Wakati huu tuliangalia jinsi zana ngumu zinashughulika na Trojans za ransomware ulinzi wa antivirus. Kwa kusudi hili, uteuzi wa ransomware ulifanywa na hata kuandikwa programu tofauti, kuiga vitendo vya Trojan isiyojulikana ya ransomware. Sahihi yake hakika haiko katika hifadhidata za mshiriki yeyote katika majaribio ya leo. Hebu tuone wanachoweza kufanya!

ONYO

Nakala hiyo iliandikwa kwa madhumuni ya utafiti. Taarifa zote ndani yake ni kwa madhumuni ya habari tu. Sampuli zote zilipatikana kutoka kwa vyanzo wazi na kutumwa kwa wachambuzi wa virusi.

Tiba za zamani za vitisho vipya

Antivirus za zamani hazina msaada mdogo katika kulinda dhidi ya programu za Trojan ambazo husimba faili kwa njia fiche na kudai fidia kwa kuzifuta. Kitaalam, ransomware kama hiyo inajumuisha kabisa au karibu kabisa na vipengee halali, ambavyo kila moja haifanyi vitendo vyovyote vibaya peke yake. Programu hasidi inawachanganya tu kwenye mlolongo, na kusababisha matokeo mabaya - mtumiaji ananyimwa fursa ya kufanya kazi na faili zake hadi azichambue.

KATIKA Hivi majuzi Huduma nyingi maalum zimeonekana kulinda dhidi ya Trojans za ransomware. Wanajaribu kufanya uchanganuzi usio wa saini (hiyo ni, kutambua matoleo mapya ya ransomware kwa tabia zao, sifa ya faili na ishara zingine zisizo za moja kwa moja), au inakataza programu zozote kufanya mabadiliko muhimu kwa vitendo vya ransomware.

Tuna hakika kuwa huduma kama hizo hazina maana. Hata vikwazo vikali vilivyowekwa ndani yao (chini ambayo haiwezekani tena kufanya kazi kwa kawaida) haitoi kizuizi cha kuaminika dhidi ya Trojans ya ransomware. Programu hizi huzuia baadhi ya maambukizo, lakini hii inajenga hisia ya uwongo ya usalama kwa mtumiaji. Anakuwa mzembe zaidi na kujikuta ni mwathirika wa ransomware haraka zaidi.

Shida kuu wakati wa kupigana na Trojans ya usimbuaji wa kawaida ni kwamba vitendo vyao vyote vinafanywa tu kwenye faili za mtumiaji na haziathiri. vipengele vya mfumo. Mtumiaji hawezi kuzuiwa kubadilisha na kufuta faili zake. Wawakilishi wa ubora wa juu wa ransomware wana vipengele vichache sana au hakuna dhahiri vya kitabia. Muunganisho wa mtandao sasa inaendesha programu nyingi (angalau kuangalia visasisho), na kazi za usimbaji fiche zimejengwa hata kwenye vihariri vya maandishi.

Inabadilika kuwa hakuna dalili dhahiri zilizosalia za zana za ulinzi za kuzuia kusaidia kutofautisha Trojan nyingine ya ransomware kutoka kwa mpango halali. Ikiwa saini ya Trojan haipo kwenye hifadhidata, nafasi ambayo antivirus itaigundua ni ndogo sana. Moduli ya heuristic humenyuka tu kwa marekebisho mabaya waandishi wa habari maarufu, na kichanganuzi cha tabia kwa kawaida hakitambui shughuli zozote za kutiliwa shaka hata kidogo.

Hifadhi rudufu ni tofauti na chelezo!

Leo, maelfu ya kompyuta huambukizwa na ransomware kila siku na, kama sheria, na mikono ya watumiaji wenyewe. Makampuni ya antivirus yanakubali maombi ya kufuta faili (bila malipo kutoka kwa wateja wao), hata hivyo, wachambuzi wao hawana uwezo wote. Wakati mwingine inawezekana kukusanya data ndogo sana kwa usimbuaji mafanikio, au algorithm ya Trojan yenyewe ina makosa ambayo inafanya kuwa haiwezekani kurejesha faili katika fomu yao ya asili. Sasa maombi ya usimbuaji huchakatwa kutoka siku mbili hadi miezi sita, na wakati huu wengi wao hupoteza umuhimu wao. Kilichobaki ni kutafuta fedha za ziada ulinzi bila kutegemea skana ya kupambana na virusi.

Kwa muda mrefu ulinzi wa wote kutoka kwa yoyote mashambulizi ya virusi kulikuwa na chelezo. Katika kesi ya kuambukizwa na programu hasidi mpya, unaweza kurejesha kila kitu kutoka kwa nakala rudufu, kubatilisha faili zilizosimbwa na matoleo yao asili na kughairi yoyote. mabadiliko yasiyotakikana. Walakini, Trojans za kisasa za usimbaji fiche zimejifunza kutambua na kupotosha nakala rudufu pia. Ikiwa imesanidiwa uundaji wa moja kwa moja, kisha hifadhi ya chelezo imeunganishwa na inapatikana kwa maandishi. Trojan ya hali ya juu huchanganua viendeshi vyote vya ndani, vya nje na vya mtandao, huamua saraka na nakala za chelezo na kuzisimba au kuzifuta, na kufuta nafasi ya bure.

Kufanya chelezo kwa mikono ni kuchosha sana na hakutegemewi. Ni vigumu kufanya operesheni hiyo kila siku, na kwa muda mrefu data nyingi muhimu zitajilimbikiza, ambazo hazitakuwa na mahali pa kurejeshwa. Jinsi ya kuwa?

Leo, watengenezaji wengi hutoa, pamoja na antivirus za kawaida, ufumbuzi wa usalama wa kina. Sasa, pamoja na firewall, IDS na vipengele vingine vinavyojulikana, vina mpya - hifadhi salama. nakala za chelezo. Tofauti na saraka ya kawaida na chelezo, tu antivirus yenyewe ina ufikiaji wake na inadhibitiwa na dereva wake. Udhibiti wa nje saraka imezimwa kabisa - hata msimamizi hawezi kuifungua au kuifuta kupitia meneja wa faili. Wacha tuone jinsi njia hii ni nzuri.

Mbinu ya majaribio

Kwa majaribio yetu tulifanya clones mashine virtual na Windows 10 safi na seti za hivi karibuni masahihisho. Kila mmoja wao alikuwa na antivirus yake imewekwa. Mara tu baada ya kusasisha hifadhidata, tuliangalia majibu ya antivirus kwa uteuzi wa jaribio na programu yetu ya kiigaji. Seti ya majaribio ilijumuisha sampuli 15. Kati ya hizi, 14 zilikuwa marekebisho mbalimbali ya Trojans zinazojulikana za ransomware, na ya kumi na tano ilikuwa Trojan ya kupakua ambayo ilipakua programu nyingine ya ukombozi kutoka kwa tovuti ya mbali.

Sampuli zote zilikuwa na kiendelezi cha .tst, bila kujali umbizo halisi la faili. Programu iliyoandikwa mahususi kwa ajili ya majaribio haya, iliyopewa jina la EncryptFiles, iliiga tabia ya kawaida ya Trojan ya usimbaji fiche. Ilipozinduliwa na vigezo chaguo-msingi, ilisimba mara moja yaliyomo kwenye faili kutoka kwenye saraka ya "Hati Zangu" bila maswali yoyote. Kwa uwazi, tulihifadhi ujumbe wa mwangwi kwenye programu na tukaweka kadhaa kwenye saraka na hati za mtumiaji wa sasa. faili za maandishi katika usimbaji wa OEM-866 ili kuonyesha yaliyomo mara moja moja kwa moja kwenye kiweko. Faili moja ilikuwa na nukuu kutoka kwa kazi za Strugatskys (maandishi rahisi ambayo hayajapangiliwa), na nyingine ilikuwa na vigezo vya lenzi katika fomu ya jedwali (maandishi yaliyoumbizwa).

Baada ya kusakinisha na kusasisha kila kizuia virusi, sampuli za programu ya kukomboa zilinakiliwa kwenye saraka ya Vipakuliwa kutoka kwa folda ya mtandao iliyounganishwa katika hali ya Kusoma Pekee. Kisha faili zilizonakiliwa zilichanganuliwa zaidi na antivirus (scan ya kulazimishwa kwa ombi) katika mipangilio ya chaguo-msingi. Sampuli zilizobaki baada ya uthibitishaji zilipewa upanuzi wao halisi, na kisha kuzinduliwa. Ikiwa mfumo haukuambukizwa, basi majibu ya antivirus kwenye programu ya simulator yaliangaliwa. Ikiwa faili zilisimbwa kwa mafanikio, tulijaribu kurejesha matoleo yao ya asili kwa kutumia programu ya kingavirusi na tukaweka matokeo.

Usalama wa Jumla wa Kaspersky

Tuliweka Kaspersky katika moja ya mashine za majaribio Jumla ya Usalama, ambayo iliahidi "ulinzi dhidi ya programu hasidi ili kuzuia programu hasidi zisiharibu faili zako." KTS ilitambua karibu vitisho vyote wakati wa kujaribu kunakili sampuli za programu ya uokoaji kutoka kwa folda ya mtandao.

Faili moja tu kati ya kumi na tano ilijumuishwa kwenye saraka ya "Vipakuliwa" - nd75150946.tst - hii ni Trojan.Downloader, na imekuwa ikijulikana kwa muda mrefu. Pamoja naye uthibitishaji wa ziada kwa ombi, KTS tena iliona faili kuwa salama. Arobaini na tano skana za antivirus VirusTotal haikukubaliana naye.

Tulifungua sampuli hii na kihariri cha Hex ili kubaini kiendelezi chake cha kweli. Kichwa kinachojulikana 50 4B 03 04 na jina la faili nyingine ndani - ni wazi, hii ni kumbukumbu ya ZIP. Ndani ya kumbukumbu ilikuwa faili ya tuhuma: ikoni yake inalingana Hati ya PDF, na kiendelezi kilikuwa .scr - kiokoa skrini, yaani, ni msimbo unaoweza kutekelezwa.

Unapojaribu kuendesha faili na kiendelezi .scr kutoka Kumbukumbu ya KTS imezuia nakala yake iliyopakuliwa kiotomatiki katika saraka ya muda ya mtumiaji. Kulingana na matokeo uchambuzi wa wingu Kupitia mtandao wa KSN, alitambua faili hii kama kitu hasidi kisichojulikana na akapendekeza ifutwe kwa kuwasha upya. Katika kesi hii, ilikuwa tahadhari nyingi, kwani Trojan haikupata udhibiti na inaweza kufutwa kwa njia yoyote, kama faili ya kawaida.

Ni vyema kutambua kwamba Kaspersky Jumla ya Usalama haijifunzi kutokana na makosa yake. Wakati kumbukumbu ilipoangaliwa tena, ilipatikana tena ikiwa safi, ingawa faili iliyofunguliwa kutoka kwake ilikuwa imesababisha kichochezi kulingana na matokeo ya uchanganuzi katika KSN.

Mwanzoni mwa hatua inayofuata ya kupima, tuliangalia hali ya awali"Nyaraka Zangu" na toa yaliyomo kwenye faili kadhaa za maandishi kutoka kwake hadi kwa koni.

Baada ya hapo tulifungua moduli ya "Backup na Rejesha" na tuhifadhi nyaraka hizi kwenye folda ya Hifadhi moja kwa moja kwenye ugawaji wa mfumo. Katika hali halisi, unapaswa kuchagua eneo tofauti (kwa mfano, gari la nje), lakini kwa mtihani wetu haijalishi. Ufikiaji wa folda hii kwa hali yoyote unadhibitiwa na zana za KTS, na kupitia kiendeshi cha kawaida mfumo wa faili Trojans haiwezi kuingiliana nayo.

Kwa njia za kawaida hata msimamizi anaweza tu kuona sifa za folda hii. Unapojaribu kuingia, meneja wa chelezo wa KTS huanza kiatomati na kukuuliza uingize nenosiri, ikiwa moja lilikuwa limewekwa hapo awali.

Meneja wa chelezo wa Kaspersky yenyewe ni wazi sana. Unaweza kuchagua saraka za kawaida, kubainisha yako mwenyewe, au kutenga faili za kibinafsi. Idadi ya faili za kila aina huonyeshwa mara moja kwenye dirisha upande wa kushoto, na ukubwa wao unaonyeshwa kwenye mali upande wa kulia.

Mbali na kurekodi chelezo kwa mitaa na anatoa zinazoweza kutolewa, KTS inasaidia kuzituma kwa Dropbox. Kutumia uhifadhi wa wingu ni rahisi sana ikiwa programu hasidi inazuia kompyuta kuanza na kuunganisha media ya nje.

KTS ilipuuza programu yetu ya kiigaji. Alisimba faili kwa utulivu, akigeuza yaliyomo kuwa gobbledygook. Kunyimwa ufikiaji wa saraka ndogo za "Video Zangu", "Picha Zangu" na "Muziki Wangu" ni dosari katika programu yenyewe, ambayo haiathiri kwa njia yoyote uwezo wake wa kusimba faili katika Nyaraka za %USERPROFILE.

Ikiwa katika programu yetu kazi ya usimbuaji inafanywa tu wakati ilizinduliwa na kitufe cha / decrypt, basi katika Trojans haianza kila wakati hata baada ya madai ya fidia kutekelezwa. Ya pekee inatosha chaguo la haraka Ili kurejesha faili zilizosimbwa kwa njia fiche katika kesi hii, chaguo pekee ni kuzifuta kutoka kwa nakala ya nakala iliyoundwa hapo awali. Katika mibofyo michache tu, tulirejesha moja ya faili zilizosimbwa kwa hiari katika eneo lake asili. Kwa njia hiyo hiyo, unaweza kurejesha saraka moja au zaidi nzima.

Dr.Web Security Space

Kama vile KTS, Dr.Web SS alitambua sampuli 14 kati ya 15 hata alipokuwa akijaribu kuzinakili kwenye saraka ya "Vipakuliwa".

Hata hivyo, tofauti na KTS, bado iligundua Trojan.Downloader katika sampuli iliyosalia baada ya kubadilisha kiendelezi chake hadi ZIP na kuendesha uchanganuzi wa kulazimishwa.

Mipangilio mingi ya Dr.Web SS imefungwa kwa chaguo-msingi. Ili kuiwasha, lazima kwanza ubofye kwenye ikoni ya kufuli na uingize nenosiri, ikiwa moja imewekwa.

Hifadhi rudufu zinaundwa katika Dr.Web SS kwa kutumia zana ya "Kuzuia Kupoteza Data". Mipangilio inayopatikana ni ndogo. Unaweza kuchagua saraka za kawaida za watumiaji kwa chelezo au taja yako mwenyewe, weka moja ya vizuizi vilivyochaguliwa kwa kiasi cha nakala, taja eneo la nakala za chelezo na usanidi ratiba ya chelezo. Dr.Web SS haiauni upakiaji kwenye hifadhi ya wingu, kwa hivyo ni lazima ujizuie kwenye hifadhi za ndani.

Ulinzi wa saraka ya chelezo ya Dr.Web SS ni mkali zaidi kuliko KTS. Msimamizi hawezi hata kutazama mali zake kupitia Explorer.

Tulifanya nakala za nakala za hati na kuanza sehemu ya pili ya jaribio.

Simulator ya Dr.Web SS haikutambua programu na haikuingilia uendeshaji wake kwa njia yoyote. Katika sekunde iliyogawanyika, faili zote zilisimbwa kwa njia fiche.

Kwa kuendesha "ulinzi wa upotezaji wa data" tena, tulirejesha faili za chanzo. Hata hivyo, hazikuhifadhiwa pale ilipotarajiwa.

Unapotaja folda inayolengwa "Nyaraka Zangu", saraka ndogo na tarehe ya sasa na wakati kama jina. Faili zilizohifadhiwa kutoka kwa chelezo tayari zimefunguliwa ndani yake, na njia zote za jamaa zinarejeshwa. Hii inaunda njia ndefu isiyofaa ambayo inaweza kuzidi kikomo cha kawaida cha herufi 255.

Norton Security Premium

Kukumbuka Norton Ghost, ambayo ikawa kiwango cha chelezo nyuma katika miaka ya tisini, ilikuwa rahisi kutabiri kuonekana kwa utendaji sawa katika antivirus kutoka Symantec. Inashangaza kwamba miongo miwili ilipita kabla ya hii suluhisho dhahiri imekuwa katika mahitaji. Hakutakuwa na furaha, lakini bahati mbaya ingesaidia.

Wakati wa kujaribu kunakili saraka kwa sampuli za ransomware, NSP ilitambua na kuweka karantini vitisho 12 kati ya 15.

Faili zote tatu zilizosalia zinatambuliwa kama hasidi zinapochanganuliwa na VirusTotal, ikijumuisha mbili kati yao na Symantec antivirus. Ni kwamba tu mipangilio ya chaguo-msingi inafanywa ili NSP isiangalie faili fulani wakati wa kunakili. Tunafanya uchanganuzi wa kulazimishwa... na NSP hugundua Trojans mbili zaidi kwenye saraka sawa.

Kama vile antivirus zilizopita, NSP huacha kipakuzi cha Trojan kipewe jina jipya Kumbukumbu ya ZIP. Unapojaribu kuendesha faili ya .scr kutoka kwenye kumbukumbu, NSP huzuia uzinduzi wa nakala ambayo haijapakiwa ya Trojan kutoka kwa saraka ya muda ya mtumiaji wa sasa. Katika kesi hii, kumbukumbu yenyewe haijashughulikiwa kwa njia yoyote.

Kumbukumbu inachukuliwa kuwa safi hata ikiwa imechanganuliwa mara tu baada ya Trojan iliyotolewa kutoka humo kutambuliwa. Uandishi huo ni wa kuchekesha sana: "Ikiwa unafikiria bado kuna vitisho, bonyeza hapa." Unapobofya juu yake, hifadhidata zinasasishwa (au la ikiwa tayari ni safi).

Inashangaza kwamba baadhi ya sampuli za zamani za ransomware bado zinagunduliwa na NSP na kichanganuzi cha kiheuristic na zana za kukagua wingu. Inaonekana kwamba wanabiolojia wa Symantec ni wavivu sana kusasisha hifadhidata. Antivirus yao inazuia tu kila kitu cha tuhuma na inangojea majibu ya mtumiaji.

Hatua ya pili ya kupima ilifanyika jadi. Tulicheleza faili kutoka kwenye saraka ya Hati Zangu na kisha tukajaribu kuzisimba kwa njia fiche.

Kidhibiti chelezo katika NSP hapo awali kilinifurahisha na mantiki yake. Anatumia classic "Je! Wapi? Lini?", Inajulikana kutoka nyakati za kabla ya Soviet. Walakini, katika toleo la kisasa linafunikwa na uondoaji mwingi. Badala ya kuorodhesha moja kwa moja vitu vilivyo na njia kamili na faili kwa upanuzi, eneo lao la mtandaoni na upangaji wa masharti kulingana na aina hutumiwa. Inabakia kuonekana ni faili zipi ambazo NSP itazingatia kuwa zinafaa kwa maelezo ya kifedha, na ambayo yatawekwa tu katika sehemu ya "Nyingine".

Mipangilio ya ziada zinawezekana (kwa mfano, kwa kutumia kiungo cha "Ongeza au uondoe faili na folda"), lakini ni vigumu sana kufanya. Kwa ajili ya faili kadhaa (kila chini ya kilobaiti), bado unapaswa kuhifadhi nakala ya nusu ya mti wa saraka na kila aina ya takataka kama desktop.ini, na mchawi wa chelezo hutoa kuifisha kwenye CD-R. Inaonekana kwamba karne ya 21 haijafika kwa kila mtu.

Kwa upande mwingine, watumiaji wa NSP wanapewa GB 25 za chelezo katika wingu. Ili kupakia nakala rudufu hapo, chagua tu "Hifadhi salama ya Mtandao" kama eneo lengwa.

Baada ya kuunda nakala ya ndani, tulizindua programu inayoiga vitendo vya Trojan ya ransomware. NSP haikumzuia kwa njia yoyote ile na ikamruhusu kusimba faili hizo kwa njia fiche.

Kuzirejesha kutoka kwa chelezo ilikuwa haraka na rahisi zaidi kuliko katika Dr.Web SS. Ilikuwa ya kutosha kuthibitisha uandishi, na faili katika fomu yao ya awali zilionekana mara moja katika maeneo yao ya awali.

K7 Usalama wa Mwisho

Hapo awali, bidhaa hii kutoka kwa kampuni ya Kihindi ya K7 Computing iliitwa Antivirus Plus. Bado kuna mkanganyiko mdogo na majina ya msanidi programu huyu. Kwa mfano, usambazaji wa Usalama wa Jumla wa K7 hauna zana za chelezo. Ndiyo sababu tulijaribu toleo la Ultimate - pekee lenye uwezo wa kutengeneza nakala.

Tofauti na antivirus zinazojulikana nchini Urusi, maendeleo haya yalikuwa farasi wa giza katika vipimo vyetu. Neno "msimbo wa Kihindi" linachukuliwa kuwa neno chafu kati ya watengeneza programu, na hatukutarajia mengi kutoka kwake. Kama vipimo vilionyesha, ilikuwa bure.

K7 Ultimate Security ndiyo antivirus ya kwanza ambayo iligundua mara moja vitisho vyote 15 kutoka kwa uteuzi wetu. Haingekuruhusu hata kumaliza kunakili sampuli kwenye saraka ya Vipakuliwa na kuzifuta moja kwa moja folda ya mtandao, ikiwa haikuunganishwa katika hali ya Kusoma Pekee.

Muundo wa mpango ni camouflage na chuma. Inavyoonekana, watengenezaji wana hamu ya kucheza mizinga au wanajaribu tu kuamsha ushirika na kitu cha kuaminika kwa njia hii. Vigezo vya chelezo katika K7 vimewekwa kwa takriban njia sawa na katika NSP. Kwa ujumla, hata hivyo, kiolesura cha K7 hakina vitu vingi sana na hurahisisha urekebishaji mzuri.

K7 haikuguswa kwa njia yoyote ya kuzindua programu ya simulator na kusimba faili. Kama kawaida, ilinibidi kurejesha asili kutoka kwa nakala rudufu.

Ni rahisi kwamba wakati wa kurejesha, unaweza kuchagua faili za kibinafsi na kuziandika kwenye eneo lao la asili. Kujibu ndiyo kwa ombi la kuandika upya faili iliyopo, tulirejesha lenses.txt katika mibofyo michache hadi mahali ilipo asili.

Hakuna zaidi ya kuongeza kuhusu utendaji wa K7 katika jaribio hili. Mafanikio ni mafanikio.

hitimisho

Licha ya matokeo mazuri kupima, hitimisho la jumla lilikuwa la kukatisha tamaa. Hata matoleo kamili ya antivirus zinazolipishwa maarufu hukosa vibadala vingine vya programu ya uokoaji katika mipangilio chaguomsingi. Uchanganuzi wa kuchagua unapohitaji pia hauhakikishi usalama wa faili zilizochanganuliwa. Marekebisho yanayojulikana kwa muda mrefu ya Trojans pia huepuka kutambuliwa kwa kutumia mbinu za awali (kama vile kubadilisha kiendelezi). Programu hasidi mpya karibu kila mara hukaguliwa ili kutambuliwa kabla ya kutolewa porini.

Haupaswi kutegemea kichanganuzi cha tabia, ukaguzi wa wingu, sifa za sifa za faili na zana zingine za uchanganuzi zisizo za saini. Kuna faida fulani kutoka kwa njia hizi, lakini kidogo sana. Hata programu yetu ya kiigaji primitive yenye sifa sifuri na hapana saini ya kidijitali Haijazuiwa na antivirus yoyote. Kama Trojans nyingi za ransomware, ina dosari nyingi, lakini hii haizuii kusimba faili kwa urahisi mara tu inapozinduliwa.

Otomatiki chelezo faili za mtumiaji- sio matokeo ya maendeleo, lakini kipimo cha lazima. Inaweza kuwa na ufanisi kabisa tu na ulinzi wa kudumu hifadhi chelezo kwa kutumia antivirus yenyewe. Hata hivyo, itakuwa na ufanisi hasa mpaka antivirus itapakuliwa kutoka kwa kumbukumbu au kufutwa kabisa. Kwa hivyo inafaa kufanya kila wakati nakala za ziada kwenye baadhi ya vyombo vya habari ambavyo havijaunganishwa mara chache au vipakie kwenye wingu. Bila shaka, ikiwa unaamini mtoaji wa wingu wa kutosha.

Virusi vya usimbaji fiche hivi karibuni vimekuwa mojawapo ya matishio makuu na kila siku tunajifunza kuhusu mashambulizi mapya, virusi vipya vya ransomware au matoleo yao na, kwa bahati mbaya, kuhusu wahasiriwa ambao wahalifu wa mtandao hudai fidia kutoka kwao ili kurejesha ufikiaji wa data iliyosimbwa. Kwa hiyo, Kaspersky Lab katika sehemu ya System Watcher (Ufuatiliaji wa Shughuli) bidhaa za hivi karibuni ilijumuisha mfumo mdogo maalum wa kupambana na usimbaji programu hasidi, Mfumo Mdogo wa Kaspersky Cryptomalware Countermeasures. Shukrani kwa seti ya teknolojia ya kipekee, huko Latvia na ulimwenguni kati ya watumiaji wa bidhaa za hivi karibuni za Kaspersky ambao walitumia kwa usahihi fursa zinazotolewa na bidhaa, Kwa kweli hakuna waathiriwa wa usimbaji mashambulio ya ransomware! Na huu sio uchawi au njama, kama hata wataalam wakati mwingine wanasema, kuona jinsi, tofauti na watumiaji wa antivirus zingine, mashabiki wa bidhaa za Kaspersky hubaki bila kujeruhiwa katika shambulio la kusimba virusi vya ukombozi. Hizi ni teknolojia zilizovumbuliwa na kutekelezwa na watengenezaji wa Kaspersky Lab!

Ni bidhaa gani ni pamoja na Mfumo wa Kuangalia Mfumo na Mfumo mdogo wa Kaspersky Cryptomalware Countermeasures?

Teknolojia maalum za kupambana na usimbaji wa virusi vya ransomware zimejumuishwa matoleo ya sasa bidhaa zifuatazo za mfumo wa uendeshaji wa Windows au vipengele vyao vya Windows.

Bidhaa za Biashara Ndogo:
Bidhaa ulinzi wa ushirika:

* Bidhaa zote Jaribio kamili la siku 30 bila malipo linapatikana kwa msaada wa kiufundi wa ndani. Ili kujaribu na kusakinisha pia.

Mfumo wa Muangalizi wa Mfumo na Mfumo mdogo wa Kaspersky Cryptomalware Countermeasures hufanya kazi vipi?

Kaspersky Lab huchakata wastani wa sampuli mpya 315,000 za programu hasidi kila siku. Pamoja na utitiri mkubwa kama huu wa mpya programu hasidi Makampuni ya antivirus mara nyingi hulazimika kulinda watumiaji dhidi ya uvamizi wa programu hasidi ambao bado hawajajulikana kwao. Katika mlinganisho wa ulimwengu halisi, hii itakuwa sawa na kumtambua mhalifu kabla ya kupata alama za vidole, picha na data nyingine. Jinsi ya kufanya hivyo? Kuchunguza na kuchambua tabia. Hivi ndivyo sehemu iliyojengwa katika bidhaa za hivi karibuni za Kaspersky Lab hufanya, kwa kuendelea kufuatilia mfumo wa kompyuta, unaoitwa System Watcher.

System Watcher inachunguza michakato inayotokea kwenye mfumo na hugundua vitendo viovu, kwa kutumia Sahihi za Mwendo wa Tabia (BSS) na hivyo kukuruhusu kutambua na kukomesha programu hasidi mpya kabisa na isiyojulikana kwa tabia zao. Lakini sio hivyo tu. Mpaka iwe wazi kuwa programu ni mbaya, inaweza kuwa na wakati wa kufanya kitu. Kwa hiyo, kipengele kingine cha System Watcher ni uwezo wa kurejesha mabadiliko kwenye mfumo uliofanywa na programu mbaya.

Ili kurejesha nyuma mabadiliko yaliyofanywa na programu hasidi mpya ya usimbaji fiche, wataalamu wa Kaspersky Lab waliongeza mfumo mdogo wa kuzuia usimbaji fiche kwenye sehemu ya System Watcher. Virusi vya Kaspersky Cryptomalware Countermeasures Subsystem, ambayo huunda nakala za chelezo za faili ikiwa zinafunguliwa na programu inayotiliwa shaka, na baadaye, ikiwa ni lazima, kuzirejesha kutoka kwa nakala zilizohifadhiwa. Kwa hivyo, hata ikiwa virusi vya usimbuaji ni mpya, ambayo ni, antivirus haina "alama za vidole" vyake, na haijatambuliwa na mifumo mingine, System Watcher huigundua kwa tabia yake na, kwa kutumia mfumo mdogo uliotajwa tayari, inarudisha kompyuta. mfumo kwa hali iliyokuwa kabla ya programu hasidi ya shambulio.

Kutambua programu hasidi ya usimbaji fiche kwa tabia yake, kusimamisha utendakazi wake na kurejesha nyuma mabadiliko ambayo imefanya (kubadilisha faili zilizosimbwa kwa nakala ambazo hazijasimbwa) kunaweza kuonekana kwenye video ya onyesho hapa chini.

Hapa ni muhimu kueleza kwamba kila mtu mtumiaji maalum hali ambapo inahitajika kutumia Mfumo mdogo wa Kaspersky Cryptomalware Countermeasures unaweza kutokea mara chache sana, kwani habari kuhusu kila tukio na programu hasidi isiyojulikana huingia kwenye wingu kwa sekunde chache. Usalama wa Kaspersky Mtandao na watumiaji wengine wa suluhisho za Kaspersky tayari wamelindwa dhidi ya tishio jipya mfumo wa utambuzi wa mapema. Hii ina maana kwamba jaribio lolote zaidi la kuambukiza kompyuta za watumiaji wa Kaspersky litazuiwa na saini ya awali. Ni hatua ya mifumo ya kipekee kama hii ambayo inaelezea ukweli kwamba huko Latvia hakukuwa na majeruhi kati ya watumiaji wa bidhaa za hivi karibuni za Kaspersky, kwani inafanya kazi kama mfumo wa kinga ya ulimwengu kwa watumiaji wote milioni 400 wa Kaspersky ulimwenguni kote!

Maelezo ya ziada kuhusu System Watcher na Kaspersky Cryptomalware Countermeasures Subsystem kwa Kiingereza yanaweza kupatikana katika hati za PDF:

Je! ni nini kingine unachohitaji kujua kuhusu Mfumo wa Kuangalia Mfumo na Mfumo mdogo wa Kaspersky Cryptomalware Countermeasures?

Kiangalizi cha Mfumo na pamoja nayo kiotomatiki Mfumo mdogo wa Kaspersky Cryptomalware Countermeasures huwezeshwa kwa chaguo-msingi kwa mujibu wa mipangilio ya awali ya mtengenezaji. Baada ya kufunga bidhaa, mtumiaji hawana haja ya kufanya vitendo vya ziada ili kutumia teknolojia zilizoelezwa hapo juu.

Ikumbukwe haswa kuwa Mtazamaji wa Mfumo hajajumuishwa Bidhaa ya Kaspersky Anti-Virus kwa Windows Workstation 6.0 (iliyotolewa 2007), ambayo bado hutumiwa mara kwa mara. Watumiaji wa bidhaa hii wanahimizwa kunufaika na sasisho lisilolipishwa hadi zaidi Kaspersky mpya Usalama wa Mwisho kwa Windows. Watumiaji wa kisheria wanaweza kupakua na kusakinisha matoleo ya hivi karibuni ya bidhaa bila malipo, kwa mfano, kutoka "" sehemu ya tovuti hii.

Zana ya Kaspersky Anti-Ransomware kwa Biashara- chombo kilichotengenezwa na Kaspersky Lab kulinda Kompyuta za Windows kutoka kwa vitendo vya ransomware.

Programu za Trojan zilizoundwa kupora pesa kutoka kwa mwathiriwa huitwa ransomware. Hizi pia ni pamoja na ransomware, ambayo imeenea hivi karibuni.

Shughuli mbaya ya vitisho hivi inalenga kuzuia uendeshaji wa kompyuta au data encrypting kwenye diski na kuzuia upatikanaji wa faili muhimu. Kwa hivyo, washambuliaji wanadai ada ya kutendua mabadiliko ambayo yalifanywa na programu ya Trojan kwenye kompyuta ya mwathirika. Hii inasababisha hasara kubwa, hasa katika mazingira ya ushirika.

Zana ya bure ya Kaspersky Anti-Ransomware kwa Biashara inaendana na wahusika wengine programu za antivirus na inaweza kutumika kama ulinzi wa ziada dhidi ya Trojans na wasimbaji fiche kwa kutumia teknolojia za hali ya juu.

Vipengele muhimu vya Zana ya Kaspersky Anti-Ransomware kwa Biashara

• Bure na suluhisho rahisi
• Ugunduzi wa Ransomware kwa suluhu za biashara zinazolipishwa (KES kwa Windows)
• Teknolojia za ulinzi: mtandao wa wingu Mtandao wa Usalama wa Kaspersky + "Ufuatiliaji wa Shughuli"
• Sambamba na wahusika wengine ufumbuzi wa antivirus
• Msaada kwa mifumo maarufu: kutoka Windows 7 hadi 10, pamoja na OS ya seva Seva ya Windows
• Ripoti za ugunduzi kupitia barua pepe kwa msimamizi

Teknolojia za ulinzi

Zana ya Kaspersky Anti-Ransomware kulinda kompyuta Windows msingi matumizi mbinu mbalimbali kugundua tishio. Zana hutambua programu hasidi kulingana na maelezo yaliyomo hifadhidata za antivirus. Chombo hiki kinatumia teknolojia mbili za kimapinduzi kutambua tabia ya sifa ya ransomware: Mtandao wa Usalama wa Kaspersky na Monitor ya Shughuli.

Mtandao wa Usalama wa Kaspersky unaotegemea wingu hutoa majibu ya haraka kwa vitisho visivyojulikana. A fursa za kipekee"Ufuatiliaji wa Shughuli" unajumuisha uwezo wa kuzuia na kurejesha mabadiliko hatari kwenye mfumo.

Shukrani kwa watumiaji wanaoshiriki katika Mtandao wa Usalama wa Kaspersky, Kaspersky Lab ina uwezo wa kukusanya habari haraka kuhusu aina mpya na vyanzo vya vitisho, na pia kutengeneza suluhisho za kuzibadilisha. Kushiriki katika Mtandao wa Usalama wa Kaspersky kunahusisha kutuma takwimu zilizokusanywa na Kaspersky Anti-Ransomware Tool for Business kwenye kompyuta yako.

Jinsi Kaspersky Anti-Ransomware Tool for Business inavyofanya kazi

Tishio linapogunduliwa, Zana ya Kaspersky Anti-Ransomware huizuia kiotomatiki na kuiongeza kwenye orodha ya programu zilizozuiwa (Programu Zilizozuiwa). Kabla ya kuzuia, programu ya ukombozi inaweza kuwa na wakati wa kufanya vitendo visivyohitajika mfumo wa uendeshaji(kwa mfano, kuunda au kurekebisha faili, au kufanya mabadiliko kwenye Usajili). Kurudisha nyuma vitendo hasidi Programu za Kaspersky Zana ya Kupambana na Ransomware huhifadhi historia ya shughuli ya programu.

Zana ya Kaspersky Anti-Ransomware huweka faili zilizoundwa na programu hasidi kwenye hifadhi maalum. Faili zilizowekwa kwenye hifadhi zinaweza kurejeshwa na wataalamu wa Kaspersky Lab. Ikiwa kuna haja ya kurejesha faili kutoka kwa hifadhi, inashauriwa kutafuta ushauri kwenye jukwaa la msanidi.

Kabla ya kuwasiliana na usaidizi wa kiufundi, lazima ujitambulishe

Ransomware Trojans ni aina maalum ya programu hasidi iliyoundwa kwa ulafi (ransomware). Mbio zao nyingi zilisajiliwa kwa mara ya kwanza mwishoni mwa 2006. Katika miaka kumi iliyopita, hali haijabadilika sana. Leo, mifano mpya ya Trojans inaendelea kusimba faili chini ya pua za programu ya antivirus na kudai malipo ya usimbuaji. Nani wa kulaumiwa kwa hili na, muhimu zaidi, nini cha kufanya?

Ikiwa Trojan imesimba faili zako, zima kompyuta yako mara moja! Kisha jaribu kukusanya data nyingi iwezekanavyo. Kwa hakika, unahitaji kufanya picha ya sekta-kwa-sekta ya diski na kisha kuchambua kwa utulivu hali hiyo.

Trojans za ransomware ni nini?

Leo, watumiaji wengi wana antivirus maarufu au angalau MSRT - "zana ya kuondoa programu hasidi" iliyojengwa ndani ya Windows. Walakini, ransomware huendesha kimya kimya, husimba faili kwa njia fiche na kuacha ujumbe wa fidia. Kawaida wanaahidi kutuma ufunguo wa kusimbua baada ya malipo kwa njia isiyojulikana. Kwa mfano, nenda kupitia Tor hadi ukurasa na maagizo zaidi na uhamishe fidia kwa nambari isiyo ya kawaida pochi

Antivirus hujibu hili mara chache sana hivi kwamba watengenezaji wao wameshutumiwa kwa kula njama. Hii sio mara ya kwanza kwa wataalam wa virusi kushukiwa kwa madhumuni ya uhalifu, lakini kitaalam kila kitu kinaelezewa hapa kwa urahisi zaidi. Ukweli ni kwamba Trojan ya usimbuaji haifanyi vitendo vyovyote vinavyoonyesha wazi shughuli zake mbaya. Sam ni programu rahisi yenye seti ya maktaba yenye madhumuni ya jumla. Wakati mwingine ni hati au faili ya bechi inayozindua huduma zingine zinazobebeka. Wacha tuangalie algorithm ya jumla ya vitendo vya ransomware kwa undani zaidi.

Kawaida mtumiaji hupakua na kuendesha programu ya uokoaji mwenyewe. Trojan imeingizwa kwa mwathirika chini ya kivuli cha sasisho, matumizi ya lazima, hati iliyo na kiungo cha ulaghai, nk. mbinu zinazojulikana uhandisi wa kijamii. Antivirus haina nguvu dhidi ya ujinga wa binadamu.

Trojan ya usimbaji fiche ambayo imeingia kwenye mfumo inaweza kutambuliwa kwa saini yake ikiwa tayari iko kwenye hifadhidata. Kwa kweli hakuna sampuli mpya ndani yao, na marekebisho ya Trojans ya zamani hukaguliwa zaidi ili kugunduliwa kabla ya usambazaji.

Baada ya Trojan kuzinduliwa, analyzer ya tabia ya antivirus ni kimya, kwa kuwa, kutoka kwa mtazamo wake, hakuna vitendo vinavyoweza kuwa hatari vinavyofanyika. Programu fulani hutafuta faili kwa kutumia barakoa? Ndio tafadhali! Je, huunda nakala za faili? Hakuna shida! Je, inasimba nakala kwa njia fiche? Hii pia sio sababu ya hofu. Vitendaji vya usimbaji fiche vinaauniwa na programu nyingi za kisasa, na Trojan hutumia maktaba ya kawaida ya kriptografia. Je, inafuta faili za mtumiaji? Hii pia sio marufuku - sio ya kimfumo. Inafuta mahali pa bure? Ufutaji salama pia ni kipengele maarufu na cha kisheria. Je, imeongezwa kwa autorun? Hii pia inaruhusiwa tabia.

Tofauti na virusi vya kawaida, Trojan ya ransomware haijaribu kurekebisha faili, haijiingizi kwenye michakato inayofanya kazi, na kwa ujumla hufanya tabia ya kuchosha. Inaunda tu nakala za hati na hifadhidata, kuzisimba kwa njia fiche, na kisha kufuta kabisa faili asili za mtumiaji na ufunguo wa usimbaji, na kuacha nyuma maandishi ya fidia. Kwa hali yoyote, waandishi wa Trojans wangependa kuona tabia hii bora. Kwa kweli, mlolongo huu wa michakato unaweza kushindwa katika hatua yoyote, na kuifanya iwezekanavyo mbinu mbadala nakala.

Antivirus za kawaida haziwezi kupambana na wasimbaji wapya ambao saini zao bado haziko kwenye hifadhidata zao. Wanaweza tu kutambua marekebisho mabaya zaidi katika kiwango cha heuristic. Suluhisho kamili(kama Dr.Web Nafasi ya Usalama Na Mtandao wa Kaspersky Usalama / Usalama Jumla) tayari wanajua jinsi ya kuondoa matokeo yao mabaya. Wanaunda nakala za faili za watumiaji mapema, kuzificha na kuzuia ufikiaji wao na programu za mtu wa tatu. Ikiwa Trojan itafikia picha na hati kutoka kwa saraka za kawaida, unaweza kuzirejesha kila wakati kutoka kwa nakala, na ufute faili zilizosimbwa kwa njia fiche.

Kwa kuwa tata ya antivirus hupakia moduli yake ya ulinzi wa dereva na mkazi hata kabla ya mtumiaji kuingia, hii ni njia ya kuaminika ya kuhifadhi nakala za chelezo. Walakini, zinaweza pia kufanywa kwa kutumia huduma za mtu wa tatu. Jambo kuu ni kwamba wamewekwa vyombo vya habari vya nje, ambayo imezimwa mara tu baada ya kuunda nakala rudufu. Vinginevyo, Trojan itagundua chelezo kwenye diski kuu iliyounganishwa kabisa na pia kuzisimba au kuziharibu.

Kutoka kwa programu za ulimwengu kwa kazi ya chelezo ulinzi wa ziada Huduma ya bila malipo ya Veeam Endpoint Backup hulinda dhidi ya programu hasidi. Inaweza kukata kiotomatiki hifadhi za USB mara tu baada ya chelezo kukamilika na kuhifadhi matoleo mengi ya faili.

Vipengele vya ziada vya programu ni pamoja na uwezo wa kuhifadhi nakala partitions za mfumo bila kuwazima (nakala ya kivuli), karibu kupona mara moja faili tofauti na katalogi (zinaweza kufunguliwa moja kwa moja kutoka kwa picha kwa kutumia viungo) na chaguzi nyingine za kuvutia. Anaweza pia kuunda diski ya boot na mazingira yake ya uokoaji ikiwa Trojan ilizuia operesheni ya kawaida ya OS.

Kando na huduma za hifadhi rudufu za wote zilizo na vipengele vya ziada vya ulinzi wa programu ya ukombozi, kuna idadi ya programu maalum za ulinzi wa kuzuia. Baadhi yao zinapatikana bila malipo tu katika hatua ya majaribio ya beta, na kisha kuwa moduli mpya kulipwa antivirus(kwa mfano, hivi ndivyo ilivyokuwa kwa Malwarebytes Anti-Ransomware). Nyingine bado zipo kama suluhu tofauti za bure.

GridinSoft Anti-Ransomware

Huduma hii ya Kiukreni ya kuzuia maambukizo ya ransomware kwa sasa iko katika majaribio ya beta. Watengenezaji wanaielezea kama tiba ya ulimwengu wote, kuzuia majaribio yoyote ya kutekeleza usimbaji fiche wa faili ambao haujaidhinishwa. Wanaahidi kuzuia mashambulizi ya ransomware na kuzuia upotevu wa data wanaosababisha. Kwa mazoezi, matumizi yaligeuka kuwa haina maana. Trojan ya kwanza ya ransomware kutoka kwa mkusanyiko wa zamani ilizinduliwa kimya kimya, ilifanya kazi yake chafu na kuchapisha madai ya fidia kwenye eneo-kazi.

CryptoPrevent Malware Kuzuia

Huduma hii iliacha hisia iliyochanganyika zaidi. CPMP hufanya kazi kikamilifu kulingana na seti kubwa ya sera za kikundi na vichungi vingi vya tabia, ufuatiliaji wa vitendo vya programu na hali. saraka maalum. Ina njia kadhaa za ulinzi zinazopatikana, ikiwa ni pamoja na kiwango cha "Upeo", kinachofanya kazi kwenye kanuni ya "kuiweka na kuisahau".

Kiolesura cha programu hutoa ufikiaji wa haraka kwa kadhaa ya mipangilio, lakini kubadilisha wengi wao kunahitaji kuwasha upya. Programu ya CPMP yenyewe haihitaji kuwa inaendeshwa kila wakati. Inahitaji tu kuendeshwa kwa ufuatiliaji na matengenezo. Kwa mfano, kuangalia hali, kusoma kumbukumbu, kusasisha au kubadilisha vigezo.

Wakati huo huo, programu jalizi ya picha huchukua muda mrefu sana kuzinduliwa na haitoi arifa za wakati halisi. Pia hakuna karantini ya kawaida. Katika hali ya "Ulinzi wa Juu", faili zote zilizotambuliwa kuwa hatari hufutwa tu bila swali.

Ili kujaribu hili, tulijaribu kuweka CPMP hadi kiwango cha juu zaidi cha ulinzi na kutoa Trojans saba tofauti za uokoaji kwa mfuatano. Tatu kati yao ziliondolewa na CPMP mara moja wakati wa kujaribu kuzindua. Hakuna ujumbe ulioonyeshwa. Wengine wanne walianza salama, lakini hawakufika kwenye mstari wa kumalizia. CPMP haikuwaruhusu kuunda faili mpya na kusimba faili za mtumiaji, lakini haikuzifuta pia. Mzigo wa CPU ulikuwa 100% wakati wote, diski ilikuwa ikinung'unika, na haikuwezekana kufanya chochote kwenye mfumo wa majaribio.

Kwa shida tulifaulu kufikia kitufe cha Ua Programu Sasa kwenye dirisha la CPMP. Baada ya sekunde, programu zote zilizinduliwa kama mtumiaji (pamoja na Mchakato wa Kuchunguza), zilishushwa kwa nguvu. KATIKA kumbukumbu ya ufikiaji bila mpangilio Michakato ya mfumo pekee ndiyo iliyobaki.

Wakati wa vita, baadhi ya programu hasidi ziliwekwa kwenye eneo-kazi, na Satan.f Trojan iliongeza ombi la fidia kwa maandishi ili kujiendesha. Hakuna faili zilizosimbwa kwa njia fiche, lakini kuondolewa kamili programu hasidi pia.

Matokeo yake yalikuwa mkwamo: hata vikwazo vikali zaidi havikuhakikishwa ulinzi wa kuaminika kutoka kwa Trojans ya ransomware. Katika baadhi ya matukio, upinzani mkali kwao ulisababisha rasilimali zote za mfumo kuwa ulichukua kabisa. Hakuna arifa zinazoonyeshwa. Inawezekana kuelewa kinachotokea katika mfumo tu kwa kuchambua magogo, lakini bado unahitaji kupata kwao.

Cybereason RansomFree

Hiki ni kichanganuzi cha tabia cha Windows 7–10, kilichoundwa ili kuzuia kuambukizwa na Trojans zinazojulikana na mpya za ransomware, ikijumuisha ransomware na winlockers. Kulingana na watengenezaji, mpango huo uliandikwa na wataalam wa zamani wa usalama wa habari za kijeshi ambao walipokea uwekezaji wa dola milioni 90 kutoka kwa Lockheed Martin na Softbank.

Trojan ya kwanza ya ukombozi ilizinduliwa, lakini ikaanguka mara moja na hitilafu. Ya pili imekuwa mchakato amilifu katika kumbukumbu. Cybereason mara moja iliitambua na kupendekeza sio tu kuipakua, lakini pia kufuta faili iliyoundwa na Trojan.

Kigunduzi cha pili

Trojan ya tatu pia ilizuiwa kwa ufanisi. Cybereason haikumruhusu kusimba faili kwa njia fiche. Mchakato 58CD2A07 ulipakuliwa, na utambuzi mmoja kwenye VirusTotal kwa Wininit.exe ulikuwa chanya ya uwongo.

Cybereason ilikosa Trojans mbili zilizofuata. Walikuwa amilifu kwa sekunde chache tu, lakini hii ilitosha kushinda utetezi thabiti.

Rafiki wa zamani Petya alianzisha tena kompyuta kwa nguvu, imefungwa Kuanzisha Windows na kusimba faili. Ni huruma kwamba Cybereason alikata tamaa haraka sana. Bado tulikuwa na farasi wengi sana kutoka miongoni mwa mashujaa wa wapanda farasi!

Zana ya Kaspersky Anti-Ransomware kwa Biashara

Mpango huu usiolipishwa umeundwa ili kulinda dhidi ya aina zote za programu ya uokoaji, ikiwa ni pamoja na ransomware mpya na winlockers. Inafanya kazi katika matoleo ya kisasa Windows (7-10) ya saizi yoyote. Inatambua matoleo mapya ya ransomware kulingana na sifa za sifa za faili katika mtandao wa wingu wa Mtandao wa Usalama wa Kaspersky na uchambuzi wa tabia unaofanywa na sehemu ya "ufuatiliaji wa shughuli". KART for Business inaweza kutumika na yoyote antivirus ya mtu wa tatu, lakini mpango huu haukubaliani na ufumbuzi wa Kaspersky Lab, kwa kuwa tayari unajumuisha utendaji sawa.

KART huendesha chinichini na haitumii rasilimali za mfumo kwa kiwango chochote kinachoonekana. Mipangilio ya programu ni ndogo na haiathiri tambazo halisi. Daima hufanywa kupitia mtandao wa wingu wa KSN, na mtumiaji huarifiwa tu kuhusu vitisho vilivyogunduliwa.

Ikiwa unaona kichochezi cha programu kuwa ya uwongo, unaweza kuiongeza kwenye orodha ya vighairi kwa kubofya Dhibiti Programu... lakini ni bora kufikiria mara mbili.

Ugunduzi wowote huchukua muda, kwa hivyo KART huhifadhi historia ya shughuli za programu ikiwa Trojan itaweza kufanya mabadiliko fulani kwenye mfumo kabla ya kuzuiwa.

Inapozinduliwa kwenye kompyuta ambayo tayari imeambukizwa, Kaspersky Anti-Ransomware Tool for Business hutambua kiotomatiki faili zilizosimbwa kwa Trojan na kuziweka kwenye hifadhi tofauti kwa uhamisho unaofuata kwa wataalamu kwa ajili ya kusimbwa.

Bitdefender Anti-Ransomware Tool

Programu nyingine yenye jina la kujieleza kutoka kwa kampuni ya Kiromania Bitdefender. BART inaweza kutumika kwa sambamba na antivirus yoyote, isipokuwa yale yaliyoundwa na Bitdefender - tayari wana moduli zinazofanana. Kwa nje, BART hufanya kazi sawa na KART. Zina kanuni za kawaida zilizotajwa za kugundua Trojans zinazojulikana na mpya kupitia mtandao wa chapa uthibitishaji wa wingu na uchanganuzi wa tabia. Msanidi anabainisha kuwa BART inategemea mbinu za kukabiliana na familia nne kuu za Trojans usimbaji: CTB-Locker, Locky, Petya na TeslaCrypt.

Labda hii ndio huduma inalinda dhidi yake, lakini hata kufahamiana kwa muda mfupi na BART kuliacha hisia zisizofurahi. Hakuweza kuzuia uzinduzi wa Trojan ya kwanza, na saini yake kwa muda mrefu imekuwa kwenye hifadhidata za Bitdefender. Trojan ilijiandikisha katika kuanza kiotomatiki bila matatizo yoyote na kuanza kutawala mfumo, wakati BART ilionyesha mwanga wa kijani.

Kukagua farasi zawadi

Ikiwa Trojan ya ransomware inaendesha kwenye mfumo na itaweza kufanya mabaya mengi, basi usiogope na usijaribu kuiondoa kwenye mfumo wa uendeshaji unaoendesha. Sasa kompyuta yako ni eneo la uhalifu ambapo athari zote lazima zihifadhiwe.

Kinyume na methali, katika kesi ya waandishi wa maandishi na farasi wa zawadi, unahitaji kuangalia kila kitu - disassembler na mhariri wa hex. Ni bora kukabidhi hii kwa wachambuzi maabara ya antivirus, kwa kuwa watakuwa wakisoma sampuli mpya ya programu hasidi kwa vyovyote vile. Mara nyingi unaweza kupata vidokezo katika msimbo vinavyokusaidia kukuza njia ya kusimbua faili. Kwa hivyo, chini ya hali yoyote unapaswa kumpiga farasi hadi itafutwa kabisa. Ihifadhi tu kwa kuiondoa kutoka kwa autorun na kuiweka kwenye kumbukumbu na nenosiri.

Ni makosa katika msimbo wa Trojan ambayo husaidia kupata ufunguo kwa kasi zaidi kuliko miaka 100-500 elfu, kama ingekuwa kesi ikiwa waandishi wake wangetekeleza AES-256 kwa usahihi. Kiwango hiki cha usimbuaji mara nyingi hutajwa na waundaji wa Trojans katika vitisho vyao. Inaaminika kuwa hii itawashawishi wahasiriwa kuwa haiwezekani kufuta faili bila ufunguo, lakini kwa kweli Trojans nyingi zinategemea algorithms rahisi.

Kwa programu hasidi ambayo kwa kweli ilijaribu kutumia AES, kwa sababu ya dosari kubwa, seti ya funguo zinazowezekana hupunguzwa hadi kiasi kwamba inaweza tayari kutatuliwa kwenye kompyuta ya kawaida ya kibinafsi kwa siku chache au hata masaa. Miongoni mwa ransomware pia kuna anuwai ambazo haziitaji sifa zozote maalum kusimbua. Huhifadhi ufunguo ndani ya nchi, au "usimbuaji" wote unatokana na operesheni isiyo ngumu zaidi kuliko XOR.

Mtaalamu wa Emsisoft, Fabian Wosar mara nyingi hutania kwenye blogu yake kwamba kuvunja algoriti ya usimbaji fiche ya Trojan nyingine ndogo kulimchukua muda mfupi kuliko kuandika madai ya fidia kutoka kwa waandishi wake. Anachapisha huduma za usimbuaji faili bila malipo kwenye wavuti ya kampuni.

Hakuna programu ya kusimbua kwa wote, kwa hivyo unapaswa kuchagua inayofaa katika kila kesi maalum. Watengenezaji wengine wa programu za antivirus pia wana katalogi zao za huduma za usimbuaji bila malipo. Kwa mfano, katika Kaspersky Lab hizi ni programu zote zilizo na Decryptor kwa jina. Huduma za kusimbua pia zinaweza kupatikana kwenye tovuti ya mradi wa pamoja wa No More Ransom. Ilizinduliwa kwa mpango wa Kitengo cha Kitaifa cha Uhalifu wa Mtandao cha Polisi ya Uholanzi, Kituo cha Uhalifu wa Mtandao cha Ulaya Europol na kampuni mbili za antivirus - Kaspersky Lab na Intel Security.

Unapaswa kuanza kwa kutafuta huduma za bure kwenye tovuti hizi, lakini nini cha kufanya ikiwa moja unayohitaji haipatikani kati yao? Kwa bahati mbaya, hii pia inawezekana sana. Matoleo mapya ya Trojans ya usimbuaji huonekana kila mara, na sio zote huvunjika mara moja au mbili. Wachambuzi wanaweza kuchakata sampuli za mtu binafsi kwa zaidi ya mwezi mmoja. Mara kwa mara, pia hutokea kwamba njia ya decryption haiwezi kugunduliwa kabisa. Hii ni matokeo ya usimbuaji wa hali ya juu (nadra sana), au, kinyume chake, msimbo wa Trojan uliopotoka zaidi, algorithm ambayo inaharibu faili na, kimsingi, haimaanishi usimbuaji sahihi.

Ikiwa huduma za bure zinazojulikana hazikusaidia, basi unaweza kutuma barua kwa Fabian, kuunda ombi kwenye huduma ya Crypto Sheriff, na wakati huo huo uandike kwa usaidizi wa kiufundi wa Emsisoft na makampuni mengine ya antivirus.

Kwa hali yoyote, programu hasidi mpya inapaswa kutumwa kwa wachambuzi wa virusi. Kwa kuongeza, ni bora kuwatuma sio tu faili ya Trojan yenyewe, lakini pia faili zote zilizoundwa nayo faili za muda na sampuli tatu hadi tano za faili zilizosimbwa. Ikiwa una matoleo asili (yasiyosimbwa) ya faili sawa mahali fulani kwenye nakala zako, basi ziambatishe kwa ombi. Jozi zinazolingana" maandishi wazi/ ciphertext" ni mojawapo ya mbinu kuu za uchanganuzi wa siri. Kadiri jozi kama hizo unavyoweza kupata, ndivyo njia ya usimbuaji itapatikana haraka.

Zaidi ya hayo, wachambuzi hufanya mashambulizi sawa kwenye maandishi yanayojulikana kwa kutumia vichwa vya kawaida vya faili. Kwa mfano, kwa faili za .doc ni D0 CF 11 E0 A1 B1 1A E1, na kwa picha.png ni 89 50 4E 47 0D 0A 1A 0A. Tazama jedwali la saini za faili kwa maelezo zaidi. Faili za maandishi (TXT) zina maudhui nasibu kabisa, na kuzifanya kuwa ngumu zaidi kusimbua.

Katika uzoefu wangu, Dr.Web na Kaspersky Lab ni bora katika kufuta faili. Ikiwa una leseni halali ya bidhaa zao zozote za kibiashara, basi wachanganuzi watasimbua faili zako bila malipo. Ikiwa wewe si mtumiaji wao, basi kwa pesa. Kama sheria, huduma ya usimbuaji hugharimu mara kadhaa zaidi ya leseni ya antivirus ya kila mwaka, lakini sera kama hiyo inaeleweka. Cryptanalysis, hasa katika kesi ya AES na RSA, inachukua muda mwingi, ambayo hutumiwa vyema na wataalamu wanaosaidia wateja wao wa kawaida.

Mnamo Oktoba, mmoja wa wasomaji wetu alipata marekebisho mapya ya Trojan ya usimbaji fiche na wakati huo huo aliwasiliana na usaidizi wa kiufundi kutoka kwa makampuni mbalimbali.

Siku tatu baadaye alipata jibu kutoka kwa Dk.Web: “Suluhisho limepatikana. Decryption inawezekana. Kwa watumiaji wasio wa Dr.Web, huduma inalipwa. Njia ya kupata usimbuaji imewashwa kwa misingi ya kibiashara: ununuzi wa Dr.Web Rescue Pack gharama ya rubles 5,299 bila VAT. Kifurushi cha Uokoaji cha Dr.Web kinajumuisha huduma ya kusimbua na leseni ya Nafasi ya Usalama ya Dr.Web kwa miaka miwili ili kulinda Kompyuta moja."

Msomaji hakuridhika na bei, hivyo alianza kusubiri majibu kutoka kwa makampuni mengine. Karibu mwezi mmoja baadaye, ilionekana kwenye wavuti ya Kaspersky Lab toleo jipya matumizi ya bure ya RannohDecryptor, ambayo alitumia kusimbua faili zake.

Usimbuaji ulifanyika ndani ya nchi na, kwa kuzingatia mzigo wa muda mrefu wa 100% wa CPU, kwa kutumia mbinu ya kutumia nguvu. Usimbuaji kamili wa faili 565 ulichukua saa tisa na nusu kwenye eneo-kazi la Core i5. Faili moja pekee ndiyo iliyosalia bila kusimbwa, ambayo iligeuka kuwa nakala ya nyingine.

hitimisho

Trojans za Usimbaji huleta matatizo mengi, na kukulazimisha kutumia muda mwingi na/au pesa kusimbua faili zako. Antivirus rahisi haitoshi kupigana nao. Hivi karibuni au baadaye, atakosa programu hasidi ambayo saini yake bado haijawekwa kwenye hifadhidata. Kwa hivyo, inafaa kuchukua hatua za ziada za kinga hivi sasa. Kuna chaguzi nyingi za bure kati yao, lakini ufanisi wao bado unaacha kuhitajika. Kwa uchache, inafanya akili kufanya nakala rudufu mara kwa mara na kupunguza ufikiaji wao, na pia kufanya uteuzi wa huduma za usimbuaji mapema.

Ilisasishwa mwisho mnamo Februari 15, 2017.

Je! unajua virusi vya ukombozi ni nini? Na inawezaje kudhuru biashara yako?

Wasimbaji fiche ni Trojan horse wanaotua kwenye kompyuta yako, kufunga na kusimba faili zako kwa njia fiche, na kisha kulipia malipo kwa kusimbua.

Virusi vya usimbaji fiche wamekuwa wafalme halisi wa ulimwengu wa uhalifu wa mtandao. Trojans hugoma wakati mbaya zaidi, wakati taarifa inahitajika kwa haraka sana kwamba inaonekana rahisi kulipa. Watumiaji na makampuni hulipa kiasi kikubwa cha pesa ili kurejesha data zao za kibinafsi.

Kiasi cha ukombozi kwa watumiaji wa kawaida inaweza kufikia makumi ya maelfu ya rubles, na kwa makampuni makubwa kuhusu rubles milioni kadhaa. Lakini mara 9 kati ya 10, kulipa haitatatua tatizo, na tatizo sawa linaweza kutokea tena. Na ikiwa mtandao mzima wa ushirika umeambukizwa na virusi, basi biashara yako inaweza kuwa nje ya utaratibu kwa muda mrefu, na siku moja tu ya kupungua inaweza kuwa na gharama kubwa sana kwa kampuni.

Ili kuzuia maafa, tumia suluhisho kwa ulinzi wa kina mtandao wa ushirika wenye ulinzi uliojengewa ndani dhidi ya programu ya ukombozi.

Wacha tuangalie jinsi inavyofanya kazi wakati Kaspersky Endpoint Security kwa Windows imewekwa kwenye kompyuta zote kwenye mtandao wako wa ushirika, kudhibitiwa kupitia Kituo cha Usalama cha Kaspersky.

Fungua seva Utawala wa Kaspersky Kituo cha Usalama. Nenda kwa Kompyuta zinazosimamiwa.

Kisha nenda kwa mali ya sera inayotumika kwa Usalama wa Mwisho wa Kaspersky

Katika vipengele hivi, wezesha ufuatiliaji wa mfumo, wezesha matumizi ya BSS na mifumo hatari ya tabia kwenye kompyuta zote kwenye mtandao wako.

Ni hayo tu! Kompyuta zako zinalindwa kwa uaminifu kutoka kwa ransomware, usisahau kusanidi sasisho otomatiki hifadhidata za antivirus.

Jihadharini na usalama wa mtandao wako wa shirika na.
Katika duka yetu ya mtandaoni unaweza kununua kila kitu unachohitaji ili kujilinda na biashara yako kutoka kwa virusi vya encryption, kwa mfano.