengan satu set perpustakaan tujuan umum. Kadangkala ia hanya skrip atau fail kelompok yang melancarkan utiliti mudah alih lain. Mari kita lihat algoritma umum tindakan ransomware dengan lebih terperinci.

Biasanya pengguna memuat turun dan menjalankan perisian tebusan sendiri. Trojan diselitkan kepada mangsa dengan berselindung dalam kemas kini, utiliti yang diperlukan, dokumen dengan pautan pancingan data, dsb. kaedah yang diketahui Kejuruteraan sosial. Antivirus tidak berkuasa melawan kenaifan manusia.

Trojan penyulitan yang telah memasuki sistem boleh dikenal pasti melalui tandatangannya hanya jika ia sudah berada dalam pangkalan data. Jelas sekali tiada sampel baru di dalamnya, dan pengubahsuaian Trojan lama juga diperiksa untuk pengesanan sebelum pengedaran.

Selepas Trojan dilancarkan, penganalisis tingkah laku antivirus senyap, kerana, dari sudut pandangannya, tiada tindakan yang berpotensi berbahaya sedang dilakukan. Sesetengah program mencari fail dengan topeng? Ya sila! Mencipta salinan fail? Tiada masalah! Adakah ia menyulitkan salinan? Ini juga bukan sebab untuk panik. Fungsi penyulitan disokong oleh kebanyakan program moden, dan Trojan menggunakan perpustakaan kriptografi standard yang sama. Adakah ia memadam fail pengguna? Ini juga tidak dilarang - mereka tidak sistemik. Menimpa tempat percuma? Pemadaman selamat juga merupakan ciri yang popular dan sah. Adakah ia ditambahkan pada autorun? Ini juga adalah tingkah laku yang dibenarkan.

Tidak seperti virus klasik, Trojan ransomware tidak cuba mengubah suai fail, tidak menyuntik dirinya ke dalam proses aktif, dan secara amnya berkelakuan membosankan. Ia hanya mencipta salinan dokumen dan pangkalan data, menyulitkannya, dan kemudian memadam fail asal pengguna dan kunci penyulitan secara kekal, meninggalkan teks tebusan. Walau apa pun, pengarang Trojan ingin melihat dengan tepat tingkah laku ideal ini. Pada hakikatnya, rantaian proses ini boleh gagal pada mana-mana peringkat, menjadikannya mungkin kaedah alternatif transkrip.

Antivirus konvensional tidak dapat melawan penyulitan baharu yang tandatangannya belum ada dalam pangkalan data mereka. Mereka hanya boleh mengenali pengubahsuaian paling kasar pada tahap heuristik. Penyelesaian lengkap(seperti Dr.Web Ruang Keselamatan Dan Internet Kaspersky Security / Total Security) sudah tahu bagaimana untuk menghapuskan akibat yang merosakkan mereka. Mereka membuat salinan fail pengguna terlebih dahulu, menyembunyikannya dan menyekat akses kepadanya oleh program pihak ketiga. Jika Trojan mendapat foto dan dokumen daripada direktori standard, anda sentiasa boleh memulihkannya daripada salinan, dan hanya memadam fail yang disulitkan.

Memandangkan kompleks antivirus memuatkan modul perlindungan pemacu dan pemastautinnya walaupun sebelum pengguna log masuk, ini adalah kaedah yang boleh dipercayai untuk menyimpan salinan sandaran. Walau bagaimanapun, ia juga boleh dilakukan menggunakan utiliti pihak ketiga. Perkara utama ialah mereka diletakkan media luaran, yang dilumpuhkan serta-merta selepas membuat sandaran. Jika tidak, Trojan akan mengesan sandaran pada cakera keras yang disambungkan secara kekal dan juga menyulitkannya atau merosakkannya.

Daripada program universal untuk fungsi sandaran perlindungan tambahan Utiliti Veeam Endpoint Backup Free percuma melindungi daripada perisian hasad. Ia boleh memutuskan sambungan pemacu USB secara automatik selepas sandaran selesai dan menyimpan berbilang versi fail.

Ciri tambahan program ini termasuk keupayaan untuk membuat sandaran sekatan sistem tanpa melumpuhkannya (salinan bayangan), pemulihan hampir serta-merta fail berasingan dan katalog (ia boleh dibuka terus dari imej menggunakan pautan) dan pilihan lain yang menarik. Dia juga boleh mencipta cakera but dengan persekitaran pemulihannya sendiri sekiranya Trojan menyekat operasi biasa OS.

Sebagai tambahan kepada utiliti sandaran universal dengan ciri perlindungan perisian tebusan tambahan, terdapat beberapa program perlindungan pencegahan khusus. Sesetengah daripada mereka tersedia secara percuma hanya pada peringkat ujian beta, dan kemudian menjadi modul baharu antivirus berbayar(contohnya, ini berlaku dengan Malwarebytes Anti-Ransomware). Yang lain masih wujud sebagai penyelesaian percuma yang berasingan.

GridinSoft Anti-Ransomware

Utiliti Ukraine untuk mencegah jangkitan ransomware kini dalam ujian beta. Pemaju menggambarkannya sebagai ubat universal, menghalang sebarang percubaan untuk melakukan penyulitan fail tanpa kebenaran. Mereka berjanji untuk menyekat serangan ransomware dengan berkesan dan menghalang kehilangan data yang disebabkan olehnya. Dalam amalan, utiliti itu ternyata tidak berguna. Trojan ransomware pertama daripada koleksi lama dilancarkan secara senyap-senyap, melakukan kerja kotornya dan menyiarkan tuntutan wang tebusan pada desktop.

Pencegahan Hasad CryptoPrevent

Utiliti ini meninggalkan kesan yang paling bercampur-campur. CPMP bertindak secara proaktif berdasarkan satu set besar dasar kumpulan dan pelbagai penapis tingkah laku, memantau tindakan program dan keadaan direktori tersuai. Ia mempunyai beberapa mod perlindungan yang tersedia, termasuk tahap "Maksimum", yang berfungsi pada prinsip "tetapkan dan lupakannya".

Antara muka program menyediakan akses pantas kepada berpuluh-puluh tetapan, tetapi menukar kebanyakannya memerlukan but semula. Aplikasi CPMP itu sendiri tidak perlu berjalan sepanjang masa. Ia hanya perlu dijalankan untuk pemantauan dan penyelenggaraan. Contohnya, untuk menyemak status, membaca log, mengemas kini atau menukar parameter.

Pada masa yang sama, alat tambah grafik mengambil masa yang sangat lama untuk dilancarkan dan tidak memberikan makluman masa nyata. Juga tiada kuarantin biasa. Dalam mod "Perlindungan Maksimum", semua fail yang dikenal pasti sebagai berbahaya hanya dipadamkan tanpa soalan.

Untuk menguji ini, kami cuba menetapkan CPMP kepada tahap perlindungan maksimum dan secara berurutan mengeluarkan tujuh Trojan perisian tebusan yang berbeza. Tiga daripadanya telah dialih keluar oleh CPMP serta-merta apabila cuba dilancarkan. Tiada mesej dipaparkan. Empat yang lain bermula dengan selamat, tetapi tidak sampai ke garisan penamat. CPMP tidak membenarkan mereka membuat fail baharu dan menyulitkan fail pengguna, tetapi ia juga tidak memadamkannya. Beban CPU adalah 100% sepanjang masa, cakera merengek, dan mustahil untuk melakukan apa-apa pada sistem ujian.

Dengan susah payah kami berjaya mendapatkan butang Bunuh Aplikasi Sekarang dalam tetingkap CPMP. Selepas satu saat, semua program dilancarkan sebagai pengguna (termasuk Penjelajah Proses), telah dipunggah secara paksa. DALAM memori capaian rawak Hanya proses sistem yang tinggal.

Semasa pertempuran, beberapa perisian hasad diselesaikan pada desktop, dan Trojan Satan.f menambah permintaan tebusan teks ke autorun. Tiada fail disulitkan, tetapi penyingkiran lengkap perisian hasad juga.

Hasilnya adalah kebuntuan: walaupun sekatan yang paling ketat tidak dipastikan perlindungan yang boleh dipercayai daripada ransomware Trojans. Dalam sesetengah kes, rintangan aktif terhadap mereka menyebabkan semua sumber sistem diduduki sepenuhnya. Tiada pemberitahuan dipaparkan. Adalah mungkin untuk memahami apa yang berlaku dalam sistem hanya dengan menganalisis log, tetapi anda masih perlu mendapatkannya.

Cybereason RansomFree

Ini ialah penganalisis tingkah laku untuk Windows 7–10, direka untuk mencegah jangkitan oleh Trojan perisian tebusan yang dikenali dan baharu, termasuk perisian tebusan dan pengunci win. Menurut pemaju, program itu ditulis oleh bekas pakar keselamatan maklumat tentera yang menerima pelaburan $90 juta daripada Lockheed Martin dan Softbank.

Trojan ransomware pertama dilancarkan, tetapi segera ranap dengan ralat. Yang kedua telah menjadi proses aktif dalam ingatan. Cybereason segera mengenal pasti dan mencadangkan bukan sahaja memunggahnya, tetapi juga memadamkan fail yang dicipta oleh Trojan.

Pengesan kedua

Trojan ketiga juga berjaya disekat. Cybereason tidak membenarkannya menyulitkan fail. Proses 58CD2A07 telah dipunggah, dan pengesanan tunggal pada VirusTotal untuk Wininit.exe adalah positif palsu.

Cybereason terlepas dua Trojan seterusnya. Mereka aktif hanya untuk beberapa saat, tetapi ini sudah cukup untuk mengatasi pertahanan proaktif.

Rakan lama Petya secara paksa reboot komputer, disekat Permulaan Windows dan menyulitkan fail. Sayang sekali Cybereason cepat mengalah. Kami masih mempunyai begitu banyak kuda dari kalangan veteran berkuda!

Alat Anti-Ransomware Kaspersky untuk Perniagaan

Program percuma ini direka untuk melindungi daripada semua jenis perisian tebusan, termasuk perisian tebusan dan pengunci win. Berfungsi dalam versi moden Windows (7–10) daripada sebarang saiz bit. Ia mengesan versi baharu perisian tebusan berdasarkan ciri reputasi fail dalam rangkaian awan Rangkaian Keselamatan Kaspersky dan analisis tingkah laku yang dilakukan oleh komponen "pemantauan aktiviti". KART untuk Perniagaan boleh digunakan dengan mana-mana antivirus pihak ketiga, tetapi program ini tidak serasi dengan penyelesaian Kaspersky Lab sendiri, kerana ia sudah menyertakan fungsi yang serupa.

KART berjalan di latar belakang dan tidak menggunakan sumber sistem pada tahap yang ketara. Tetapan program adalah minimum dan tidak menjejaskan imbasan sebenar. Ia sentiasa dilakukan melalui rangkaian awan KSN, dan pengguna hanya dimaklumkan tentang ancaman yang dikesan.

Jika anda menganggap pencetus untuk aplikasi adalah palsu, anda boleh menambahkannya pada senarai pengecualian dengan mengklik Urus Aplikasi... tetapi lebih baik anda berfikir dua kali.

Sebarang pengesanan mengambil masa, jadi KART menyimpan sejarah aktiviti aplikasi sekiranya Trojan berjaya membuat beberapa perubahan pada sistem sebelum ia disekat.

Apabila dilancarkan pada komputer yang sudah dijangkiti, Kaspersky Anti-Ransomware Tool for Business secara automatik mengesan fail yang disulitkan Trojan dan meletakkannya dalam storan berasingan untuk pemindahan seterusnya kepada pakar untuk penyahsulitan.

Alat Anti-Ransomware Bitdefender

Satu lagi program dengan nama yang jelas dari syarikat Romania Bitdefender. BART boleh digunakan secara selari dengan mana-mana antivirus, kecuali yang dicipta oleh Bitdefender - mereka sudah mempunyai modul yang sepadan. Secara luaran, BART beroperasi sama seperti KART. Mereka mempunyai prinsip yang dinyatakan umum untuk mengesan Trojan yang diketahui dan baru rangkaian berjenama pengesahan awan dan penganalisis tingkah laku. Pembangun menunjukkan bahawa BART adalah berdasarkan kaedah untuk menentang empat keluarga utama penyulitan Trojan: CTB-Locker, Locky, Petya dan TeslaCrypt.

Mungkin ini yang dilindungi oleh utiliti, tetapi walaupun kenalan singkat dengan BART meninggalkan kesan yang tidak menyenangkan. Dia tidak dapat menghalang pelancaran Trojan pertama, dan tandatangannya telah lama berada dalam pangkalan data Bitdefender. Trojan mendaftarkan dirinya dalam autostart tanpa sebarang masalah dan mula menguasai sistem, manakala BART menunjukkan lampu hijau.

Memeriksa kuda hadiah

Jika Trojan ransomware berjalan pada sistem dan berjaya melakukan banyak kerosakan, maka jangan panik dan jangan cuba mengeluarkannya daripada sistem pengendalian yang sedang berjalan. Kini komputer anda ialah tempat kejadian jenayah di mana semua kesan mesti dikekalkan.

Bertentangan dengan pepatah, dalam kes kriptografi dengan kuda hadiah, anda perlu melihat segala-galanya - pembongkar dan editor hex. Adalah lebih baik untuk mempercayakan perkara ini kepada penganalisis makmal antivirus, kerana mereka akan mengkaji sampel baru perisian hasad dalam apa jua keadaan. Selalunya anda boleh menemui petunjuk dalam kod yang membantu anda membangunkan cara untuk menyahsulit fail. Oleh itu, dalam apa jua keadaan anda tidak boleh mengalahkan kuda sehingga ia ditafsirkan sepenuhnya. Hanya selamatkannya dengan mengalih keluarnya daripada autorun dan meletakkannya dalam arkib dengan kata laluan.

Ia adalah ralat dalam kod Trojan yang membantu untuk mencari kunci lebih cepat daripada dalam 100-500 ribu tahun, seperti yang akan berlaku jika pengarangnya melaksanakan AES-256 dengan betul. Piawaian penyulitan ini sering disebut oleh pencipta Trojan dalam ancaman mereka. Adalah dipercayai bahawa ini akan meyakinkan mangsa bahawa adalah mustahil untuk menyahsulit fail tanpa kunci, tetapi sebenarnya banyak Trojan adalah berdasarkan algoritma yang lebih mudah.

Untuk perisian hasad yang sama yang benar-benar cuba menggunakan AES, disebabkan oleh kecacatan yang teruk, set kekunci yang mungkin dikecilkan kepada volum sedemikian sehingga ia sudah boleh diselesaikan pada komputer peribadi biasa dalam beberapa hari atau jam. Antara ransomware terdapat juga varian yang tidak memerlukan sebarang kelayakan khas untuk menyahsulit. Mereka sama ada menyimpan kunci secara tempatan, atau semua "penyulitan" adalah berdasarkan operasi yang tidak lebih rumit daripada XOR.

Pakar Emsisoft Fabian Wosar sering bergurau di blognya bahawa memecahkan algoritma penyulitan sub-Trojan yang lain mengambil masa lebih singkat daripada menulis tuntutan wang tebusan daripada pengarangnya. Dia menyiarkan utiliti penyahsulitan fail secara percuma di tapak web syarikat.

Tiada program penyahsulitan universal, jadi anda perlu memilih yang sesuai dalam setiap kes tertentu. Pembangun perisian antivirus lain juga mempunyai katalog sendiri bagi utiliti penyahsulitan percuma. Sebagai contoh, di Kaspersky Lab ini adalah semua program yang mengandungi Decryptor dalam nama. Utiliti penyahsulitan juga boleh didapati di laman web projek bersama No More Ransom. Ia dilancarkan atas inisiatif Unit Jenayah Siber Kebangsaan Polis Belanda, Pusat Jenayah Siber Eropah Europol dan dua syarikat antivirus - Kaspersky Lab dan Intel Security.

Anda harus bermula dengan mencari utiliti percuma di tapak ini, tetapi apa yang perlu dilakukan jika yang anda perlukan tidak ditemui di kalangan mereka? Malangnya, ini juga berkemungkinan besar. Versi baharu penyulitan Trojan muncul sentiasa, dan tidak semuanya pecah sekali atau dua kali. Penganalisis boleh memproses sampel individu selama lebih daripada sebulan. Kadang-kadang, ia juga berlaku bahawa kaedah penyahsulitan tidak dapat dikesan sama sekali. Ini sama ada hasil daripada penyulitan berkualiti tinggi (sangat jarang), atau, sebaliknya, kod Trojan yang paling bengkok, algoritma yang merosakkan fail dan, pada dasarnya, tidak membayangkan penyahsulitan yang betul.

Jika utiliti percuma yang terkenal tidak membantu, maka anda boleh menghantar surat kepada Fabian, membuat permintaan pada perkhidmatan Crypto Sheriff, dan pada masa yang sama menulis kepada sokongan teknikal Emsisoft dan syarikat antivirus lain.

Walau apa pun, perisian hasad baharu harus dihantar kepada penganalisis virus. Lebih-lebih lagi, lebih baik menghantarnya bukan sahaja fail Trojan itu sendiri, tetapi juga semua fail yang dibuat olehnya fail-fail sementara dan tiga hingga lima sampel fail yang disulitkan. Jika anda mempunyai versi asal (tidak disulitkan) fail yang sama di suatu tempat dalam sandaran anda, kemudian lampirkannya pada permintaan. Pasangan yang sepadan" teks kosong/ ciphertext" ialah salah satu kaedah utama kriptanalisis. Lebih banyak pasangan seperti itu boleh anda temui, lebih cepat kaedah penyahsulitan akan ditemui.

Selain itu, penganalisis melakukan serangan yang sama pada teks yang diketahui menggunakan pengepala fail standard. Contohnya, untuk fail .doc ialah D0 CF 11 E0 A1 B1 1A E1, dan untuk pictures.png ialah 89 50 4E 47 0D 0A 1A 0A. Lihat jadual tandatangan fail untuk butiran lanjut. Fail teks (TXT) mempunyai kandungan rawak sepenuhnya, menjadikannya paling sukar untuk dinyahsulit.

Mengikut pengalaman saya, Dr.Web dan Kaspersky Lab adalah yang terbaik dalam menyahsulit fail. Jika anda mempunyai lesen yang sah untuk mana-mana produk komersial mereka, maka penganalisis akan menyahsulit fail anda secara percuma. Jika anda bukan pengguna mereka, maka untuk wang. Sebagai peraturan, kos perkhidmatan penyahsulitan beberapa kali lebih tinggi daripada lesen antivirus tahunan, tetapi dasar sedemikian boleh difahami. Kriptanalisis, terutamanya dalam kes AES dan RSA, mengambil banyak masa, yang lebih baik dibelanjakan oleh pakar yang menyokong pelanggan tetap mereka.

Pada bulan Oktober, salah seorang pembaca kami menangkap pengubahsuaian baharu Trojan penyulitan dan pada masa yang sama menghubungi sokongan teknikal daripada pelbagai syarikat.

Tiga hari kemudian dia menerima jawapan daripada Dr.Web: “Penyelesaian telah ditemui. Penyahsulitan adalah mungkin. Bagi pengguna bukan Dr.Web, perkhidmatan ini dibayar. Laluan untuk mendapatkan penyahsulitan dihidupkan atas dasar komersial: pembelian Dr.Web Rescue Pack berharga 5,299 rubel tidak termasuk VAT. Dr.Web Rescue Pack termasuk perkhidmatan penyahsulitan dan lesen untuk Dr.Web Security Space selama dua tahun untuk melindungi satu PC.”

Pembaca tidak berpuas hati dengan harga, jadi dia mula menunggu jawapan daripada syarikat lain. Kira-kira sebulan kemudian, ia muncul di laman web Kaspersky Lab versi baharu utiliti RannohDecryptor percuma, yang digunakannya untuk menyahsulit failnya.

Penyahsulitan dilakukan secara tempatan dan, berdasarkan beban CPU 100% jangka panjang, menggunakan kaedah brute-force. Penyahsulitan lengkap 565 fail mengambil masa sembilan setengah jam pada desktop Core i5. Hanya satu fail yang tidak dinyahsulit, yang ternyata merupakan salinan fail lain.

kesimpulan

Trojan Penyulitan mencipta banyak masalah, memaksa anda menghabiskan banyak masa dan/atau wang untuk menyahsulit fail anda. Antivirus mudah tidak cukup untuk melawan mereka. Lambat laun, dia akan terlepas perisian hasad baharu yang tandatangannya belum ada dalam pangkalan data. Oleh itu, adalah wajar mengambil langkah perlindungan tambahan sekarang. Terdapat banyak pilihan percuma di antara mereka, tetapi keberkesanannya masih meninggalkan banyak yang diingini. Sekurang-kurangnya, masuk akal untuk kerap membuat sandaran dan mengehadkan akses kepada mereka, serta membuat pilihan utiliti penyahsulitan terlebih dahulu.

Kemas kini terakhir pada 15 Februari 2017.

Adakah anda tahu apa itu virus ransomware? Dan bagaimana ia boleh membahayakan perniagaan anda?

Penyulit ialah kuda Trojan yang mendarat pada komputer anda, mengunci dan menyulitkan fail anda, dan kemudian memeras bayaran untuk menyahsulitnya.

Virus penyulitan telah menjadi raja sebenar dunia jenayah siber. Trojan menyerang pada saat yang paling teruk, apabila maklumat diperlukan dengan segera sehingga kelihatan lebih mudah untuk membayar. Pengguna dan syarikat membayar sejumlah besar wang untuk mendapatkan semula data peribadi mereka.

Jumlah penebusan untuk pengguna biasa boleh mencapai puluhan ribu rubel, dan untuk syarikat besar kira-kira beberapa juta rubel. Tetapi 9 kali daripada 10, membayar tidak akan menyelesaikan masalah, dan masalah yang sama mungkin timbul lagi. Dan jika keseluruhan rangkaian korporat dijangkiti virus, maka perniagaan anda boleh menjadi tidak teratur untuk masa yang lama, dan hanya satu hari masa henti boleh menjadi sangat mahal untuk syarikat.

Untuk mengelakkan bencana, gunakan penyelesaian untuk perlindungan menyeluruh rangkaian korporat dengan perlindungan terbina dalam terhadap perisian tebusan.

Mari lihat cara ia berfungsi apabila Kaspersky Endpoint Security untuk Windows dipasang pada semua komputer pada rangkaian korporat anda, dikawal melalui Pusat Keselamatan Kaspersky.

Buka pelayan pentadbiran Kaspersky Pusat Keselamatan. Pergi ke Komputer Terurus.

Kemudian pergi ke sifat dasar aktif untuk Keselamatan Titik Akhir Kaspersky

Dalam sifat ini, dayakan pemantauan sistem, dayakan penggunaan BSS dan corak tingkah laku berbahaya pada semua komputer pada rangkaian anda.

Itu sahaja! Komputer anda dilindungi dengan pasti daripada perisian tebusan, cuma jangan lupa untuk mengkonfigurasi kemas kini automatik pangkalan data antivirus.

Jaga keselamatan rangkaian korporat anda dengan .
Di kedai dalam talian kami, anda boleh membeli semua yang anda perlukan untuk melindungi diri anda dan perniagaan anda daripada virus penyulitan, contohnya.