เครื่องมือ Kaspersky Anti-Ransomware สำหรับธุรกิจ - เครื่องมือที่พัฒนาโดย Kaspersky Lab เพื่อปกป้อง คอมพิวเตอร์ที่ใช้วินโดวส์จากการกระทำของแรนซัมแวร์
โปรแกรมโทรจันที่ออกแบบมาเพื่อขู่กรรโชกเงินจากเหยื่อเรียกว่าแรนซัมแวร์ สิ่งเหล่านี้ยังรวมถึงแรนซัมแวร์ซึ่งแพร่หลายเมื่อเร็วๆ นี้
กิจกรรมที่เป็นอันตรายของภัยคุกคามเหล่านี้มีจุดมุ่งหมายเพื่อบล็อกการทำงานของคอมพิวเตอร์หรือเข้ารหัสข้อมูลบนดิสก์และบล็อกการเข้าถึง ไฟล์สำคัญ- เป็นผลให้ผู้โจมตีเรียกร้องค่าธรรมเนียมเพื่อยกเลิกการเปลี่ยนแปลงที่เกิดขึ้นโดยโปรแกรมโทรจันบนคอมพิวเตอร์ของเหยื่อ สิ่งนี้นำไปสู่การสูญเสียที่สำคัญ โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร
ฟรี เครื่องมือแคสเปอร์สกี้เครื่องมือป้องกันแรนซัมแวร์สำหรับธุรกิจเข้ากันได้กับบุคคลที่สาม โปรแกรมป้องกันไวรัสและสามารถทำหน้าที่เป็นการป้องกันเพิ่มเติมต่อแรนซัมแวร์และแรนซัมแวร์โดยใช้เทคโนโลยีขั้นสูง
คุณสมบัติหลักของเครื่องมือ Kaspersky Anti-Ransomware สำหรับธุรกิจ
- ฟรีและ วิธีแก้ปัญหาที่ง่าย
- การตรวจจับแรนซัมแวร์โซลูชันธุรกิจระดับพรีเมียม (KES) สำหรับวินโดวส์)
- เทคโนโลยีความปลอดภัย: เครือข่ายคลาวด์ แคสเปอร์สกี้ ซีเคียวริตี้เครือข่าย + “การตรวจสอบกิจกรรม”
- เข้ากันได้กับบุคคลที่สาม โซลูชั่นป้องกันไวรัส
- รองรับระบบยอดนิยม: ตั้งแต่ Windows 7 ถึง 10 รวมถึงระบบปฏิบัติการเซิร์ฟเวอร์ Windows Server
- รายงานการตรวจจับโดย อีเมลสำหรับผู้ดูแลระบบ
เทคโนโลยีการป้องกัน
เครื่องมือ Kaspersky Anti-Ransomware เพื่อปกป้องคอมพิวเตอร์ที่เปิดอยู่ ใช้ระบบปฏิบัติการ Windowsใช้วิธีการตรวจจับภัยคุกคามต่างๆ เครื่องมือระบุ แอปพลิเคชันที่เป็นอันตรายขึ้นอยู่กับข้อมูลที่มีอยู่ในฐานข้อมูลต่อต้านไวรัส เครื่องมือนี้ใช้เทคโนโลยีปฏิวัติวงการสองรายการเพื่อระบุลักษณะการทำงานของแรนซัมแวร์: Kaspersky Security Network และ Activity Monitor
Kaspersky Security Network บนคลาวด์ให้การตอบสนองที่รวดเร็วต่อภัยคุกคามที่ไม่รู้จัก ก โอกาสพิเศษ“การตรวจสอบกิจกรรม” รวมถึงความสามารถในการบล็อกและย้อนกลับการเปลี่ยนแปลงที่เป็นอันตรายต่อระบบ
ขอบคุณผู้ใช้ที่เข้าร่วม Kaspersky Security Network ทำให้ Kaspersky Lab สามารถรวบรวมข้อมูลเกี่ยวกับประเภทใหม่และแหล่งที่มาของภัยคุกคามได้อย่างรวดเร็ว ตลอดจนพัฒนาโซลูชันเพื่อต่อต้านภัยคุกคามเหล่านั้น การเข้าร่วม Kaspersky Security Network เกี่ยวข้องกับการส่งสถิติที่รวบรวมโดย Kaspersky Anti-Ransomware Tool for Business บนคอมพิวเตอร์ของคุณ
Kaspersky Anti-Ransomware Tool สำหรับธุรกิจทำงานอย่างไร
เมื่อตรวจพบภัยคุกคาม Kaspersky Anti-Ransomware Tool จะบล็อกโดยอัตโนมัติและเพิ่มลงในรายการแอปพลิเคชันที่ถูกบล็อก (แอปพลิเคชันที่ถูกบล็อก) ก่อนที่จะบล็อก แรนซัมแวร์อาจมีเวลาในการดำเนินการที่ไม่ต้องการในระบบปฏิบัติการ (เช่น สร้างหรือแก้ไขไฟล์ หรือเปลี่ยนแปลงรีจิสทรี) หากต้องการย้อนกลับการทำงานของโปรแกรมที่เป็นอันตราย Kaspersky Anti-Ransomware Tool จะจัดเก็บประวัติกิจกรรมของแอปพลิเคชัน
Kaspersky Anti-Ransomware Tool จะวางไฟล์ที่สร้างโดยมัลแวร์ในพื้นที่จัดเก็บข้อมูลพิเศษ ไฟล์ที่อยู่ในพื้นที่จัดเก็บสามารถกู้คืนได้โดยผู้เชี่ยวชาญของ Kaspersky Lab หากจำเป็นต้องกู้คืนไฟล์จากที่เก็บข้อมูล ขอแนะนำให้ขอคำแนะนำจากฟอรัมนักพัฒนา
ก่อนที่จะติดต่อฝ่ายสนับสนุนด้านเทคนิค คุณต้องทำความคุ้นเคยก่อน
เมื่อเร็ว ๆ นี้ ไวรัสแรนซัมแวร์ที่เข้ารหัสได้กลายเป็นหนึ่งในภัยคุกคามหลัก และทุกวันเราได้เรียนรู้เกี่ยวกับการโจมตีใหม่ ๆ ไวรัสแรนซัมแวร์ใหม่ ๆ หรือเวอร์ชันของพวกเขา และน่าเสียดายเกี่ยวกับเหยื่อที่อาชญากรไซเบอร์เรียกร้องค่าไถ่เพื่อเข้าถึงข้อมูลที่เข้ารหัสอีกครั้ง ดังนั้น Kaspersky Lab ในส่วนประกอบ System Watcher (Activity Monitoring) ผลิตภัณฑ์ใหม่ล่าสุดรวมระบบย่อยพิเศษเพื่อต่อสู้กับมัลแวร์เข้ารหัส โปรแกรมแคสเปอร์สกี้ระบบย่อยมาตรการตอบโต้ Cryptomalware ต้องขอบคุณชุดเทคโนโลยีที่เป็นเอกลักษณ์ ในลัตเวียและทั่วโลกในหมู่ผู้ใช้ผลิตภัณฑ์ล่าสุดของ Kasperskyผู้ที่ใช้โอกาสที่ได้รับจากผลิตภัณฑ์อย่างถูกต้อง แทบไม่มีเหยื่อของการโจมตีด้วยการเข้ารหัสแรนซัมแวร์เลย!และนี่ไม่ใช่เวทย์มนตร์หรือการสมรู้ร่วมคิดอย่างที่ผู้เชี่ยวชาญบางครั้งพูดเมื่อเห็นว่าแฟน ๆ ของผลิตภัณฑ์ Kaspersky ต่างจากผู้ใช้โปรแกรมป้องกันไวรัสอื่น ๆ ที่ยังคงไม่ได้รับอันตรายจากการโจมตีด้วยการเข้ารหัสไวรัสแรนซัมแวร์ สิ่งเหล่านี้เป็นเพียงเทคโนโลยีที่คิดค้นและดำเนินการโดยนักพัฒนา Kaspersky Lab!
ผลิตภัณฑ์ใดบ้างที่รวม System Watcher และระบบย่อยมาตรการตอบโต้ Kaspersky Cryptomalware
มีเทคโนโลยีพิเศษเพื่อต่อสู้กับการเข้ารหัสไวรัสแรนซัมแวร์รวมอยู่ด้วย รุ่นปัจจุบันผลิตภัณฑ์ต่อไปนี้ตามรายการด้านล่างสำหรับ ระบบปฏิบัติการ Windows หรือส่วนประกอบของ Windows
ผลิตภัณฑ์สำหรับธุรกิจขนาดเล็ก:
ผลิตภัณฑ์รักษาความปลอดภัยระดับองค์กร:
* สินค้าทั้งหมด ทดลองใช้ฟีเจอร์เต็มรูปแบบฟรี 30 วันด้วยการสนับสนุนทางเทคนิคในท้องถิ่น เพื่อลองติดตั้งดูเช่นกัน
System Watcher และระบบย่อยตอบโต้ Kaspersky Cryptomalware ทำงานอย่างไร
Kaspersky Lab ประมวลผลตัวอย่างมัลแวร์ใหม่โดยเฉลี่ย 315,000 ตัวอย่างทุกวัน ด้วยของใหม่หลั่งไหลเข้ามามากมาย มัลแวร์บริษัทแอนตี้ไวรัสมักต้องปกป้องผู้ใช้จากการโจมตีของมัลแวร์ที่พวกเขายังไม่รู้จัก ในการเปรียบเทียบในโลกแห่งความเป็นจริง สิ่งนี้จะเหมือนกับการระบุตัวอาชญากรก่อนที่จะได้รับลายนิ้วมือ รูปถ่าย และข้อมูลอื่นๆ ของเขา ทำอย่างไร? การสังเกตและวิเคราะห์พฤติกรรม นี่คือสิ่งที่ส่วนประกอบที่สร้างขึ้นในผลิตภัณฑ์ล่าสุดของ Kaspersky Lab ทำ โดยตรวจสอบระบบคอมพิวเตอร์อย่างต่อเนื่อง ที่เรียกว่า System Watcher
System Watcher สังเกตกระบวนการที่เกิดขึ้นในระบบและตรวจจับ การกระทำที่เป็นอันตรายโดยใช้ Behavior Stream Signatures (BSS) และช่วยให้คุณสามารถระบุและหยุดมัลแวร์ใหม่และที่ไม่รู้จักโดยสมบูรณ์ตามพฤติกรรมของพวกมัน แต่นั่นไม่ใช่ทั้งหมด จนกว่าจะชัดเจนว่าโปรแกรมเป็นอันตราย อาจมีเวลาทำอะไรบางอย่าง ดังนั้นคุณสมบัติอื่นของ System Watcher ก็คือความสามารถในการย้อนกลับการเปลี่ยนแปลงในระบบที่ทำโดยโปรแกรมที่เป็นอันตราย
เพื่อย้อนกลับการเปลี่ยนแปลงที่ทำโดยมัลแวร์เข้ารหัสตัวใหม่ ผู้เชี่ยวชาญของ Kaspersky Lab ได้เพิ่มระบบย่อยสำหรับต่อสู้กับไวรัสที่เข้ารหัสลงในส่วนประกอบ System Watcher ระบบย่อย Kaspersky Cryptomalware Countermeasures Subsystem ซึ่งจะสร้างสำเนาสำรองของไฟล์หากไฟล์ถูกเปิดโดยโปรแกรมที่น่าสงสัย และ จะกู้คืนในภายหลังหากจำเป็นจากสำเนาที่บันทึกไว้ ดังนั้นแม้ว่าไวรัสที่เข้ารหัสจะเป็นของใหม่นั่นคือโปรแกรมป้องกันไวรัสไม่มี "ลายนิ้วมือ" และไม่ได้ระบุโดยกลไกอื่น ๆ System Watcher จะตรวจจับมันตามพฤติกรรมของมันและส่งคืนโดยใช้ระบบย่อยที่กล่าวถึงแล้ว ระบบคอมพิวเตอร์กับสถานะที่เป็นอยู่ก่อนการโจมตีของมัลแวร์
การรับรู้มัลแวร์เข้ารหัสที่ไม่รู้จักจากพฤติกรรม การหยุดการทำงานของมัน และการย้อนกลับการเปลี่ยนแปลงที่ทำขึ้น (การแทนที่ไฟล์ที่เข้ารหัสด้วยสำเนาที่ไม่ได้เข้ารหัส) สามารถดูได้ในวิดีโอสาธิตด้านล่าง
นี่ต้องขออธิบายว่าทุกคน ผู้ใช้เฉพาะสถานการณ์ที่จำเป็นต้องใช้ระบบย่อย Kaspersky Cryptomalware Countermeasures สามารถเกิดขึ้นได้น้อยมาก เนื่องจากข้อมูลเกี่ยวกับแต่ละเหตุการณ์ที่มีโปรแกรมที่เป็นอันตรายที่ไม่รู้จักจะไปถึงคลาวด์ Kaspersky Security Network ในเวลาไม่กี่วินาที และผู้ใช้โซลูชัน Kaspersky รายอื่นนับจากช่วงเวลานั้นได้รับการปกป้องแล้ว ต่อภัยคุกคามใหม่ด้วยระบบตรวจจับล่วงหน้า ซึ่งหมายความว่าความพยายามใดๆ ที่จะแพร่ไวรัสไปยังคอมพิวเตอร์ของผู้ใช้ Kaspersky จะถูกบล็อกโดยลายเซ็นก่อนหน้านี้ เป็นการกระทำของกลไกพิเศษดังกล่าวที่อธิบายความจริงที่ว่าในลัตเวียไม่มีการบาดเจ็บล้มตายในหมู่ผู้ใช้ผลิตภัณฑ์ Kaspersky ล่าสุด เนื่องจากทำงานเหมือนกับระบบภูมิคุ้มกันทั่วโลกสำหรับผู้ใช้ Kaspersky ทั้ง 400 ล้านคนทั่วโลก!
ข้อมูลเพิ่มเติมเกี่ยวกับ System Watcher และระบบย่อยตอบโต้ Kaspersky Cryptomalware ได้ที่ ภาษาอังกฤษสามารถพบได้ในเอกสาร PDF:
คุณต้องรู้อะไรอีกบ้างเกี่ยวกับ System Watcher และระบบย่อยตอบโต้ Kaspersky Cryptomalware
System Watcher และระบบย่อย Kaspersky Cryptomalware Countermeasures โดยอัตโนมัติจะถูกเปิดใช้งานตามค่าเริ่มต้นตามการตั้งค่าเริ่มต้นของผู้ผลิต หลังจากติดตั้งผลิตภัณฑ์แล้ว ผู้ใช้ไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมเพื่อใช้เทคโนโลยีที่อธิบายไว้ข้างต้น
ควรสังเกตเป็นพิเศษว่า System Watcher ไม่รวมอยู่ในนั้น ผลิตภัณฑ์แคสเปอร์สกี้ โปรแกรมป้องกันไวรัสสำหรับ Windows Workstation 6.0 (เปิดตัวปี 2550) ซึ่งยังคงมีการใช้งานเป็นครั้งคราว ผู้ใช้ผลิตภัณฑ์นี้ได้รับการสนับสนุนให้ใช้ประโยชน์จากการอัพเกรดฟรีเป็นมากขึ้น แคสเปอร์สกี้ใหม่ การรักษาความปลอดภัยปลายทางสำหรับวินโดวส์ ผู้ใช้ที่ถูกกฎหมายสามารถดาวน์โหลดและติดตั้งผลิตภัณฑ์เวอร์ชันล่าสุดได้ฟรี เช่น จากส่วน " " ของไซต์นี้
โทรจัน Ransomware เป็นมัลแวร์ประเภทพิเศษที่สร้างขึ้นเพื่อการขู่กรรโชก (ransomware) การวิ่งครั้งใหญ่ของพวกเขาได้รับการลงทะเบียนครั้งแรกเมื่อปลายปี พ.ศ. 2549 กว่าสิบปีที่ผ่านมาสถานการณ์แทบไม่เปลี่ยนแปลง ทุกวันนี้ ตัวอย่างใหม่ของโทรจันยังคงเข้ารหัสไฟล์ภายใต้ซอฟต์แวร์ป้องกันไวรัสและเรียกร้องการชำระเงินสำหรับการถอดรหัส ใครจะตำหนิเรื่องนี้และที่สำคัญที่สุดคือต้องทำอย่างไร?
หากโทรจันเข้ารหัสไฟล์ของคุณ ให้ปิดคอมพิวเตอร์ของคุณทันที! จากนั้นพยายามรวบรวมข้อมูลให้ได้มากที่สุด ตามหลักการแล้วคุณต้องสร้างดิสก์อิมเมจแบบเซกเตอร์ต่อเซกเตอร์แล้ววิเคราะห์สถานการณ์อย่างใจเย็น
โทรจันแรนซัมแวร์คืออะไร?
ปัจจุบัน ผู้ใช้ส่วนใหญ่มีโปรแกรมป้องกันไวรัสยอดนิยมหรืออย่างน้อยก็ MSRT ซึ่งเป็น “เครื่องมือกำจัดมัลแวร์” ที่มีอยู่ใน Windows อย่างไรก็ตาม แรนซัมแวร์จะทำงานอย่างเงียบๆ เข้ารหัสไฟล์ และฝากข้อความเรียกค่าไถ่ไว้ โดยปกติแล้วพวกเขาสัญญาว่าจะส่งรหัสถอดรหัสหลังการชำระเงินด้วยวิธีกึ่งไม่ระบุชื่อ ตัวอย่างเช่น ไปที่หน้า Tor ผ่าน Tor พร้อมคำแนะนำเพิ่มเติมแล้วโอนค่าไถ่ไปที่ ไม่มีหมายเลขกระเป๋าสตางค์
แอนติไวรัสตอบสนองต่อสิ่งนี้น้อยมากจนนักพัฒนาของพวกเขาถูกกล่าวหาว่าสมรู้ร่วมคิดด้วยซ้ำ นี่ไม่ใช่ครั้งแรกที่นักไวรัสวิทยาถูกสงสัยว่ามีจุดประสงค์ทางอาญา แต่ในทางเทคนิคแล้ว ทุกอย่างได้รับการอธิบายให้เข้าใจง่ายขึ้นที่นี่ ความจริงก็คือโทรจัน ransomware ไม่ได้ดำเนินการใด ๆ ที่ระบุอย่างชัดเจน กิจกรรมที่เป็นอันตราย- Sam เป็นโปรแกรมง่ายๆ ที่มีชุดไลบรารี จุดประสงค์ทั่วไป- บางครั้งก็เป็นเพียงสคริปต์หรือแบตช์ไฟล์ที่เรียกใช้ยูทิลิตี้พกพาอื่นๆ มาดูรายละเอียดเพิ่มเติมเกี่ยวกับอัลกอริทึมทั่วไปของการกระทำของแรนซัมแวร์
โดยปกติแล้วผู้ใช้จะดาวน์โหลดและรันแรนซัมแวร์ด้วยตัวเอง โทรจันถูกส่งไปยังเหยื่อภายใต้หน้ากากของการอัพเดต ยูทิลิตี้ที่จำเป็นเอกสารที่มีลิงก์ฟิชชิ่งและวิธีการอื่นๆ ที่รู้จักกันมานาน วิศวกรรมสังคม- แอนติไวรัสไม่มีอำนาจต่อความไร้เดียงสาของมนุษย์
โทรจันเข้ารหัสที่เข้าสู่ระบบสามารถระบุได้ด้วยลายเซ็นเฉพาะเมื่อมีอยู่ในฐานข้อมูลแล้วเท่านั้น เห็นได้ชัดว่าไม่มีตัวอย่างใหม่อยู่ในนั้น และการแก้ไขโทรจันเก่าจะถูกตรวจสอบเพิ่มเติมเพื่อการตรวจจับก่อนแจกจ่าย
หลังจากที่โทรจันเปิดตัว ตัววิเคราะห์พฤติกรรมของโปรแกรมป้องกันไวรัสจะเงียบ เนื่องจากจากมุมมองของมัน ไม่มีการดำเนินการที่อาจเป็นอันตราย บางโปรแกรมค้นหาไฟล์ด้วยมาสก์? ใช่โปรด! สร้างสำเนาของไฟล์? ไม่มีปัญหา! มันเข้ารหัสสำเนาหรือไม่? นี่ก็ไม่มีเหตุผลที่จะต้องตื่นตระหนก โปรแกรมสมัยใหม่ส่วนใหญ่รองรับฟังก์ชันการเข้ารหัส และโทรจันใช้ไลบรารีการเข้ารหัสมาตรฐานเดียวกัน มันจะลบไฟล์ผู้ใช้หรือไม่? สิ่งนี้ไม่ได้รับอนุญาตเช่นกัน - สิ่งเหล่านี้ไม่ใช่ระบบ พื้นที่ว่างล้นหลาม? การลบอย่างปลอดภัยยังเป็นคุณสมบัติยอดนิยมและถูกกฎหมายอีกด้วย มันถูกเพิ่มเข้าไปในการทำงานอัตโนมัติหรือไม่? นี่เป็นพฤติกรรมที่ได้รับอนุญาตเช่นกัน
แตกต่างจากไวรัสคลาสสิก โทรจันแรนซัมแวร์ไม่ได้พยายามแก้ไขไฟล์ ไม่แทรกตัวเองเข้าไปในกระบวนการที่ทำงานอยู่ และโดยทั่วไปจะมีพฤติกรรมน่าเบื่อ มันเพียงสร้างสำเนาของเอกสารและฐานข้อมูล เข้ารหัส จากนั้นลบไฟล์ต้นฉบับและคีย์การเข้ารหัสของผู้ใช้อย่างถาวร โดยทิ้งข้อความเรียกค่าไถ่ไว้ ไม่ว่าในกรณีใด ผู้เขียนโทรจันต้องการเห็นพฤติกรรมในอุดมคตินี้อย่างชัดเจน ในความเป็นจริง ห่วงโซ่ของกระบวนการนี้อาจล้มเหลวในขั้นตอนใดก็ได้ ซึ่งทำให้เป็นไปได้ วิธีการทางเลือกใบรับรองผลการเรียน
โปรแกรมป้องกันไวรัสทั่วไปไม่สามารถต่อสู้กับผู้เข้ารหัสรายใหม่ที่ไม่มีลายเซ็นอยู่ในฐานข้อมูลได้ พวกเขาสามารถรับรู้เฉพาะการแก้ไขที่หยาบที่สุดในระดับการศึกษาสำนึกเท่านั้น โซลูชั่นที่สมบูรณ์(เช่น Dr.Web พื้นที่รักษาความปลอดภัยและ แคสเปอร์สกี้ อินเตอร์เน็ตความปลอดภัย/ ความปลอดภัยโดยรวม) รู้วิธีกำจัดผลที่ตามมาจากการทำลายล้างอยู่แล้ว พวกเขาสร้างสำเนาของไฟล์ผู้ใช้ล่วงหน้า ซ่อนและบล็อกการเข้าถึง โปรแกรมของบุคคลที่สาม- หากโทรจันเข้าถึงรูปถ่ายและเอกสารจากไดเร็กทอรีมาตรฐาน คุณสามารถกู้คืนจากสำเนาได้ตลอดเวลา และเพียงแค่ลบไฟล์ที่เข้ารหัสเท่านั้น
เนื่องจากแอนตี้ไวรัสคอมเพล็กซ์โหลดไดรเวอร์และโมดูลการป้องกันผู้อยู่อาศัยก่อนที่ผู้ใช้จะเข้าสู่ระบบด้วยซ้ำ นี่ก็ค่อนข้างจะดี วิธีการที่เชื่อถือได้พื้นที่จัดเก็บ สำเนาสำรอง- อย่างไรก็ตาม สามารถทำได้โดยใช้โปรแกรมอรรถประโยชน์ของบุคคลที่สาม สิ่งสำคัญคือวางไว้บนสื่อภายนอกซึ่งจะถูกปิดใช้งานทันทีหลังจากสร้างการสำรองข้อมูล มิฉะนั้นโทรจันจะตรวจจับการสำรองข้อมูลบนฮาร์ดไดรฟ์ที่เชื่อมต่ออย่างถาวรและยังเข้ารหัสหรือสร้างความเสียหายอีกด้วย
จากโปรแกรมสากลสำหรับฟังก์ชั่นการสำรองข้อมูล การป้องกันเพิ่มเติมยูทิลิตี้ Veeam Endpoint Backup Free ฟรีป้องกันมัลแวร์ มันสามารถยกเลิกการเชื่อมต่อไดรฟ์ USB โดยอัตโนมัติทันทีหลังจากการสำรองข้อมูลเสร็จสิ้นและบันทึกไฟล์หลายเวอร์ชัน
คุณสมบัติเพิ่มเติมของโปรแกรม ได้แก่ ความสามารถในการสำรองข้อมูล พาร์ติชันระบบโดยไม่ต้องปิด ( สำเนาเงา) ฟื้นตัวได้แทบจะในทันที แยกไฟล์และแคตตาล็อก (สามารถเปิดได้โดยตรงจากรูปภาพโดยใช้ลิงก์) และตัวเลือกที่น่าสนใจอื่น ๆ นอกจากนี้ยังสามารถสร้างดิสก์สำหรับบูตที่มีสภาพแวดล้อมการกู้คืนของตัวเองในกรณีที่โทรจันบล็อกการทำงานปกติของระบบปฏิบัติการ
นอกเหนือจากยูทิลิตี้สำรองข้อมูลสากลจาก ฟังก์ชั่นเพิ่มเติมการป้องกันแรนซัมแวร์ มีโปรแกรมป้องกันเชิงป้องกันเฉพาะทางจำนวนหนึ่ง บางส่วนมีให้ใช้งานฟรีเฉพาะในขั้นตอนการทดสอบเบต้าเท่านั้น จากนั้นจึงกลายเป็นโมดูลใหม่ โปรแกรมป้องกันไวรัสแบบชำระเงิน(ตัวอย่างเช่น นี่เป็นกรณีของ Malwarebytes Anti-Ransomware) ส่วนโซลูชันอื่นๆ ยังคงมีอยู่เป็นโซลูชันฟรีแยกต่างหาก
GridinSoft โปรแกรมป้องกันแรนซัมแวร์
ยูทิลิตี้ภาษายูเครนสำหรับการป้องกันการติดเชื้อแรนซัมแวร์นี้กำลังอยู่ในการทดสอบเบต้า นักพัฒนาอธิบายว่ามันเป็น การรักษาแบบสากลเพื่อป้องกันความพยายามในการเข้ารหัสไฟล์โดยไม่ได้รับอนุญาต พวกเขาสัญญาว่าจะบล็อกการโจมตีแรนซัมแวร์อย่างมีประสิทธิภาพและป้องกันข้อมูลสูญหายที่เกิดขึ้น ในทางปฏิบัติยูทิลิตี้นี้กลับไร้ประโยชน์ โทรจันแรนซัมแวร์ตัวแรกจากคอลเลกชันเก่าเปิดตัวอย่างเงียบ ๆ ทำงานสกปรกและโพสต์ความต้องการเรียกค่าไถ่บนเดสก์ท็อป
CryptoPrevent การป้องกันมัลแวร์
ยูทิลิตี้นี้ทิ้งความประทับใจที่หลากหลายที่สุด CPMP ดำเนินการเชิงรุกตามชุดนโยบายกลุ่มจำนวนมากและตัวกรองพฤติกรรมหลายรายการ ติดตามการดำเนินการและสถานะของโปรแกรม ไดเร็กทอรีที่กำหนดเอง- มีโหมดการป้องกันหลายโหมด รวมถึงระดับ “สูงสุด” ซึ่งทำงานบนหลักการ “ตั้งค่าแล้วลืมมัน”
อินเทอร์เฟซของโปรแกรมมีให้ เข้าถึงได้รวดเร็วไปยังการตั้งค่าหลายสิบรายการ แต่หลังจากเปลี่ยนการตั้งค่าส่วนใหญ่แล้วจำเป็นต้องรีบูต แอปพลิเคชัน CPMP ไม่จำเป็นต้องทำงานตลอดเวลา จำเป็นต้องเรียกใช้เพื่อตรวจสอบและบำรุงรักษาเท่านั้น ตัวอย่างเช่น เพื่อตรวจสอบสถานะ อ่านบันทึก อัปเดตหรือเปลี่ยนพารามิเตอร์
ในเวลาเดียวกัน ส่วนเสริมแบบกราฟิกใช้เวลานานมากในการเปิดใช้งานและไม่มีการแจ้งเตือนแบบเรียลไทม์ นอกจากนี้ยังไม่มีการกักกันตามปกติ ในโหมด "การป้องกันสูงสุด" ไฟล์ทั้งหมดที่ได้รับการระบุว่าเป็นอันตรายจะถูกลบออกโดยไม่มีคำถาม
เพื่อทดสอบสิ่งนี้ เราได้ลองตั้งค่า CPMP ไปที่ระดับการป้องกันสูงสุด และปล่อยโทรจันแรนซัมแวร์ที่แตกต่างกันเจ็ดตัวตามลำดับ CPMP สามคนถูกลบออกทันทีเมื่อพยายามเปิดตัว ไม่มีข้อความใดปรากฏ อีกสี่คนออกสตาร์ทอย่างปลอดภัยแต่ไปไม่ถึงเส้นชัย CPMP ไม่อนุญาตให้สร้างไฟล์ใหม่และเข้ารหัสไฟล์ผู้ใช้ แต่ก็ไม่ได้ลบออกเช่นกัน โหลดของ CPU 100% ตลอดเวลา ดิสก์หมุนวนและทำอะไรก็ตาม ระบบทดสอบมันเป็นไปไม่ได้
ด้วยความยากลำบาก เราจึงสามารถไปที่ปุ่ม Kill Apps Now ในหน้าต่าง CPMP ได้ หลังจากผ่านไปหนึ่งวินาที โปรแกรมทั้งหมดที่ทำงานในฐานะผู้ใช้ (รวมถึง Process Explorer) จะถูกยกเลิกการโหลดโดยเด็ดขาด ใน หน่วยความจำเข้าถึงโดยสุ่มเหลือเพียงกระบวนการของระบบเท่านั้น
ในระหว่างการต่อสู้ มัลแวร์บางตัวได้เกาะอยู่บนเดสก์ท็อป และโทรจัน Satan.f ได้เพิ่มข้อความเรียกค่าไถ่เพื่อให้ทำงานอัตโนมัติ ในกรณีนี้ ไม่มีไฟล์ใดถูกเข้ารหัส แต่มัลแวร์ก็ไม่ได้ถูกลบออกทั้งหมดเช่นกัน
ผลลัพธ์ที่ได้คือทางตัน: แม้แต่ข้อจำกัดที่เข้มงวดที่สุดก็ไม่รับประกัน การป้องกันที่เชื่อถือได้จากโทรจันแรนซัมแวร์ ในบางกรณี การต่อต้านอย่างแข็งขันต่อพวกเขานำไปสู่ความจริงที่ว่าทั้งหมด ทรัพยากรระบบถูกครอบครองอย่างสมบูรณ์ ไม่มีการแสดงการแจ้งเตือน เป็นไปได้ที่จะเข้าใจสิ่งที่เกิดขึ้นในระบบโดยการวิเคราะห์บันทึกเท่านั้น แต่คุณยังต้องเข้าถึงบันทึกเหล่านั้น
Cybereason Ransom ฟรี
นี่คือเครื่องมือวิเคราะห์พฤติกรรมสำหรับ Windows 7–10 ซึ่งออกแบบมาเพื่อป้องกันการติดไวรัสจากโทรจันแรนซัมแวร์ที่รู้จักและใหม่ รวมถึงแรนซัมแวร์และวินล็อคเกอร์ ตามที่นักพัฒนาระบุว่า โปรแกรมนี้เขียนโดยอดีตผู้เชี่ยวชาญทางทหารในสาขานี้ ความปลอดภัยของข้อมูลซึ่งได้รับเงินลงทุน 90 ล้านดอลลาร์จาก Lockheed Martin และ Softbank
โทรจัน ransomware ตัวแรกเปิดตัว แต่เกิดข้อผิดพลาดทันที อันที่สองก็กลายเป็น กระบวนการที่ใช้งานอยู่ในใจ. Cybereason ระบุมันได้ทันทีและแนะนำว่าไม่เพียงแต่ยกเลิกการโหลดเท่านั้น แต่ยังลบไฟล์ที่สร้างโดยโทรจันด้วย
เครื่องตรวจจับที่สอง โทรจันตัวที่สามก็ถูกบล็อกสำเร็จเช่นกัน Cybereason ไม่อนุญาตให้เขาเข้ารหัสไฟล์ กระบวนการ 58CD2A07 ถูกยกเลิกการโหลด และการตรวจจับ VirusTotal สำหรับ Wininit.exe เพียงครั้งเดียวเป็นผลบวกที่ผิดพลาด
Cybereason พลาดโทรจันสองตัวถัดไป พวกเขาใช้งานได้เพียงไม่กี่วินาที แต่นี่ก็เพียงพอที่จะเอาชนะการป้องกันเชิงรุกได้
Petya เพื่อนเก่าบังคับให้รีบูทคอมพิวเตอร์และบล็อก การเริ่มต้นระบบวินโดวส์และเข้ารหัสไฟล์ น่าเสียดายที่ Cybereason ยอมแพ้อย่างรวดเร็ว เรายังมีม้ามากมายจากทหารม้า!
เครื่องมือ Kaspersky Anti-Ransomware สำหรับธุรกิจ
โปรแกรมฟรีนี้ออกแบบมาเพื่อป้องกันแรนซัมแวร์ทุกประเภท รวมถึงแรนซัมแวร์ใหม่และวินล็อคเกอร์ ทำงานในสมัยใหม่ เวอร์ชันของ Windows(7–10) ของความจุใดๆ โดยจะตรวจจับแรนซัมแวร์เวอร์ชันใหม่ตามคุณลักษณะชื่อเสียงของไฟล์ในเครือข่ายคลาวด์ Kaspersky Security Network และการวิเคราะห์พฤติกรรมที่ดำเนินการโดยส่วนประกอบ “การตรวจสอบกิจกรรม” KART for Business สามารถใช้กับอะไรก็ได้ โปรแกรมป้องกันไวรัสของบุคคลที่สามแต่โปรแกรมนี้เข้ากันไม่ได้กับ การตัดสินใจของตัวเอง Kaspersky Lab เนื่องจากมีฟังก์ชันการทำงานที่คล้ายกันอยู่แล้ว
KART ทำงานในพื้นหลังและไม่ใช้ทรัพยากรระบบในระดับที่เห็นได้ชัดเจน การตั้งค่าของโปรแกรมมีน้อยและไม่ส่งผลต่อการสแกนจริง จะทำโดยผ่านเสมอ เครือข่ายคลาวด์ KSN และผู้ใช้จะได้รับแจ้งเกี่ยวกับภัยคุกคามที่ตรวจพบเท่านั้น
หากคุณพิจารณาว่าทริกเกอร์สำหรับแอปพลิเคชันเป็นเท็จ คุณสามารถเพิ่มทริกเกอร์นั้นลงในรายการข้อยกเว้นได้โดยคลิก จัดการแอปพลิเคชัน... แต่ควรคิดให้รอบคอบก่อน
การตรวจจับใดๆ ก็ตามต้องใช้เวลา ดังนั้น KART จึงจัดเก็บประวัติกิจกรรมของแอปพลิเคชันไว้ในกรณีที่โทรจันทำการเปลี่ยนแปลงบางอย่างกับระบบก่อนที่จะถูกบล็อก
เมื่อเปิดตัวบนคอมพิวเตอร์ที่ติดไวรัสแล้ว Kaspersky Anti-Ransomware Tool for Business จะตรวจจับไฟล์ที่เข้ารหัสโทรจันโดยอัตโนมัติ และจัดเก็บไว้ในที่เก็บข้อมูลแยกต่างหากเพื่อถ่ายโอนไปยังผู้เชี่ยวชาญเพื่อการถอดรหัสในภายหลัง
เครื่องมือ Bitdefender Anti-Ransomware
อีกโปรแกรมที่มีชื่อที่อธิบายตนเองจากบริษัท Bitdefender ของโรมาเนีย BART สามารถใช้ร่วมกับโปรแกรมป้องกันไวรัสใด ๆ ยกเว้นโปรแกรมที่สร้างโดย Bitdefender - มีโมดูลที่เกี่ยวข้องอยู่แล้ว ภายนอก BART ทำงานคล้ายกับ KART พวกเขามีหลักการทั่วไปที่ระบุไว้ในการตรวจจับโทรจันที่รู้จักและใหม่ผ่าน เครือข่ายที่มีตราสินค้าการตรวจสอบระบบคลาวด์และการวิเคราะห์พฤติกรรม นักพัฒนาชี้ให้เห็นว่า BART ขึ้นอยู่กับวิธีการตอบโต้โทรจันเข้ารหัสสี่ตระกูลหลัก: CTB-Locker, Locky, Petya และ TeslaCrypt
บางทีนี่อาจเป็นสิ่งที่ยูทิลิตี้ป้องกัน แต่แม้แต่การรู้จัก BART สั้น ๆ ก็ทำให้เกิดความประทับใจที่ไม่พึงประสงค์ เขาไม่สามารถป้องกันการเปิดตัวโทรจันตัวแรกได้ และลายเซ็นของมันก็อยู่ในฐานข้อมูล Bitdefender มานานแล้ว โทรจันลงทะเบียนตัวเองในการเริ่มอัตโนมัติโดยไม่มีปัญหาใดๆ และเริ่มครอบงำระบบ ในขณะที่ BART แสดงไฟเขียว
ตรวจสอบม้าของขวัญ
หากโทรจันแรนซัมแวร์ทำงานบนระบบและจัดการก่อความเสียหายได้มากมาย อย่าตกใจและอย่าพยายามลบมันออกจากระบบปฏิบัติการที่ทำงานอยู่ ตอนนี้คอมพิวเตอร์ของคุณเป็นสถานที่เกิดเหตุที่ต้องรักษาร่องรอยทั้งหมดไว้
ตรงกันข้ามกับสุภาษิตในกรณีของนักเข้ารหัสที่มีม้าเป็นของขวัญคุณต้องดูทุกอย่าง - ตัวถอดประกอบและตัวแก้ไขเลขฐานสิบหก เป็นการดีกว่าที่จะมอบสิ่งนี้ให้กับนักวิเคราะห์ ห้องปฏิบัติการป้องกันไวรัสเนื่องจากพวกเขาจะศึกษามัลแวร์ตัวอย่างใหม่ไม่ว่าในกรณีใดก็ตาม บ่อยครั้งที่คุณจะพบเบาะแสในโค้ดที่ช่วยคุณพัฒนาวิธีการถอดรหัสไฟล์ ดังนั้นคุณไม่ควรตีม้าจนกว่าม้าจะถอดรหัสสมบูรณ์ไม่ว่าในกรณีใด เพียงรักษาความปลอดภัยโดยลบออกจากการทำงานอัตโนมัติและวางไว้ในไฟล์เก็บถาวรด้วยรหัสผ่าน
เป็นข้อผิดพลาดในรหัสโทรจันที่ช่วยค้นหากุญแจได้เร็วกว่าในช่วง 100-500,000 ปี เช่นเดียวกับในกรณีที่ผู้เขียนใช้ AES-256 อย่างถูกต้อง มาตรฐานการเข้ารหัสนี้มักถูกกล่าวถึงโดยผู้สร้างโทรจันในเรื่องภัยคุกคามของพวกเขา เชื่อกันว่าสิ่งนี้จะทำให้เหยื่อโน้มน้าวใจว่าเป็นไปไม่ได้ที่จะถอดรหัสไฟล์โดยไม่มีคีย์ แต่ในความเป็นจริงแล้ว โทรจันจำนวนมากใช้อัลกอริธึมที่ง่ายกว่า
สำหรับมัลแวร์ตัวเดียวกันที่พยายามใช้ AES จริงๆ เนื่องจากข้อบกพร่องร้ายแรง ชุดของคีย์ที่เป็นไปได้จึงถูกจำกัดให้แคบลงเหลือเพียงปริมาณที่สามารถแยกออกบนคอมพิวเตอร์ส่วนบุคคลธรรมดาได้แล้วภายในไม่กี่วันหรือหลายชั่วโมง ในบรรดาแรนซัมแวร์ยังมีตัวแปรที่ไม่ต้องใช้คุณสมบัติพิเศษในการถอดรหัสอีกด้วย พวกเขาจัดเก็บคีย์ไว้ในเครื่องหรือ "การเข้ารหัส" ทั้งหมดขึ้นอยู่กับการดำเนินการที่ไม่ซับซ้อนกว่า XOR
Fabian Wosar ผู้เชี่ยวชาญของ Emsisoft มักจะพูดติดตลกในบล็อกของเขาว่าการทำลายอัลกอริธึมการเข้ารหัสของโทรจันย่อยตัวอื่นใช้เวลาน้อยกว่าการเขียนเรียกร้องค่าไถ่จากผู้เขียน เขาโพสต์โปรแกรมอรรถประโยชน์การถอดรหัสไฟล์ฟรีบนเว็บไซต์ของบริษัท
โปรแกรมสากลไม่มีการถอดรหัส ดังนั้นคุณต้องเลือกอันที่เหมาะสมในแต่ละกรณี นักพัฒนาซอฟต์แวร์ป้องกันไวรัสรายอื่นๆ ยังมีแคตตาล็อกยูทิลิตี้ถอดรหัสฟรีของตนเอง ตัวอย่างเช่น ที่ Kaspersky Lab เหล่านี้เป็นโปรแกรมทั้งหมดที่มี Decryptor อยู่ในชื่อ ยูทิลิตี้ถอดรหัสสามารถพบได้บนเว็บไซต์ โครงการร่วมกันไม่มีการเรียกค่าไถ่อีกต่อไป เปิดตัวตามความคิดริเริ่มของหน่วยงานอาชญากรรมไซเบอร์แห่งชาติของตำรวจดัตช์ ศูนย์อาชญากรรมทางไซเบอร์แห่งยุโรป Europol และบริษัทแอนติไวรัสสองแห่ง ได้แก่ Kaspersky Lab และ Intel Security
คุณควรเริ่มต้นด้วยการค้นหายูทิลิตี้ฟรีบนเว็บไซต์เหล่านี้ แต่จะทำอย่างไรถ้าไม่พบสิ่งที่คุณต้องการ? น่าเสียดายที่นี่เป็นไปได้มากเช่นกัน โทรจันเข้ารหัสเวอร์ชันใหม่จะปรากฏขึ้นอย่างต่อเนื่อง และไม่ใช่ทั้งหมดที่จะพังเพียงครั้งเดียวหรือสองครั้ง นักวิเคราะห์สามารถประมวลผลตัวอย่างแต่ละรายการได้นานกว่าหนึ่งเดือน บางครั้งมันก็เกิดขึ้นเช่นกันว่าไม่สามารถตรวจพบวิธีการถอดรหัสได้เลย นี่เป็นผลมาจากการเข้ารหัสคุณภาพสูงโดยเฉพาะ (หายากมาก) หรือในทางกลับกันคือรหัสโทรจันที่คดเคี้ยวที่สุด อัลกอริธึมที่ทำให้ไฟล์เสียหาย และโดยหลักการแล้วไม่ได้หมายความถึงการถอดรหัสที่ถูกต้อง
หากยูทิลิตี้ฟรีที่มีชื่อเสียงไม่ช่วยอะไร คุณสามารถส่งจดหมายถึง Fabian สร้างคำขอในบริการ Crypto Sheriff และในขณะเดียวกันก็เขียนถึงฝ่ายสนับสนุนด้านเทคนิคของ Emsisoft และบริษัทป้องกันไวรัสอื่น ๆ
ไม่ว่าในกรณีใด มัลแวร์ใหม่ควรถูกส่งไปยังนักวิเคราะห์ไวรัส ยิ่งไปกว่านั้น เป็นการดีกว่าที่จะส่งไม่เพียงแต่ไฟล์ของโทรจันเท่านั้น แต่ยังดีกว่าส่งไฟล์ทั้งหมดที่สร้างขึ้นด้วย ไฟล์ชั่วคราวและตัวอย่างไฟล์ที่เข้ารหัสสามถึงห้าตัวอย่าง หากคุณมีไฟล์เดียวกันเวอร์ชันต้นฉบับ (ไม่ได้เข้ารหัส) อยู่ในข้อมูลสำรองของคุณ ให้แนบไฟล์เหล่านั้นไปกับคำขอ การจับคู่ข้อความธรรมดา/ข้อความไซเฟอร์เท็กซ์เป็นหนึ่งในวิธีหลักของการเข้ารหัส ยิ่งคุณสามารถค้นหาคู่ดังกล่าวได้มากเท่าใด ก็จะพบวิธีถอดรหัสได้เร็วขึ้นเท่านั้น
นอกจากนี้ นักวิเคราะห์ยังทำการโจมตีแบบเดียวกันกับข้อความที่รู้จักโดยใช้ส่วนหัวของไฟล์มาตรฐาน ตัวอย่างเช่น สำหรับไฟล์ .doc คือ D0 CF 11 E0 A1 B1 1A E1 และสำหรับ Pictures.png คือ 89 50 4E 47 0D 0A 1A 0A ดูตารางลายเซ็นไฟล์สำหรับรายละเอียดเพิ่มเติม ยู ไฟล์ข้อความเนื้อหา (TXT) เป็นไปตามอำเภอใจโดยสิ้นเชิง ทำให้ถอดรหัสได้ยากที่สุด
จากประสบการณ์ของฉัน Dr.Web และ Kaspersky Lab ถอดรหัสไฟล์ได้ดีที่สุด หากคุณมีใบอนุญาตที่ถูกต้องสำหรับผลิตภัณฑ์เชิงพาณิชย์ใดๆ นักวิเคราะห์จะถอดรหัสไฟล์ได้ฟรี หากคุณไม่ใช่ผู้ใช้ก็เพื่อเงิน ตามกฎแล้ว บริการถอดรหัสมีค่าใช้จ่ายมากกว่าใบอนุญาตป้องกันไวรัสรายปีหลายเท่า แต่นโยบายดังกล่าวสามารถเข้าใจได้ การเข้ารหัสลับ โดยเฉพาะอย่างยิ่งในกรณีของ AES และ RSA นั้นใช้เวลานาน ซึ่งผู้เชี่ยวชาญจะใช้เวลาในการสนับสนุนลูกค้าประจำของตนจะดีกว่า
ในเดือนตุลาคม ผู้อ่านคนหนึ่งของเราตรวจพบว่ามีการปรับเปลี่ยนโทรจันเข้ารหัสแบบใหม่ และในขณะเดียวกันก็ติดต่อฝ่ายสนับสนุนด้านเทคนิคจากบริษัทต่างๆ
สามวันต่อมา เขาได้รับคำตอบจาก Dr.Web: “พบวิธีแก้ปัญหาแล้ว การถอดรหัสเป็นไปได้ สำหรับผู้ใช้ที่ไม่ใช่ Dr.Web จะต้องชำระค่าบริการ เส้นทางเพื่อรับการถอดรหัส บนพื้นฐานเชิงพาณิชย์: ซื้อ Dr.Web Rescue Pack ราคา 5,299 รูเบิล ไม่รวมภาษีมูลค่าเพิ่ม Dr.Web Rescue Pack ประกอบด้วยบริการถอดรหัสและใบอนุญาตสำหรับ Dr.Web Security Space เป็นเวลาสองปีในการปกป้องพีซีหนึ่งเครื่อง”
ผู้อ่านไม่พอใจกับราคาจึงเริ่มรอการตอบรับจากบริษัทอื่น ประมาณหนึ่งเดือนต่อมา ข้อมูลดังกล่าวปรากฏบนเว็บไซต์ Kaspersky Lab เวอร์ชันใหม่ฟรียูทิลิตี้ RannohDecryptor ซึ่งเขาใช้ในการถอดรหัสไฟล์ของเขา
การถอดรหัสดำเนินการในเครื่องและตัดสินโดยโหลด CPU 100% ในระยะยาว โดยใช้วิธีเดรัจฉานบังคับ การถอดรหัสไฟล์ 565 เสร็จสมบูรณ์ใช้เวลาเก้าชั่วโมงครึ่งบนเดสก์ท็อป Core i5 มีเพียงไฟล์เดียวเท่านั้นที่ยังไม่ได้เข้ารหัส ซึ่งกลายเป็นสำเนาของอีกไฟล์หนึ่ง
ข้อสรุป
โทรจันเข้ารหัสสร้างปัญหามากมาย บังคับให้คุณใช้เวลาและ/หรือเงินจำนวนมากในการถอดรหัสไฟล์ของคุณ โปรแกรมป้องกันไวรัสง่ายๆไม่เพียงพอที่จะต่อสู้กับพวกเขา ไม่ช้าก็เร็วเขาจะพลาดมัลแวร์ตัวใหม่ที่ยังไม่มีลายเซ็นอยู่ในฐานข้อมูล ดังนั้นจึงควรดำเนินมาตรการป้องกันเพิ่มเติมในตอนนี้ ในหมู่พวกเขามีมากมาย ตัวเลือกฟรีแต่ประสิทธิภาพของมันยังคงเป็นที่ต้องการอีกมาก อย่างน้อยที่สุด ก็สมเหตุสมผลที่จะทำการสำรองข้อมูลเป็นประจำและจำกัดการเข้าถึงข้อมูลเหล่านั้น รวมถึงเลือกยูทิลิตี้การถอดรหัสไว้ล่วงหน้า
ปรับปรุงล่าสุดภายในวันที่ 15 กุมภาพันธ์ 2017
Anton Sevostyanov เกิดขึ้นครั้งแรกในการแข่งขันด้วย คำแนะนำที่ทันสมัยในการป้องกันแรนซัมแวร์ แอนตันทำงาน ผู้ดูแลระบบและฝึกอบรมผู้ใช้ เทคโนโลยีสารสนเทศ- สามารถดูบทแนะนำวิดีโอเพิ่มเติมได้จากเว็บไซต์ของเขา
วันนี้ ได้กลายเป็นเครื่องมือยอดนิยมสำหรับอาชญากรไซเบอร์ ด้วยความช่วยเหลือของพวกเขา อาชญากรรีดไถเงินจากบริษัทและ ผู้ใช้ทั่วไป- ผู้ใช้สามารถจ่ายเงินนับหมื่นรูเบิลเพื่อปลดล็อคไฟล์ส่วนตัวและเจ้าของธุรกิจ - ล้าน (เช่น หากฐานข้อมูล 1C ถูกบล็อก)
ในคู่มือนี้ ฉันนำเสนอหลายวิธีในการป้องกันแรนซัมแวร์ที่จะช่วยรักษาข้อมูลของคุณให้ปลอดภัยที่สุดเท่าที่จะเป็นไปได้
การป้องกันไวรัส
ในบรรดาวิธีการป้องกันทั้งหมด แอนตี้ไวรัสต้องมาก่อน (ฉันใช้) ฐานข้อมูลไวรัสจะได้รับการอัพเดตโดยอัตโนมัติหลายครั้งต่อวันโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ แต่คุณต้องแน่ใจว่าตัวโปรแกรมนั้นทันสมัยอยู่เสมอ นอกเหนือจากการอัปเดตฐานข้อมูลต่อต้านไวรัสแล้ว นักพัฒนายังเพิ่มเป็นประจำอีกด้วย วิธีการที่ทันสมัยการป้องกันไวรัส
หนึ่งในวิธีเหล่านี้ก็คือ บริการคลาวด์ ESET LiveGrid® ซึ่งสามารถบล็อกไวรัสก่อนที่จะแพร่ระบาด ฐานข้อมูลป้องกันไวรัส. ระบบ ESET“ทันที” วิเคราะห์ข้อมูลเกี่ยวกับโปรแกรมที่น่าสงสัยและพิจารณาชื่อเสียงของโปรแกรม หากสงสัยว่ามีไวรัส กระบวนการทั้งหมดของโปรแกรมจะถูกบล็อก
คุณสามารถตรวจสอบว่า ESET LiveGrid® เปิดใช้งานอยู่หรือไม่ดังต่อไปนี้: ESET NOD32 - การตั้งค่าขั้นสูง - สาธารณูปโภค- ESET LiveGrid® - เปิดใช้งานระบบชื่อเสียง ESET LiveGrid®
คุณสามารถประเมินประสิทธิภาพของ ESET LiveGrid® บนเว็บไซต์ที่ออกแบบมาเพื่อทดสอบการทำงานของรายการใดๆ ผลิตภัณฑ์ป้องกันไวรัส- ไปที่ลิงก์ การตรวจสอบคุณลักษณะด้านความปลอดภัย - ตรวจสอบการตั้งค่าคุณลักษณะสำหรับโซลูชันเดสก์ท็อป คอมพิวเตอร์ส่วนบุคคล) หรือการตั้งค่าคุณสมบัติ ตรวจสอบโซลูชันที่ใช้ Android - ทดสอบว่าการป้องกันระบบคลาวด์ของคุณเปิดใช้งานอยู่หรือไม่ การป้องกันเมฆ- ต่อไป เราจะถูกขอให้ดาวน์โหลดไฟล์ทดสอบ และหากโปรแกรมป้องกันไวรัสตอบสนอง แสดงว่าการป้องกันทำงานอยู่ หากไม่เป็นเช่นนั้น เราจำเป็นต้องค้นหาว่าเกิดอะไรขึ้น
การอัพเดตระบบปฏิบัติการและผลิตภัณฑ์ซอฟต์แวร์
ผู้โจมตีมักจะใช้ประโยชน์จากช่องโหว่ที่ทราบ ซอฟต์แวร์ด้วยความหวังว่าผู้ใช้ยังไม่ได้ติดตั้งการอัปเดตล่าสุด สิ่งนี้เกี่ยวข้องกับระบบปฏิบัติการ Windows เป็นหลัก ดังนั้นคุณควรตรวจสอบและเปิดใช้งานการอัปเดตระบบปฏิบัติการอัตโนมัติหากจำเป็น (เริ่ม - แผงควบคุม - ตรงกลาง อัพเดตวินโดวส์- การตั้งค่าพารามิเตอร์ - การเลือกวิธีการดาวน์โหลดและติดตั้งการอัพเดต)
ปิดการใช้งานบริการการเข้ารหัส
วินโดวส์จัดให้ บริการพิเศษการเข้ารหัสข้อมูล หากคุณไม่ได้ใช้เป็นประจำ ควรปิดใช้งานจะดีกว่า - การปรับเปลี่ยน ransomware บางอย่างสามารถใช้ฟังก์ชันนี้เพื่อวัตถุประสงค์ของตนเองได้ หากต้องการปิดใช้งานบริการเข้ารหัสคุณต้องเรียกใช้ การกระทำต่อไปนี้: เริ่ม - แผงควบคุม - การดูแลระบบ - บริการ - เข้ารหัส ระบบไฟล์(EFS) และรีบูตระบบ
โปรดทราบว่าหากคุณใช้การเข้ารหัสเพื่อปกป้องไฟล์หรือโฟลเดอร์ใดๆ คุณควรยกเลิกการเลือกช่องทำเครื่องหมายที่เกี่ยวข้อง (RMB - คุณสมบัติ - คุณสมบัติ - ขั้นสูง - เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล) มิฉะนั้น หลังจากปิดใช้งานบริการเข้ารหัสแล้ว คุณจะไม่สามารถเข้าถึงไฟล์เหล่านี้ได้ การค้นหาว่าไฟล์ใดที่ถูกเข้ารหัสนั้นง่ายมาก - ไฟล์เหล่านั้นจะถูกเน้นด้วยสีเขียว
จำกัดการใช้โปรแกรม
เพื่อเพิ่มระดับความปลอดภัย คุณสามารถบล็อกการเปิดตัวโปรแกรมใด ๆ ที่ไม่ตรงตามข้อกำหนดที่เราตั้งไว้ได้ ตามค่าเริ่มต้น การตั้งค่าเหล่านี้จะถูกตั้งค่าไว้สำหรับเท่านั้น โฟลเดอร์วินโดวส์และไฟล์โปรแกรม
ตั้งค่าท้องถิ่น นโยบายกลุ่มคุณสามารถทำได้: วิ่ง - gpedit - การกำหนดค่าคอมพิวเตอร์ - การกำหนดค่า Windows - การตั้งค่าความปลอดภัย - นโยบาย การใช้งานที่จำกัดโปรแกรม - RMB - สร้างนโยบายข้อ จำกัด ของซอฟต์แวร์
มาสร้างกฎที่ห้ามไม่ให้โปรแกรมรันจากตำแหน่งอื่นนอกเหนือจากที่อนุญาต (กฎเพิ่มเติม - RMB - สร้างกฎสำหรับเส้นทาง - เส้นทาง: * เช่น เส้นทางใด ๆ - ระดับความปลอดภัย: ห้าม)
หน้าต่างประเภทไฟล์ที่กำหนดจะระบุส่วนขยายที่จะถูกบล็อกเมื่อพยายามเปิดใช้งาน ฉันแนะนำให้คุณเพิ่มส่วนขยาย .js ที่นี่ - จาวาสคริปต์และลบ .ink เพื่อให้คุณสามารถเปิดโปรแกรมโดยใช้ทางลัดได้
บน การตั้งค่าที่มีประสิทธิภาพสามารถออกจาก เวลาที่แน่นอนแต่ผลลัพธ์ที่ได้คุ้มค่าแน่นอน
การใช้บัญชีผู้ใช้มาตรฐาน
ไม่แนะนำให้ทำงานกับบัญชีผู้ดูแลระบบแม้แต่กับผู้ใช้ขั้นสูง การจำกัดสิทธิ์ของบัญชีจะช่วยลดความเสียหายในกรณีที่เกิดการติดไวรัสโดยไม่ตั้งใจ (เปิดใช้งานบัญชีผู้ดูแลระบบ - ตั้งรหัสผ่าน - กีดกันสิทธิ์ผู้ดูแลระบบของผู้ใช้ปัจจุบัน - เพิ่มไปยังกลุ่มผู้ใช้)
หากต้องการดำเนินการด้วยสิทธิ์ผู้ดูแลระบบใน Windows จะต้องมี เครื่องมือพิเศษ- “การควบคุมบัญชี” ซึ่งจะขอรหัสผ่านเพื่อดำเนินการเฉพาะ คุณสามารถตรวจสอบการตั้งค่าได้ที่นี่: เริ่ม - แผงควบคุม - บัญชีผู้ใช้ - เปลี่ยนการตั้งค่าการควบคุมบัญชีผู้ใช้ - ค่าเริ่มต้น - แจ้งเตือนเฉพาะเมื่อมีการพยายามเปลี่ยนแปลงคอมพิวเตอร์
จุดตรวจการกู้คืนระบบ
บางครั้งไวรัสยังคงสามารถเอาชนะการป้องกันทุกระดับได้ ในกรณีนี้คุณควรจะสามารถย้อนกลับไปได้ รัฐต้นระบบ ปรับแต่ง การสร้างอัตโนมัติจุดตรวจสามารถทำได้ดังนี้: คอมพิวเตอร์ของฉัน - RMB - คุณสมบัติ - การป้องกันระบบ - การตั้งค่าการป้องกัน
ตามค่าเริ่มต้น เมื่อติดตั้งระบบปฏิบัติการ การป้องกันจะเปิดใช้งานเฉพาะสำหรับ ดิสก์ระบบอย่างไรก็ตาม แรนซัมแวร์จะส่งผลต่อเนื้อหาของพาร์ติชั่นทั้งหมดบนพีซีของคุณ ในการกู้คืนไฟล์ วิธีการมาตรฐานหรือ Shadow Explorer คุณควรเปิดใช้งานการป้องกันสำหรับดิสก์ทั้งหมด จุดตรวจจะใช้หน่วยความจำบางส่วน แต่สามารถบันทึกข้อมูลของคุณได้ในกรณีที่เกิดการติดไวรัส
สำรองข้อมูล
ฉันขอแนะนำให้ทำด้วยตัวเองเป็นประจำ ข้อมูลสำคัญ- มาตรการนี้ไม่เพียงแต่ช่วยป้องกันไวรัสเท่านั้น แต่ยังทำหน้าที่เป็นหลักประกันในกรณีเกิดการระบาดอีกด้วย ฮาร์ดไดรฟ์ออกจากบริการ อย่าลืมทำสำเนาข้อมูลของคุณและบันทึกไว้ในสื่อภายนอกหรือที่เก็บข้อมูลบนคลาวด์
ฉันหวังว่าคำแนะนำนี้จะเป็นประโยชน์สำหรับคุณและจะช่วยปกป้องข้อมูลส่วนบุคคล (และเงิน!) จากผู้บุกรุก
เซโวสเตียนอฟ แอนตัน
ผู้ชนะการแข่งขัน
คุณรู้หรือไม่ว่าไวรัสแรนซัมแวร์คืออะไร? และมันจะส่งผลเสียต่อธุรกิจของคุณได้อย่างไร?
ตัวเข้ารหัสคือม้าโทรจันที่เข้ามาบนคอมพิวเตอร์ของคุณ ล็อคและเข้ารหัสไฟล์ของคุณ จากนั้นรีดไถเงินสำหรับการถอดรหัสไฟล์เหล่านั้น
ไวรัสเข้ารหัสได้กลายเป็นราชาที่แท้จริงของโลกแห่งอาชญากรรมไซเบอร์ โทรจันโจมตีในช่วงเวลาที่เลวร้ายที่สุดเท่าที่จะเป็นไปได้ เมื่อข้อมูลมีความจำเป็นเร่งด่วนจนดูเหมือนง่ายกว่าที่จะจ่ายเงิน ผู้ใช้และบริษัทต้องจ่ายเงินจำนวนมากเพื่อรับข้อมูลส่วนบุคคลกลับคืน
ค่าไถ่สำหรับผู้ใช้ทั่วไปสามารถเข้าถึงรูเบิลนับหมื่นและสำหรับ บริษัทขนาดใหญ่ประมาณหลายล้านรูเบิล แต่การจ่ายไป 9 เต็ม 10 ไม่สามารถแก้ปัญหาได้และปัญหาเดิมก็อาจเกิดขึ้นอีก และหากเครือข่ายองค์กรทั้งหมดติดไวรัส ธุรกิจของคุณอาจเสียหายได้เป็นเวลานาน และการหยุดทำงานเพียงวันเดียวก็อาจส่งผลให้บริษัทมีค่าใช้จ่ายสูง
เพื่อป้องกันภัยพิบัติ ให้ใช้โซลูชันการป้องกันที่ครอบคลุม เครือข่ายองค์กรพร้อมการป้องกันแรนซัมแวร์ในตัว
มาดูกันว่าสิ่งนี้ทำงานอย่างไรเมื่อคอมพิวเตอร์ทุกเครื่องบนเครือข่ายองค์กรของคุณมี Kaspersky Endpointความปลอดภัยสำหรับ Windows ควบคุมผ่าน ศูนย์ความปลอดภัยของแคสเปอร์สกี้.
เปิดเซิร์ฟเวอร์ การดูแลระบบของแคสเปอร์สกี้ศูนย์รักษาความปลอดภัย. ไปที่คอมพิวเตอร์ที่ได้รับการจัดการ
จากนั้นไปที่คุณสมบัติของนโยบายที่ใช้งานอยู่สำหรับ Kaspersky Endpoint Security
ในคุณสมบัติเหล่านี้ ให้เปิดใช้งานการตรวจสอบระบบ เปิดใช้งานการใช้ BSS และรูปแบบพฤติกรรมที่เป็นอันตรายบนคอมพิวเตอร์ทุกเครื่องบนเครือข่ายของคุณ
นั่นคือทั้งหมด! คอมพิวเตอร์ของคุณได้รับการปกป้องจากแรนซัมแวร์อย่างน่าเชื่อถือ เพียงอย่าลืมกำหนดค่า อัปเดตอัตโนมัติฐานข้อมูลป้องกันไวรัส
ดูแลความปลอดภัยของเครือข่ายองค์กรของคุณด้วย
ในร้านค้าออนไลน์ของเรา คุณสามารถซื้อทุกสิ่งที่คุณต้องการเพื่อปกป้องตัวคุณเองและธุรกิจของคุณจากไวรัสเข้ารหัส เป็นต้น
