Kali ini kami menyemak cara alat perlindungan anti-virus yang komprehensif mengatasi penyulitan Trojan. Untuk tujuan ini, pemilihan perisian tebusan telah dibuat dan juga program berasingan telah ditulis yang mensimulasikan tindakan Trojan penyulitan yang tidak diketahui. Tandatangannya pastinya tiada dalam pangkalan data mana-mana peserta dalam ujian hari ini. Mari lihat apa yang mereka boleh lakukan!

AMARAN

Artikel itu ditulis untuk tujuan penyelidikan. Semua maklumat di dalamnya adalah untuk tujuan maklumat sahaja. Semua sampel diperoleh daripada sumber terbuka dan dihantar kepada penganalisis virus.

Ubat lama untuk ancaman baru

Antivirus klasik tidak banyak membantu dalam melindungi daripada program Trojan yang menyulitkan fail dan menuntut wang tebusan untuk menyahsulitnya. Secara teknikalnya, perisian tebusan tersebut terdiri sepenuhnya atau hampir keseluruhannya daripada komponen yang sah, setiap satunya tidak melakukan sebarang tindakan berniat jahat dengan sendirinya. Malware hanya menggabungkannya dalam satu rantai, membawa kepada hasil yang buruk - pengguna kehilangan peluang untuk bekerja dengan failnya sehingga dia menyahsulitnya.

Baru-baru ini, banyak utiliti khusus telah muncul untuk melindungi daripada Trojan ransomware. Mereka sama ada cuba melakukan analisis bukan tandatangan (iaitu, mengenal pasti versi baharu perisian tebusan melalui tingkah laku mereka, reputasi fail dan tanda tidak langsung lain), atau hanya melarang mana-mana atur cara daripada membuat perubahan yang diperlukan untuk tindakan perisian tebusan.

Kami yakin bahawa utiliti sedemikian boleh dikatakan tidak berguna. Malah sekatan paling ketat yang ditetapkan di dalamnya (di mana ia tidak lagi boleh berfungsi seperti biasa) tidak memberikan halangan yang boleh dipercayai terhadap Trojan ransomware. Program ini menghalang beberapa jangkitan, tetapi ini hanya mewujudkan rasa selamat yang palsu dalam pengguna. Dia menjadi lebih cuai dan mendapati dirinya menjadi mangsa perisian tebusan dengan lebih pantas.

Masalah utama apabila melawan Trojan penyulitan klasik ialah semua tindakan mereka dilakukan hanya pada fail pengguna dan tidak menjejaskan komponen sistem. Pengguna tidak boleh dilarang menukar dan memadam failnya. Wakil perisian tebusan berkualiti tinggi mempunyai sangat sedikit atau tiada ciri tingkah laku yang jelas. Sambungan rangkaian kini menguasakan kebanyakan program (sekurang-kurangnya untuk menyemak kemas kini), dan fungsi penyulitan terbina dalam editor teks genap.

Ternyata tiada tanda jelas yang tinggal untuk alat perlindungan pencegahan untuk membantu membezakan satu lagi Trojan ransomware daripada program yang sah. Jika tandatangan Trojan tiada dalam pangkalan data, kemungkinan antivirus akan mengesannya adalah sangat kecil. Modul heuristik hanya bertindak balas kepada pengubahsuaian kasar perisian tebusan yang diketahui, dan penganalisis tingkah laku biasanya tidak mengesan sebarang aktiviti yang mencurigakan sama sekali.

Sandaran berbeza daripada sandaran!

Hari ini, beribu-ribu komputer dijangkiti perisian tebusan setiap hari dan, sebagai peraturan, oleh tangan pengguna sendiri. Syarikat antivirus menerima permintaan untuk menyahsulit fail (secara percuma daripada pelanggan mereka), namun, penganalisis mereka tidak mahakuasa. Kadangkala adalah mungkin untuk mengumpul terlalu sedikit data untuk penyahsulitan yang berjaya, atau algoritma Trojan itu sendiri mengandungi ralat yang menjadikannya mustahil untuk memulihkan fail dalam bentuk asalnya. Sekarang permohonan untuk penyahsulitan diproses dari dua hari hingga enam bulan, dan pada masa ini banyak daripada mereka kehilangan kaitannya. Ia kekal untuk mencari cara perlindungan tambahan tanpa bergantung pada pengimbas anti-virus.

Untuk masa yang lama, salinan sandaran adalah perlindungan sejagat terhadap sebarang serangan virus. Dalam kes jangkitan dengan perisian hasad baharu, anda hanya boleh memulihkan segala-galanya daripada sandaran, menimpa fail yang disulitkan dengan versi asalnya dan membuat asal sebarang perubahan yang tidak diingini. Walau bagaimanapun, Trojan penyulitan moden telah belajar untuk mengenal pasti dan merosakkan sandaran juga. Jika penciptaan automatik mereka dikonfigurasikan, maka storan sandaran disambungkan dan boleh ditulis. Trojan lanjutan mengimbas semua pemacu tempatan, luaran dan rangkaian, menentukan direktori dengan salinan sandaran dan menyulitkannya atau memadamkannya, memadamkan ruang kosong.

Membuat sandaran secara manual adalah terlalu membosankan dan tidak boleh dipercayai. Sukar untuk melakukan operasi sedemikian setiap hari, dan dalam tempoh yang lebih lama, banyak data yang berkaitan akan terkumpul, yang tidak akan mempunyai tempat untuk dipulihkan. Bagaimana ini boleh berlaku?

Hari ini, kebanyakan pembangun menawarkan, sebagai tambahan kepada antivirus klasik, penyelesaian keselamatan yang komprehensif. Kini, sebagai tambahan kepada tembok api, IDS dan komponen terkenal lain, ia mengandungi yang baharu - storan sandaran selamat. Tidak seperti direktori biasa dengan sandaran, hanya antivirus itu sendiri mempunyai akses kepadanya dan dikawal oleh pemacunya. Pengurusan direktori luaran dilumpuhkan sepenuhnya - walaupun pentadbir tidak boleh membuka atau memadamkannya melalui pengurus fail. Mari kita lihat sejauh mana pendekatan ini bagus.

Metodologi ujian

Untuk percubaan kami, kami membuat klon mesin maya dengan Windows 10 yang bersih dan set tampung terkini. Setiap daripada mereka telah dipasang antivirus sendiri. Sejurus selepas mengemas kini pangkalan data, kami menyemak tindak balas antivirus terhadap pemilihan ujian dan program simulator kami. Set ujian termasuk 15 sampel. Daripada jumlah ini, 14 adalah pelbagai pengubahsuaian Trojan ransomware yang terkenal, dan yang kelima belas ialah Trojan pemuat turun yang memuat turun perisian tebusan lain dari tapak terpencil.

Semua sampel mempunyai sambungan .tst, tanpa mengira format fail sebenar. Program yang ditulis khas untuk ujian ini, hanya dinamakan EncryptFiles, meniru tingkah laku tipikal Trojan penyulitan. Apabila dilancarkan dengan parameter lalai, ia segera menyulitkan kandungan fail daripada direktori "Dokumen Saya" tanpa sebarang soalan. Untuk kejelasan, kami menyimpan mesej gema dalam program dan meletakkan beberapa fail teks dalam pengekodan OEM-866 dalam direktori dengan dokumen pengguna semasa untuk memaparkan kandungannya terus dalam konsol dengan segera. Satu fail mengandungi petikan daripada karya Strugatskys (teks tidak berformat ringkas), dan satu lagi mengandungi parameter kanta dalam bentuk jadual (teks berformat).

Selepas memasang dan mengemas kini setiap antivirus, sampel perisian tebusan telah disalin ke direktori Muat Turun daripada folder rangkaian yang disambungkan dalam mod Baca Sahaja. Kemudian fail yang disalin telah diimbas tambahan oleh antivirus (imbasan atas permintaan paksa) dalam tetapan lalai. Sampel yang tinggal selepas pengesahan telah diberikan sambungan sebenar mereka, selepas itu ia dilancarkan. Jika sistem tidak dijangkiti, maka tindak balas antivirus kepada program simulator telah diperiksa. Jika fail berjaya disulitkan, kami cuba memulihkan versi asalnya menggunakan perisian antivirus dan mencatatkan hasilnya.

Kaspersky Total Security

Kami memasang Kaspersky Total Security dalam salah satu mesin maya ujian kami, yang menjanjikan "perlindungan terhadap perisian tebusan yang menghalang fail daripada dirosakkan oleh perisian hasad." KTS mengiktiraf hampir semua ancaman apabila cuba menyalin sampel perisian tebusan daripada folder rangkaian.

Hanya satu daripada lima belas fail dimasukkan ke dalam direktori "Muat Turun" - nd75150946.tst - ini ialah Trojan.Downloader, dan ia telah diketahui sejak sekian lama. Selepas pengesahan tambahan atas permintaan KTS, fail itu sekali lagi dianggap selamat. Empat puluh lima pengimbas virus pada VirusTotal tidak bersetuju.

Kami membuka sampel ini dengan editor Hex untuk menentukan sambungan sebenarnya. Pengepala biasa 50 4B 03 04 dan nama fail lain di dalamnya - jelas sekali, ini adalah arkib ZIP. Di dalam arkib terdapat fail yang mencurigakan: ikonnya sepadan dengan dokumen PDF, dan sambungannya ialah .scr - penyelamat skrin, iaitu, ia adalah kod boleh laku.

Apabila cuba menjalankan fail dengan sambungan .scr daripada arkib, KTS menyekat salinannya yang dibuka secara automatik dalam direktori sementara pengguna. Berdasarkan hasil analisis awan melalui rangkaian KSN, beliau mengenal pasti fail ini sebagai objek berniat jahat yang tidak diketahui dan mencadangkan untuk memadamkannya dengan but semula. Dalam kes ini, ia adalah langkah berjaga-jaga yang berlebihan, kerana Trojan tidak mendapat kawalan dan boleh dipadamkan dalam apa jua cara, seperti fail biasa.

Perlu diperhatikan bahawa Kaspersky Total Security tidak belajar daripada kesilapannya. Apabila arkib itu disemak semula, ia sekali lagi didapati bersih, walaupun fail yang dibongkar daripadanya baru sahaja menyebabkan pencetus mengikut hasil analisis di KSN.

Pada permulaan peringkat ujian seterusnya, kami menyemak keadaan awal direktori "Dokumen Saya" dan mengeluarkan kandungan beberapa fail teks daripadanya ke konsol.

Selepas itu kami membuka modul "Sandaran dan Pulihkan" dan menyandarkan dokumen ini ke folder Sandaran terus pada partition sistem. Dalam situasi sebenar, anda harus memilih lokasi yang berbeza (contohnya, pemacu luaran), tetapi untuk ujian kami ia tidak penting. Walau apa pun, akses kepada folder ini dikawal oleh alat KTS, dan Trojan tidak boleh berinteraksi dengannya melalui pemacu sistem fail standard.

Menggunakan alat biasa, walaupun pentadbir hanya boleh melihat sifat folder ini. Apabila anda cuba log masuk, pengurus sandaran KTS bermula secara automatik dan meminta anda memasukkan kata laluan, jika kata laluan telah ditetapkan sebelum ini.

Pengurus sandaran Kaspersky sendiri sangat jelas. Anda boleh memilih direktori standard, menentukan sendiri atau mengecualikan fail individu. Bilangan fail bagi setiap jenis segera dipaparkan dalam tetingkap di sebelah kiri, dan saiznya dipaparkan dalam sifat di sebelah kanan.

Selain merakam sandaran ke pemacu tempatan dan boleh tanggal, KTS menyokong penghantarannya ke Dropbox. Menggunakan storan awan amat mudah jika perisian hasad menghalang komputer daripada memulakan dan menyambungkan media luaran.

KTS mengabaikan program simulator kami. Dia dengan tenang menyulitkan fail, menukar kandungannya menjadi gobbledygook. Penafian akses kepada subdirektori "Video Saya", "Gambar Saya" dan "Muzik Saya" adalah kecacatan dalam program itu sendiri, yang tidak sama sekali menjejaskan keupayaannya untuk menyulitkan fail dalam %USERPROFILE%Documents.

Jika dalam program kami fungsi penyahsulitan dilakukan hanya apabila dilancarkan dengan kekunci /decrypt, maka dalam Trojan ia tidak selalu bermula walaupun selepas tuntutan tebusan dipenuhi. Satu-satunya pilihan yang cukup pantas untuk memulihkan fail yang disulitkan dalam kes ini adalah untuk menulis gantinya daripada salinan sandaran yang dibuat sebelum ini. Hanya dalam beberapa klik, kami secara terpilih memulihkan salah satu fail yang disulitkan ke lokasi asalnya. Dengan cara yang sama, anda boleh memulihkan satu atau lebih keseluruhan direktori.

Ruang Keselamatan Dr.Web

Seperti KTS, Dr.Web SS mengenal pasti 14 daripada 15 sampel apabila cuba menyalinnya ke direktori "Muat Turun".

Walau bagaimanapun, tidak seperti KTS, ia masih mengesan Trojan.Downloader dalam sampel yang tinggal selepas menukar sambungannya kepada ZIP dan menjalankan imbasan paksa.

Kebanyakan tetapan SS Dr.Web dikunci secara lalai. Untuk mengaktifkannya, anda mesti terlebih dahulu mengklik pada ikon kunci dan masukkan kata laluan, jika telah ditetapkan.

Sandaran dibuat dalam Dr.Web SS menggunakan alat "Pencegahan Kehilangan Data". Tetapan yang tersedia adalah minimum. Anda boleh memilih direktori pengguna standard untuk sandaran atau tentukan sendiri, tetapkan salah satu sekatan yang dipilih pada jumlah salinan, tentukan lokasi salinan sandaran dan konfigurasikan jadual sandaran. Dr.Web SS tidak menyokong muat naik ke storan awan, jadi anda perlu mengehadkan diri anda kepada pemacu tempatan.

Perlindungan direktori sandaran Dr.Web SS adalah lebih agresif daripada KTS. Pentadbir tidak boleh melihat sifatnya melalui Explorer.

Kami membuat salinan sandaran dokumen dan memulakan bahagian kedua ujian.

Simulator Dr.Web SS tidak mengenali program dan tidak mengganggu operasinya dalam apa jua cara. Dalam sepersekian saat, semua fail telah disulitkan.

Dengan menjalankan Pencegahan Kehilangan Data sekali lagi, kami memulihkan fail asal. Walau bagaimanapun, mereka tidak dipelihara seperti yang diharapkan.

Apabila anda menentukan folder sasaran "Dokumen Saya", subdirektori dibuat secara automatik di dalamnya dengan tarikh dan masa semasa sebagai nama. Fail yang disimpan daripada sandaran sudah dibongkar ke dalamnya, dan semua laluan relatif dipulihkan. Ini mewujudkan laluan panjang yang sangat menyusahkan yang boleh dengan mudah melebihi had biasa 255 aksara.

Norton Security Premium

Mengingati Norton Ghost, yang menjadi standard sandaran pada tahun sembilan puluhan, adalah mudah untuk meramalkan kemunculan fungsi serupa dalam antivirus daripada Symantec. Adalah menghairankan bahawa dua dekad berlalu sebelum penyelesaian yang jelas ini menjadi popular. Tidak akan ada kebahagiaan, tetapi kemalangan akan membantu.

Apabila cuba menyalin direktori dengan sampel perisian tebusan, NSP mengenal pasti dan mengkuarantin 12 daripada 15 ancaman.

Ketiga-tiga fail yang tinggal diiktiraf sebagai berniat jahat apabila dianalisis oleh VirusTotal, termasuk dua daripadanya oleh antivirus Symantec. Cuma tetapan lalai dibuat supaya NSP tidak menyemak beberapa fail semasa menyalin. Kami melakukan imbasan paksa... dan NSP mengesan dua lagi Trojan dalam direktori yang sama.

Seperti antivirus sebelumnya, NSP meninggalkan pemuat turun Trojan dalam arkib ZIP yang dinamakan semula. Apabila anda cuba menjalankan fail .scr daripada arkib, NSP menyekat pelancaran salinan Trojan yang tidak dibungkus daripada direktori sementara pengguna semasa. Dalam kes ini, arkib itu sendiri tidak diproses dalam apa jua cara.

Arkib dianggap bersih walaupun ia diimbas semula serta-merta selepas Trojan yang diekstrak daripadanya dikesan. Prasasti itu kelihatan sangat lucu: "Jika anda fikir masih terdapat ancaman, klik di sini." Apabila anda mengklik padanya, pangkalan data dikemas kini (atau tidak jika ia sudah segar).

Adalah menghairankan bahawa beberapa sampel ransomware lama masih dikesan oleh NSP hanya oleh penganalisis heuristik dan alat semakan awan. Nampaknya ahli virologi Symantec terlalu malas untuk memastikan pangkalan data dikemas kini. Antivirus mereka hanya menyekat semua yang mencurigakan dan menunggu reaksi pengguna.

Tahap kedua ujian berlaku secara tradisional. Kami menyandarkan fail daripada direktori My Documents dan kemudian cuba menyulitkannya.

Pengurus sandaran di NSP pada mulanya menggembirakan saya dengan logiknya. Dia menggunakan klasik "Apa? di mana? Bila?”, biasa dari zaman pra-Soviet. Walau bagaimanapun, dalam versi moden ia dibayangi oleh abstraksi yang berlebihan. Daripada menyenaraikan terus objek dengan laluan penuh dan fail mengikut sambungan, lokasi maya dan pengelompokan bersyarat mengikut jenis digunakan. Ia adalah tekaan sesiapa sahaja fail yang NSP akan anggap relevan dengan maklumat kewangan dan yang hanya akan diletakkan di bahagian "Lain".

Tetapan tambahan boleh dilakukan (contohnya, menggunakan pautan "Tambah atau kecualikan fail dan folder"), tetapi ia sangat sukar untuk dilakukan. Demi beberapa fail (masing-masing kurang daripada satu kilobait), anda masih perlu membuat sandaran setengah pokok direktori dan semua jenis sampah seperti desktop.ini, dan wizard sandaran menawarkan untuk mengabadikannya pada CD-R. Nampaknya abad ke-21 belum tiba untuk semua orang.

Sebaliknya, pengguna NSP disediakan dengan 25 GB sandaran dalam awan. Untuk memuat naik sandaran di sana, cuma pilih "Storan Rangkaian Selamat" sebagai lokasi destinasi.

Setelah mencipta sandaran tempatan, kami melancarkan program yang menyerupai tindakan Trojan perisian tebusan. NSP tidak menghalangnya dalam apa-apa cara dan membenarkannya menyulitkan fail.

Memulihkannya daripada sandaran adalah lebih pantas dan lebih mudah daripada dalam Dr.Web SS. Ia sudah cukup untuk mengesahkan penggantian, dan fail dalam bentuk asalnya serta-merta muncul di tempat asalnya.

K7 Ultimate Security

Sebelum ini, produk dari syarikat India K7 Computing ini dipanggil Antivirus Plus. Masih terdapat sedikit kekeliruan dengan nama pemaju ini. Sebagai contoh, pengedaran K7 Total Security tidak mempunyai alat sandaran. Itulah sebabnya kami menguji versi Ultimate - satu-satunya yang mampu membuat sandaran.

Tidak seperti antivirus yang dikenali di Rusia, perkembangan ini adalah kuda hitam dalam ujian kami. Frasa "kod India" dianggap sebagai perkataan kotor di kalangan pengaturcara, dan kami tidak mengharapkan banyak daripadanya. Seperti yang ditunjukkan oleh ujian, ia adalah sia-sia.

K7 Ultimate Security ialah antivirus pertama yang segera mengesan kesemua 15 ancaman daripada pilihan kami. Ia tidak akan membenarkan saya selesai menyalin sampel ke direktori Muat Turun dan akan memadamkannya terus pada folder rangkaian jika ia tidak disambungkan dalam mod Baca Sahaja.

Reka bentuk program ini adalah penyamaran dan keluli. Nampaknya, pemaju berminat untuk bermain kereta kebal atau hanya cuba membangkitkan persatuan dengan sesuatu yang boleh dipercayai dengan cara ini. Parameter sandaran dalam K7 ditetapkan dengan cara yang lebih kurang sama seperti dalam NSP. Secara keseluruhan, walau bagaimanapun, antara muka K7 adalah kurang bersepah dan memudahkan penalaan halus untuk diakses.

K7 tidak bertindak balas dalam apa jua cara untuk melancarkan program simulator dan menyulitkan fail. Seperti biasa, saya terpaksa memulihkan yang asal daripada sandaran.

Adalah mudah apabila memulihkan, anda boleh memilih fail individu dan menulisnya ke lokasi asalnya. Setelah menjawab secara afirmatif permintaan untuk menimpa fail sedia ada, kami memulihkan lenses.txt dalam beberapa klik ke lokasi asalnya.

Tiada apa lagi yang perlu ditambah tentang prestasi K7 dalam ujian ini. Kejayaan adalah kejayaan.

Kesimpulan

Walaupun keputusan ujian yang baik, kesimpulan keseluruhan adalah mengecewakan. Malah versi penuh antivirus berbayar popular terlepas beberapa varian perisian tebusan dalam tetapan lalai. Pengimbasan atas permintaan terpilih juga tidak menjamin keselamatan fail yang diimbas. Pengubahsuaian Trojan yang telah lama diketahui juga mengelakkan pengesanan menggunakan helah primitif (seperti menukar sambungan). Malware baharu hampir selalu diperiksa untuk pengesanan sebelum dilepaskan ke alam liar.

Anda tidak seharusnya bergantung pada penganalisis tingkah laku, semakan awan, ciri reputasi fail dan alat analisis bukan tandatangan yang lain. Terdapat beberapa faedah daripada kaedah ini, tetapi sangat sedikit. Malah program simulator primitif kami dengan reputasi sifar dan tiada tandatangan digital tidak disekat oleh mana-mana antivirus. Seperti kebanyakan Trojan penyulitan, ia mengandungi banyak kelemahan, tetapi ini tidak menghalangnya daripada menyulitkan fail serta-merta apabila dilancarkan.

Sandaran automatik fail pengguna bukanlah akibat daripada kemajuan, tetapi langkah yang perlu. Ia boleh menjadi agak berkesan hanya dengan perlindungan berterusan storan sandaran menggunakan antivirus itu sendiri. Walau bagaimanapun, ia akan berkesan sehingga antivirus dipunggah daripada memori atau dinyahpasang sama sekali. Oleh itu, ia sentiasa bernilai membuat salinan tambahan pada beberapa media yang jarang disambungkan atau memuat naiknya ke awan. Sudah tentu, jika anda cukup mempercayai penyedia awan.

Virus Ransomware ialah jenis ancaman yang telah lama diketahui. Mereka muncul pada masa yang hampir sama dengan sepanduk SMS, dan sebati dengan yang terakhir dalam kedudukan teratas virus ransomware.

Model pengewangan virus ransomware adalah mudah: ia menyekat sebahagian daripada maklumat atau keseluruhan komputer pengguna, dan untuk mendapatkan semula akses kepada data, ia memerlukan penghantaran SMS, wang elektronik atau menambah baki nombor mudah alih melalui terminal itu.

Dalam kes virus yang menyulitkan fail, semuanya jelas - untuk menyahsulit fail anda perlu membayar jumlah tertentu. Lebih-lebih lagi, sejak beberapa tahun kebelakangan ini, virus ini telah mengubah pendekatan kepada mangsanya. Jika sebelum ini mereka diedarkan mengikut skema klasik melalui Varez, tapak lucah, penggantian hasil carian dan mel spam massa, sambil menjangkiti komputer pengguna biasa, kini surat dihantar secara langsung, secara manual, dari peti mel pada domain "biasa" - mel. ru, gmail, dsb. Dan mereka cuba menjangkiti entiti undang-undang, di mana pangkalan data dan kontrak berada di bawah kod.

Itu. serangan telah berkembang daripada kuantiti kepada kualiti. Di salah satu syarikat, penulis kebetulan bertemu dengan seorang kriptografi keras yang tiba dalam mel dengan resume. Jangkitan berlaku sejurus selepas fail dibuka oleh pegawai kakitangan syarikat itu hanya mencari kakitangan dan fail itu tidak menimbulkan sebarang syak wasangka. Ia adalah docx dengan AdobeReader.exe dilampirkan padanya :)

Perkara yang paling menarik ialah tiada satu pun penderia heuristik dan proaktif Kaspersky Anti-Virus berfungsi. Satu hari lagi atau 2 selepas jangkitan, virus tidak dikesan oleh dr.web dan nod32

Jadi apa yang perlu dilakukan dengan ancaman sedemikian? Adakah antivirus benar-benar tidak berguna?

Hari-hari antivirus tandatangan sahaja akan berakhir..

G Data TotalProtection 2015 - perlindungan terbaik terhadap perisian tebusan
dengan modul sandaran terbina dalam. Klik dan beli.

Untuk semua yang terjejas oleh tindakan itu ransomware - kod promosi dengan diskaun untuk pembelian G DATA - GDPTP2015. Hanya masukkan kod promosi ini semasa pembayaran.

Virus Ransomware telah sekali lagi membuktikan kegagalan program antivirus. Sepanduk SMS, pada satu masa, secara bebas "digabungkan" ke dalam folder temp untuk pengguna dan hanya dilancarkan ke seluruh desktop dan memintas menekan semua kombinasi perkhidmatan dari papan kekunci.

Program antivirus berfungsi hebat pada masa ini :) Kaspersky, seperti dalam mod biasa, memaparkan tulisan "Dilindungi oleh Kaspersky LAB"nya.

Banner bukanlah perisian hasad yang canggih seperti rootkit, tetapi program mudah yang menukar 2 kekunci dalam pendaftaran dan memintas input papan kekunci.

Virus yang menyulitkan fail telah mencapai tahap penipuan baharu. Ini sekali lagi merupakan program biasa yang tidak dibenamkan dalam kod sistem pengendalian, tidak menggantikan fail sistem dan tidak membaca kawasan RAM program lain.

Ia hanya berjalan untuk masa yang singkat, menjana kunci awam dan peribadi, menyulitkan fail, dan menghantar kunci peribadi kepada penyerang. Sekumpulan data yang disulitkan dan fail dengan kenalan penggodam ditinggalkan pada komputer mangsa untuk pembayaran selanjutnya.

Adalah munasabah untuk berfikir: " Mengapakah anda memerlukan antivirus jika ia hanya dapat mengesan program berniat jahat yang diketahuinya?

Sesungguhnya, program antivirus diperlukan - ia akan melindungi daripada semua ancaman yang diketahui. Walau bagaimanapun, banyak jenis kod hasad baharu terlalu sukar untuknya. Untuk melindungi diri anda daripada virus ransomware, anda perlu mengambil langkah-langkah antivirus sahaja tidak mencukupi. Dan saya akan berkata dengan segera: "Jika fail anda sudah disulitkan, anda menghadapi masalah. Ia tidak akan mudah untuk mendapatkan mereka kembali."

:

Jangan lupa tentang antivirus

Menyandarkan sistem maklumat dan data penting, setiap perkhidmatan mempunyai pelayan khusus sendiri.

Sandarkan data penting.

:

Apa yang perlu dilakukan dengan virus itu sendiri?

Tindakan bebas dengan fail yang disulitkan

Pengalaman berkomunikasi dengan sokongan teknikal antivirus, apa yang diharapkan?

Menghubungi polis

Ambil langkah berjaga-jaga pada masa hadapan (lihat bahagian sebelumnya).

Jika semuanya gagal, mungkin ia berbaloi untuk dibayar?

Jika anda masih belum menjadi mangsa virus ransomware:

*Mempunyai perisian anti-virus pada komputer anda dengan kemas kini terkini.

Mari kita katakan secara terang-terangan: "Antivirus menghisap jenis perisian tebusan baharu, tetapi ia berfungsi dengan baik terhadap ancaman yang diketahui." Jadi mempunyai antivirus pada stesen kerja anda adalah perlu. Sekiranya sudah ada mangsa, anda sekurang-kurangnya dapat mengelakkan wabak tersebut. Antivirus mana yang hendak dipilih terpulang kepada anda.

Dari pengalaman, Kaspersky "makan" lebih banyak memori dan masa pemproses, dan untuk pemacu keras komputer riba dengan 5200 rpm ia adalah bencana (selalunya dengan kelewatan bacaan sektor sebanyak 500 ms..) Nod32 adalah pantas, tetapi menangkap sedikit. Anda boleh membeli antivirus GDATA - pilihan terbaik.

*Sandaran sistem maklumat dan data penting. Setiap perkhidmatan mempunyai pelayan sendiri.

Oleh itu, adalah sangat penting untuk memindahkan semua perkhidmatan (1C, pembayar cukai, stesen kerja automatik tertentu) dan mana-mana perisian yang bergantung kepada hayat syarikat, ke pelayan yang berasingan, atau lebih baik lagi, ke terminal. Lebih baik lagi, letakkan setiap perkhidmatan pada pelayannya sendiri (fizikal atau maya - tentukan sendiri).

Jangan simpan pangkalan data 1C secara terbuka pada rangkaian. Ramai orang melakukan ini, tetapi ia adalah salah.

Jika kerja dengan 1c dianjurkan melalui rangkaian dengan akses baca/tulis dikongsi untuk semua pekerja, alihkan 1c ke pelayan terminal dan biarkan pengguna bekerja dengannya melalui RDP.

Jika terdapat sedikit pengguna dan wang tidak mencukupi untuk OS pelayan, anda boleh menggunakan Windows XP biasa sebagai pelayan terminal (dengan syarat sekatan ke atas bilangan sambungan serentak ditarik balik, iaitu anda perlu menampal). Walaupun, dengan kejayaan yang sama anda boleh memasang versi pelayan windows yang tidak berlesen. Nasib baik, Microsoft membenarkan anda menggunakannya, dan membeli dan mengaktifkannya kemudian :)

Kerja pengguna dengan 1c melalui RDP, dalam satu tangan, akan mengurangkan beban pada rangkaian dan mempercepatkan kerja 1c, sebaliknya, ia akan menghalang jangkitan pangkalan data.

Menyimpan fail pangkalan data pada rangkaian dengan akses dikongsi adalah tidak selamat, dan jika tiada prospek lain, uruskan sandaran (lihat bahagian seterusnya.)

*Sandarkan data penting.

Jika anda belum membuat sandaran lagi, anda bodoh, maafkan saya. Atau bertanya khabar kepada pentadbir sistem anda. Sandaran menyelamatkan anda bukan sahaja daripada virus, tetapi juga daripada pekerja cuai, penggodam, dan akhirnya rosak cakera keras.

Anda boleh membaca bagaimana dan perkara yang hendak disandarkan dalam artikel berasingan tentang . Antivirus GDATA, sebagai contoh, mempunyai modul sandaran dalam dua versi - perlindungan menyeluruh dan keselamatan titik akhir untuk organisasi ( anda boleh membeli perlindungan menyeluruh GDATA).

Jika anda menemui fail yang disulitkan pada komputer anda:

*Apa yang perlu dilakukan dengan virus itu sendiri?

Matikan komputer anda dan hubungi perkhidmatan komputer + sokongan untuk antivirus anda. Jika anda bernasib baik, badan virus masih belum dipadam dan boleh digunakan untuk menyahsulit fail. Jika anda tidak bernasib baik (seperti yang sering berlaku), virus itu, selepas menyulitkan data, menghantar kunci peribadi kepada penyerang dan memadamkan semua kesan dirinya. Ini dilakukan supaya tidak mungkin untuk menentukan bagaimana dan dengan algoritma apa ia disulitkan.

Jika anda masih mempunyai surat dengan fail yang dijangkiti, jangan padamkannya. Serahkannya ke Makmal Antivirus Produk Popular. Dan jangan buka lagi.

*Tindakan bebas dengan fail yang disulitkan

Perkara yang boleh anda lakukan:

Hubungi sokongan antivirus, dapatkan arahan dan, mungkin, penyahsulit untuk virus anda.

Tulis kenyataan kepada polis.

Cari di Internet untuk pengalaman pengguna lain yang telah menghadapi masalah ini.

Ambil langkah untuk menyahsulit fail, setelah menyalinnya ke folder berasingan.

Jika anda mempunyai Windows 7 atau 8, anda boleh memulihkan versi fail sebelumnya (klik kanan pada folder dengan fail). Sekali lagi, jangan lupa untuk menyalinnya terlebih dahulu.

Perkara yang tidak boleh dilakukan:

Pasang semula Windows

Padamkan fail yang disulitkan, namakannya semula dan tukar sambungan. Nama fail sangat penting apabila menyahsulit pada masa hadapan

*Pengalaman dalam berkomunikasi dengan sokongan teknikal antivirus, apa yang diharapkan?

Apabila salah seorang pelanggan kami menangkap crypto-virus.harddended, yang belum ada dalam pangkalan data anti-virus, permintaan telah dihantar ke dr.web dan Kaspersky.

Kami menyukai sokongan teknikal di dr.web, maklum balas muncul serta-merta dan mereka juga memberi nasihat. Lebih-lebih lagi, selepas beberapa hari mereka dengan jujur ​​mengatakan bahawa mereka tidak boleh berbuat apa-apa dan menghantar arahan terperinci tentang cara menghantar permintaan melalui pihak berkuasa yang berwibawa.

Di Kaspersky, sebaliknya, bot menjawab dahulu, kemudian bot melaporkan bahawa memasang antivirus dengan pangkalan data terkini akan menyelesaikan masalah saya (biar saya ingatkan anda, masalahnya ialah beratus-ratus fail yang disulitkan). Seminggu kemudian, status permintaan saya berubah kepada "dihantar ke makmal antivirus," dan apabila pengarang secara sederhana bertanya tentang nasib permintaan itu beberapa hari kemudian, wakil Kaspersky menjawab bahawa kami tidak akan menerima respons daripada makmal namun, mereka berkata, kami menunggu.

Selepas beberapa lama, saya menerima mesej bahawa permintaan saya telah ditutup dengan tawaran untuk menilai kualiti perkhidmatan (selama ini masih menunggu maklum balas daripada makmal).. "Fuck you!" - fikir penulis.

NOD32, dengan cara ini, mula menangkap virus ini pada hari ke-3 selepas kemunculannya.

Prinsipnya adalah ini: anda sendiri dengan fail anda yang disulitkan. Makmal jenama antivirus besar akan membantu anda hanya jika anda mempunyai kunci untuk produk antivirus yang sepadan dan jika dalam virus crypto mempunyai kelemahan. Jika penyerang menyulitkan fail menggunakan beberapa algoritma sekaligus dan lebih daripada sekali, kemungkinan besar anda perlu membayar.

Pilihan antivirus adalah milik anda, jangan abaikan.

*Hubungi polis

Jika anda telah menjadi mangsa virus crypto dan mengalami sebarang kerosakan, walaupun dalam bentuk maklumat peribadi yang disulitkan, anda boleh menghubungi polis. Arahan permohonan, dsb. ada .

*Jika semuanya gagal, mungkinkah ia berbaloi untuk dibayar?

Memandangkan ketiadaan relatif antivirus berkaitan dengan perisian tebusan, kadangkala lebih mudah untuk membayar penyerang. Untuk fail yang dikeraskan, sebagai contoh, pengarang virus meminta sekitar 10 ribu rubel.

Untuk ancaman lain (gpcode, dll.) tag harga boleh berkisar dari 2 ribu rubel. Selalunya, jumlah ini ternyata lebih rendah daripada kerugian yang boleh menyebabkan ketiadaan data dan lebih rendah daripada jumlah yang mungkin diminta oleh tukang untuk menyahsulit fail secara manual.

Untuk meringkaskan, perlindungan terbaik terhadap virus ransomware ialah menyandarkan data penting daripada pelayan dan stesen kerja pengguna.

Apa yang perlu dilakukan terpulang kepada anda. Semoga berjaya.

Pengguna yang membaca siaran ini biasanya membaca:

Baru-baru ini, seluruh Internet telah digemparkan dengan wabak virus. Perisian tebusan WannaCry, penyulitan Petya dan perkara jahat maya lain menyerang komputer dan komputer riba, mengganggu operasi biasa mereka dan menjangkiti data yang disimpan pada cakera keras. Ini dilakukan untuk memaksa pengguna membayar wang kepada pencipta perisian hasad. Saya ingin memberikan beberapa petua yang akan membantu melindungi komputer anda sebanyak mungkin daripada virus dan menghalangnya daripada menjangkiti data penting.

Ia boleh digunakan sebagai peraturan, pematuhan yang merupakan kunci kepada keselamatan maklumat PC anda.

1. Pastikan anda menggunakan antivirus

Mana-mana komputer yang mempunyai sistem pengendalian Windows dipasang dan mempunyai akses kepada Internet mesti mempunyai program antivirus dipasang. Ini tidak dibincangkan, ia adalah aksiom! Jika tidak, anda boleh hampir pada hari pertama menerima begitu banyak jangkitan sehingga hanya pemasangan semula lengkap OS dan pemformatan cakera keras akan menyelamatkan anda. Persoalannya segera timbul - antivirus mana yang lebih baik untuk dipasang? Daripada pengalaman saya sendiri, saya boleh mengatakan bahawa tiada yang lebih baik daripada Kaspersky Internet Security atau DrWeb Security Space! Secara peribadi, saya sendiri secara aktif menggunakan kedua-dua program di rumah dan di tempat kerja dan saya boleh mengatakan dengan yakin bahawa mereka dengan mudah mengesan 99% daripada semua jangkitan yang ditemui, berfungsi dengan cepat dan tanpa aduan, jadi ia pasti bernilai wang.

Jika anda tidak bersedia untuk keluar untuk perlindungan komputer yang baik terhadap virus, maka anda boleh menggunakan aplikasi antivirus percuma. Lebih-lebih lagi, pilihan mereka sangat besar. Saya telah pun menyiarkannya di tapak saya - anda boleh menggunakan salah satu pilihan yang ditawarkan di sana.

Nota: Untuk diri saya sendiri, saya menyusun perisian antivirus anti-rating kecil, yang saya tidak gunakan sendiri dan tidak mengesyorkan kepada orang lain. Ini ialah: Avast, Eset NOD32, F-Secure, Antivirus Norton, Microsoft Security Essentials. Percayalah, ini bukan kata-kata kosong dan program tidak dimasukkan ke dalam senarai ini secara kebetulan! Kesimpulan dibuat berdasarkan pengalaman peribadi penggunaan, serta pengalaman rakan dan rakan sekerja saya.

2. Kemas kini sistem pengendalian dan program anda tepat pada masanya

Cuba untuk tidak menggunakan perisian yang sudah lapuk. Ini terpakai bukan sahaja kepada pengemaskinian tetap wajib pangkalan data antivirus (walaupun ini adalah sesuatu yang pengguna sering lupakan sepenuhnya)! Jangan abaikan memasang kemas kini Windows sekurang-kurangnya sekali sebulan. Selain itu, OS melakukan ini sendiri; anda hanya perlu menjalankan carian melalui Pusat Kemas Kini.

Anda juga tidak boleh lupa tentang mengemas kini program lain, kerana versi lapuk mengandungi kelemahan yang cuba dieksploitasi oleh penyerang dengan segera dalam usaha untuk menjangkiti peranti anda. Ini adalah benar terutamanya untuk pelayar web dan aplikasi lain yang anda gunakan untuk melayari Internet.

3. Jangan bekerja sebagai Pentadbir

Kesilapan utama kebanyakan pengguna, yang boleh menyebabkan perlindungan virus yang paling canggih pun gagal, berfungsi dalam sistem dengan keistimewaan maksimum, iaitu dengan hak Pentadbir. Buat akaun pengguna biasa dengan hak terhad dan kerja di bawahnya. Cuba untuk tidak memberikan hak Pentadbir kepada pengguna lain - ini adalah jurang yang ketara dalam keselamatan komputer anda. Seperti yang ditunjukkan oleh amalan, kebanyakan aplikasi berniat jahat tidak akan dapat menyelesaikan tugas yang merosakkan mereka jika pengguna tidak mempunyai keistimewaan superuser pada masa mereka memasuki sistem. Perisian hasad tidak akan mempunyai hak yang mencukupi untuk melakukan tindakan.

4. Gunakan alat pemulihan sistem

Setiap versi sistem pengendalian daripada Microsoft, bermula dengan Windows XP yang kini kuno dan berakhir dengan "Sepuluh" yang bergaya, mempunyai alat terbina dalam untuk mencipta dan menggunakan titik pemulihan, yang dengannya anda boleh memulihkannya ke keadaan berfungsi sebelumnya.
Contohnya, jika anda dijangkiti virus, anda boleh kembali ke titik pemulihan terakhir apabila OS belum terjejas.

Perlu diingat bahawa jika anda menangkap perisian tebusan, maka dalam beberapa kes anda boleh memulihkan beberapa fail yang disulitkan menggunakan salinan bayangan Windows.
Pastikan anda menyemak sama ada fungsi ini didayakan pada sistem. Untuk melakukan ini, klik kanan pada ikon komputer dan pilih "Properties" dari menu yang muncul:

Dalam tetingkap yang muncul, dalam menu di sebelah kanan, klik pada "Tetapan lanjutan" untuk membuka tetingkap System Properties yang lain:

Pada tab "Perlindungan Sistem", cari dan klik butang "Konfigurasikan". Tetingkap lain akan dibuka. Letakkan titik dalam kotak semak "Dayakan perlindungan". Di bawah, anda juga perlu mengalihkan peluncur penggunaan cakera kepada sekurang-kurangnya 5-10% supaya OS boleh menyimpan beberapa titik pemulihan. Gunakan perubahan yang dibuat.

5. Fail dan sambungan tersembunyi

Dalam Windows, secara lalai, sambungan fail tidak ditunjukkan dan fail dan folder tersembunyi juga tidak kelihatan. Ini sangat kerap digunakan oleh penyerang untuk menyuntik virus ke dalam PC. Fail boleh laku dengan sambungan ".exe" atau skrip ".vbs" biasanya menyamar sebagai dokumen Word atau hamparan Excel dan cuba diselitkan kepada pengguna yang tidak curiga. Atas prinsip inilah penyulitan yang meluas baru-baru ini berfungsi.

Itulah sebabnya saya mengesyorkan pergi ke pilihan folder dan pada tab "Lihat", nyahtandai "Sembunyikan sambungan untuk jenis fail berdaftar", dan di bawah, tandai kotak semak "Tunjukkan fail tersembunyi, folder dan pemacu". Klik pada butang "OK". Ini akan membolehkan anda melindungi komputer anda daripada virus tersembunyi dan menyamar, serta memantau lampiran berniat jahat dalam surat, pemacu kilat, dsb.

6. Lumpuhkan alat kawalan jauh

Dalam Windows OS, secara lalai, fungsi kawalan jauh melalui RDP - Remote Desktop Protocol didayakan. Ini tidak bagus, dan oleh itu saya akan mengesyorkan agar anda melumpuhkan pilihan ini jika anda tidak menggunakannya. Untuk melakukan ini, buka sifat sistem dan pergi ke "Tetapan lanjutan":

Pergi ke tab "Akses Jauh" dan tandai kotak semak "Jangan benarkan sambungan jauh ke komputer ini". Anda juga perlu menyahtanda kotak semak "Benarkan sambungan bantuan jauh ke komputer ini". Gunakan tetapan dengan mengklik pada butang "OK".

7. Patuhi peraturan keselamatan maklumat

Jangan lupa tentang asas kerja selamat pada PC anda dan di Internet. Berikut ialah beberapa peraturan yang mesti anda ikuti sendiri dan terangkan kepentingannya kepada keluarga, rakan dan rakan sekerja anda.

— Gunakan kata laluan yang kompleks dan panjang (tidak lebih pendek daripada 8 aksara);
— Gunakan pengesahan dua faktor apabila boleh;
— Jangan simpan kata laluan dalam memori penyemak imbas;
— Tidak perlu menyimpan kata laluan dalam fail teks, dan secara amnya anda tidak seharusnya menyimpannya pada komputer anda;
— Log keluar daripada akaun anda selepas selesai kerja (jika beberapa orang menggunakan PC);
— Jangan buka lampiran dalam surat daripada orang yang tidak dikenali;
— Jangan jalankan fail dengan sambungan .exe, .bat, .pdf, .vbs daripada huruf, walaupun daripada orang yang anda kenali;
— Jangan gunakan E-Mel peribadi atau kerja anda untuk mendaftar di tapak web dan rangkaian sosial;

Hanya pematuhan mandatori dengan asas keselamatan digital yang disenaraikan akan membolehkan anda mengekalkan perlindungan komputer anda daripada virus ransomware dan penyulitan pada tahap yang agak tinggi!

P.S.: Akhir sekali, saya ingin mengatakan bahawa adalah lebih mudah untuk mengambil langkah berjaga-jaga terlebih dahulu dan mencegah jangkitan virus daripada menangani akibatnya kemudian dengan harapan untuk memulihkan sekurang-kurangnya beberapa maklumat!

Selamat petang, pembaca dan tetamu blog yang dikasihi, seperti yang anda ingat pada Mei 2017, gelombang besar jangkitan komputer dengan sistem pengendalian Windows bermula dengan virus ransomware baharu yang dipanggil WannaCry, akibatnya ia dapat menjangkiti dan menyulitkan data pada lebih daripada 500,000 komputer , fikirkan angka ini. Perkara yang paling teruk ialah virus jenis ini boleh dikatakan tidak ditangkap oleh penyelesaian antivirus moden, yang menjadikannya lebih mengancam Di bawah saya akan memberitahu anda kaedah bagaimana untuk melindungi data anda daripada pengaruhnya dan bagaimana untuk melindungi diri anda daripada ransomware dalam satu minit, saya rasa anda akan mendapati ia menarik.

Apakah virus ransomware?

Virus penyulit ialah sejenis program Trojan yang tugasnya adalah untuk menjangkiti stesen kerja pengguna, mengenal pasti fail format yang diperlukan padanya (contohnya, foto, rakaman audio, fail video), kemudian menyulitkannya dengan perubahan dalam jenis fail, sebagai akibatnya pengguna tidak lagi dapat membukanya , tanpa program penyahkod khas. Ia kelihatan seperti ini.

Format fail yang disulitkan

Format fail yang paling biasa selepas penyulitan ialah:

• tiada_tebusan_lagi
• peti besi

Akibat virus ransomware

Saya akan menerangkan kes yang paling biasa di mana virus pengekod terlibat. Mari kita bayangkan pengguna biasa dalam mana-mana organisasi abstrak, dalam 90 peratus kes pengguna mempunyai Internet di tempat kerjanya, kerana dengan bantuannya dia membawa keuntungan kepada syarikat, dia melayari ruang Internet. Seseorang itu bukan robot dan boleh terganggu dari kerja dengan melihat tapak yang menarik minatnya, atau tapak yang disyorkan kepadanya oleh rakannya. Hasil daripada aktiviti ini, dia boleh menjangkiti komputernya dengan penyulitan fail tanpa mengetahuinya dan mengetahuinya apabila sudah terlambat. Virus telah menjalankan tugasnya.

Virus, pada masa operasinya, cuba memproses semua fail yang ia mempunyai akses, dan di sinilah ia bermula bahawa dokumen penting dalam folder jabatan yang pengguna mempunyai akses tiba-tiba bertukar menjadi sampah digital, fail tempatan dan banyak lagi. Adalah jelas bahawa perlu ada salinan sandaran bagi bahagian fail, tetapi bagaimana dengan fail tempatan, yang boleh membentuk keseluruhan kerja seseorang, akibatnya, syarikat kehilangan wang untuk kerja terbiar, dan pentadbir sistem meninggalkan zon selesanya dan membelanjakannya masa menyahsulit fail.

Perkara yang sama mungkin berlaku kepada orang biasa, tetapi akibatnya di sini adalah tempatan dan membimbangkan dia dan keluarganya secara peribadi. Amat menyedihkan melihat kes-kes di mana virus telah menyulitkan semua fail, termasuk arkib foto keluarga, dan orang ramai tidak mempunyai salinan sandaran. , bukan perkara biasa dalam kalangan pengguna biasa melakukannya.

Dengan perkhidmatan awan, segala-galanya tidak begitu mudah, jika anda menyimpan segala-galanya di sana dan tidak menggunakan klien tebal dalam sistem pengendalian Windows anda, ia adalah satu perkara, 99% daripada masa tidak ada yang mengancam anda di sana, tetapi jika anda menggunakan, sebagai contoh, Cakera Yandex atau "mel Cloud" menyegerakkan fail dari komputer anda kepadanya, kemudian jika anda dijangkiti dan menerima bahawa semua fail disulitkan, program akan menghantarnya terus ke awan dan anda juga akan kehilangan segala-galanya.

Akibatnya, anda melihat gambar seperti ini, di mana anda diberitahu bahawa semua fail disulitkan dan anda perlu menghantar wang, kini ini dilakukan dalam bitcoin supaya tidak mengenal pasti penyerang. Selepas pembayaran, mereka sepatutnya menghantar penyahsulit kepada anda dan anda akan memulihkan semuanya.

Jangan sekali-kali menghantar wang kepada penjenayah

Ingat bahawa tidak ada antivirus moden hari ini boleh memberikan perlindungan Windows terhadap ransomware, atas satu sebab mudah bahawa Trojan ini tidak melakukan apa-apa yang mencurigakan dari sudut pandangannya, ia pada dasarnya berkelakuan seperti pengguna, ia membaca fail, menulis, tidak seperti virus, ia tidak cuba menukar fail sistem atau menambah kunci pendaftaran, itulah sebabnya pengesanannya sangat sukar, tidak ada garis yang membezakannya daripada pengguna

Sumber trojan ransomware

Mari cuba serlahkan sumber utama penembusan penyulitan ke dalam komputer anda.

1. E-mel > selalunya orang menerima e-mel pelik atau palsu dengan pautan atau lampiran yang dijangkiti, apabila mengklik pada yang mangsa mula mengalami malam tanpa tidur. Saya memberitahu anda bagaimana untuk melindungi e-mel, saya menasihati anda untuk membacanya.
2. Melalui perisian - anda memuat turun program daripada sumber yang tidak diketahui atau tapak palsu, ia mengandungi virus pengekod, dan apabila anda memasang perisian, anda menambahkannya pada sistem pengendalian anda.
3. Melalui pemacu denyar - orang masih sering melawat satu sama lain dan memindahkan sekumpulan virus melalui pemacu denyar, saya menasihati anda untuk membaca "Melindungi pemacu denyar daripada virus"
4. Melalui kamera IP dan peranti rangkaian dengan akses Internet - selalunya, disebabkan tetapan yang salah pada penghala atau kamera IP yang disambungkan ke rangkaian tempatan, penggodam menjangkiti komputer pada rangkaian yang sama.

Bagaimana untuk melindungi PC anda daripada ransomware

Penggunaan komputer anda dengan betul melindungi anda daripada perisian tebusan, iaitu:

• Jangan buka mel yang anda tidak tahu dan jangan ikut pautan yang tidak diketahui, tidak kira bagaimana ia sampai kepada anda, sama ada mel atau mana-mana utusan
• Pasang kemas kini pada sistem pengendalian Windows atau Linux secepat mungkin ia dikeluarkan tidak begitu kerap, kira-kira sekali sebulan. Jika kita bercakap tentang Microsoft, maka ini adalah hari Selasa kedua setiap bulan, tetapi dalam kes penyulitan fail, kemas kini mungkin tidak normal.
• Jangan sambungkan pemacu kilat yang tidak diketahui ke komputer anda; minta rakan anda menghantar pautan ke awan.
• Pastikan bahawa jika komputer anda tidak perlu boleh diakses pada rangkaian tempatan ke komputer lain, kemudian matikan akses kepadanya.
• Hadkan hak akses kepada fail dan folder
• Memasang penyelesaian antivirus
• Jangan pasang program yang tidak dapat difahami yang digodam oleh seseorang yang tidak dikenali

Segala-galanya jelas dengan tiga mata pertama, tetapi saya akan membincangkan dua baki dengan lebih terperinci.

Lumpuhkan akses rangkaian ke komputer anda

Apabila orang bertanya kepada saya cara untuk melindungi daripada perisian tebusan dalam Windows, perkara pertama yang saya cadangkan ialah orang ramai melumpuhkan "Perkhidmatan Perkongsian Fail dan Pencetak Rangkaian Microsoft", yang membenarkan komputer lain mengakses sumber komputer ini menggunakan rangkaian Microsoft. Ini juga berkaitan daripada pentadbir sistem yang ingin tahu yang bekerja untuk pembekal anda.

Lumpuhkan perkhidmatan ini dan melindungi diri anda daripada perisian tebusan dalam rangkaian tempatan atau pembekal, seperti berikut. Tekan kombinasi kekunci WIN+R dan dalam tetingkap yang terbuka, laksanakan, masukkan arahan ncpa.cpl. Saya akan menunjukkan ini pada komputer ujian saya yang menjalankan Windows 10 Creators Update.

Pilih antara muka rangkaian yang dikehendaki dan klik kanan padanya, pilih "Properties" dari menu konteks

Kami mencari item "Perkongsian fail dan pencetak untuk rangkaian Microsoft" dan nyahtandainya, kemudian simpan, semua ini akan membantu melindungi komputer anda daripada virus ransomware pada rangkaian tempatan anda tidak akan dapat diakses.

Mengehadkan hak akses

Perlindungan terhadap virus ransomware dalam Windows boleh dilaksanakan dengan cara yang menarik ini, saya akan memberitahu anda bagaimana saya melakukannya untuk diri saya sendiri. Oleh itu, masalah utama dalam memerangi penyulitan ialah antivirus tidak dapat melawannya dalam masa nyata, dengan baik, mereka tidak dapat melindungi anda pada masa ini, jadi kami akan menjadi lebih licik. Jika virus penyulitan tidak mempunyai hak menulis, maka ia tidak akan dapat melakukan apa-apa dengan data anda. Biar saya memberi anda contoh, saya mempunyai folder foto, ia disimpan secara setempat pada komputer, ditambah terdapat dua salinan sandaran pada cakera keras yang berbeza. Pada komputer tempatan saya, saya mencipta hak baca sahaja untuknya untuk akaun yang saya gunakan komputer tersebut. Sekiranya virus itu telah masuk, ia tidak akan mempunyai hak yang mencukupi, seperti yang anda lihat, semuanya mudah.

Bagaimana untuk melaksanakan semua ini untuk melindungi diri anda daripada penyulitan fail dan melindungi segala-galanya, kami melakukan perkara berikut.

• Pilih folder yang anda perlukan. Cuba gunakan folder; ia memudahkan untuk menetapkan hak. Sebaik-baiknya, buat folder yang dipanggil baca sahaja, dan letakkan semua fail dan folder yang anda perlukan di dalamnya. Perkara yang baik ialah dengan memberikan hak kepada folder teratas, ia akan digunakan secara automatik pada folder lain di dalamnya. Sebaik sahaja anda telah menyalin semua fail dan folder yang diperlukan ke dalamnya, teruskan ke langkah seterusnya
• Klik kanan pada folder dari menu dan pilih "Properties"

• Pergi ke tab "Keselamatan" dan klik butang "Tukar".

• Kami cuba memadamkan kumpulan akses, jika kami menerima tetingkap amaran bahawa "Kumpulan itu tidak boleh dipadamkan kerana objek ini mewarisi kebenaran daripada induknya", kemudian tutupnya.

• Klik butang "Lanjutan". Dalam item yang terbuka, klik "lumpuhkan warisan"

• Apabila ditanya "Apa yang anda mahu lakukan dengan kebenaran yang diwarisi semasa" pilih "Alih keluar semua kebenaran yang diwarisi daripada objek ini"

• Akibatnya, semua dalam medan "Kebenaran" akan dipadamkan.

• Simpan perubahan. Sila ambil perhatian bahawa kini hanya pemilik folder boleh menukar kebenaran.

• Sekarang pada tab "Keselamatan", klik "Edit"

• Seterusnya, klik "Tambah - Lanjutan"

• Kami perlu menambah kumpulan "Semua orang", untuk melakukan ini, klik "Cari" dan pilih kumpulan yang dikehendaki.

• Untuk melindungi Windows daripada perisian tebusan, anda mesti menetapkan kebenaran untuk kumpulan "Semua orang", seperti dalam gambar.

• Kini tiada virus penyulitan akan mengancam anda untuk fail anda dalam direktori ini.

Saya berharap bahawa Microsoft dan penyelesaian antivirus lain akan dapat meningkatkan produk mereka dan melindungi komputer daripada perisian tebusan sebelum kerja jahat mereka, tetapi sehingga ini berlaku, ikut peraturan yang saya terangkan kepada anda dan sentiasa membuat salinan sandaran data penting.