Sa pagkakataong ito, sinuri namin kung paano nakayanan ng komprehensibong mga tool sa proteksyon ng anti-virus ang pag-encrypt ng mga Trojan. Para sa layuning ito, isang seleksyon ng ransomware ang ginawa at kahit isang hiwalay na programa ay isinulat na ginagaya ang mga aksyon ng isang hindi kilalang encryption na Trojan. Ang kanyang lagda ay tiyak na wala sa mga database ng sinumang kalahok sa pagsubok ngayon. Tingnan natin kung ano ang magagawa nila!

BABALA

Ang artikulo ay isinulat para sa mga layunin ng pananaliksik. Ang lahat ng impormasyon sa loob nito ay para sa mga layuning pang-impormasyon lamang. Ang lahat ng mga sample ay nakuha mula sa mga bukas na mapagkukunan at ipinadala sa mga analyst ng virus.

Mga lumang remedyo para sa mga bagong banta

Ang mga klasikong antivirus ay kaunting tulong sa pagprotekta laban sa mga Trojan program na nag-e-encrypt ng mga file at humihingi ng ransom para sa pag-decryption sa kanila. Sa teknikal, ang naturang ransomware ay binubuo ng buo o halos kabuuan ng mga lehitimong bahagi, na ang bawat isa ay hindi nagsasagawa ng anumang malisyosong aksyon sa sarili nitong. Pinagsasama-sama lang ng malware ang mga ito sa isang chain, na humahantong sa isang mapaminsalang resulta - ang user ay pinagkaitan ng pagkakataon na magtrabaho kasama ang kanyang mga file hanggang sa i-decrypt niya ang mga ito.

Kamakailan, maraming mga espesyal na kagamitan ang lumitaw upang maprotektahan laban sa ransomware Trojans. Sinusubukan nilang magsagawa ng non-signature analysis (iyon ay, tukuyin ang mga bagong bersyon ng ransomware sa pamamagitan ng kanilang pag-uugali, reputasyon ng file at iba pang hindi direktang mga palatandaan), o ipagbawal lamang ang anumang mga programa sa paggawa ng mga pagbabagong kinakailangan para sa mga aksyon ng ransomware.

Kami ay kumbinsido na ang mga naturang kagamitan ay halos walang silbi. Kahit na ang pinakamahigpit na paghihigpit na itinakda sa kanila (kung saan hindi na posible na gumana nang normal) ay hindi nagbibigay ng maaasahang hadlang laban sa ransomware Trojans. Pinipigilan ng mga program na ito ang ilang mga impeksyon, ngunit lumilikha lamang ito ng maling pakiramdam ng seguridad sa gumagamit. Nagiging mas pabaya siya at mas mabilis siyang nabiktima ng ransomware.

Ang pangunahing problema kapag nakikipaglaban sa mga klasikong pag-encrypt na Trojan ay ang lahat ng kanilang mga aksyon ay ginagawa lamang sa mga file ng gumagamit at hindi nakakaapekto sa mga bahagi ng system. Hindi maaaring pagbawalan ang user na baguhin at tanggalin ang kanyang mga file. Ang mga kinatawan ng mataas na kalidad na ransomware ay may napakakaunting o walang malinaw na mga katangian ng pag-uugali. Ang isang koneksyon sa network ay nagpapagana na ngayon sa karamihan ng mga programa (kahit na upang suriin ang mga update), at ang mga function ng pag-encrypt ay binuo sa kahit na mga text editor.

Lumalabas na walang natitira pang malinaw na mga palatandaan para sa preventive protection tool upang makatulong na makilala ang isa pang ransomware Trojan mula sa isang lehitimong programa. Kung ang Trojan signature ay wala sa mga database, napakaliit ng pagkakataon na matukoy ito ng antivirus. Ang heuristic module ay tumutugon lamang sa mga magaspang na pagbabago ng kilalang ransomware, at ang behavioral analyzer ay karaniwang hindi nakakakita ng anumang kahina-hinalang aktibidad.

Iba ang mga backup sa mga backup!

Ngayon, libu-libong mga computer ang nahawaan ng ransomware araw-araw at, bilang panuntunan, sa pamamagitan ng mga kamay ng mga gumagamit mismo. Ang mga kumpanya ng antivirus ay tumatanggap ng mga kahilingan upang i-decrypt ang mga file (nang libre mula sa kanilang mga kliyente), gayunpaman, ang kanilang mga analyst ay hindi makapangyarihan. Minsan posible na mangolekta ng masyadong maliit na data para sa matagumpay na pag-decryption, o ang Trojan algorithm mismo ay naglalaman ng mga error na ginagawang imposibleng ibalik ang mga file sa kanilang orihinal na anyo. Ngayon ang mga aplikasyon para sa pag-decryption ay pinoproseso mula dalawang araw hanggang anim na buwan, at sa panahong ito marami sa kanila ang nawawalan na lamang ng kaugnayan. Ito ay nananatiling naghahanap ng karagdagang paraan ng proteksyon nang hindi umaasa sa isang anti-virus scanner.

Sa mahabang panahon, ang mga backup na kopya ay ang unibersal na proteksyon laban sa anumang pag-atake ng virus. Sa kaso ng impeksyon sa bagong malware, maaari mo lamang ibalik ang lahat mula sa backup, i-overwrite ang mga naka-encrypt na file sa kanilang mga orihinal na bersyon at i-undo ang anumang hindi gustong mga pagbabago. Gayunpaman, natutunan ng mga modernong pag-encrypt na Trojan na kilalanin at sirain din ang mga backup. Kung ang kanilang awtomatikong paggawa ay na-configure, ang backup na imbakan ay konektado at maisusulat. Ang isang advanced na Trojan ay ini-scan ang lahat ng lokal, panlabas at network drive, tinutukoy ang direktoryo na may mga backup na kopya at ine-encrypt ang mga ito o tinatanggal ang mga ito, binubura ang libreng espasyo.

Ang manu-manong paggawa ng mga backup ay masyadong nakakapagod at hindi mapagkakatiwalaan. Mahirap gawin ang ganitong operasyon araw-araw, at sa mas mahabang panahon, maraming nauugnay na data ang maiipon, na wala nang maibabalik. Paano kaya ito?

Ngayon, nag-aalok ang karamihan sa mga developer, bilang karagdagan sa mga klasikong antivirus, ng mga komprehensibong solusyon sa seguridad. Ngayon, bilang karagdagan sa firewall, IDS at iba pang mga kilalang bahagi, naglalaman ang mga ito ng bago - secure na backup na imbakan. Hindi tulad ng isang regular na direktoryo na may mga backup, ang antivirus lamang mismo ang may access dito at kinokontrol ng driver nito. Ang pamamahala sa panlabas na direktoryo ay ganap na hindi pinagana - kahit na ang isang administrator ay hindi maaaring magbukas o magtanggal nito sa pamamagitan ng file manager. Tingnan natin kung gaano kahusay ang diskarteng ito.

Pamamaraan ng pagsubok

Para sa aming mga eksperimento, gumawa kami ng mga clone ng isang virtual machine na may malinis na Windows 10 at ang pinakabagong mga patch set. Ang bawat isa sa kanila ay may sariling antivirus na naka-install. Kaagad pagkatapos i-update ang mga database, sinuri namin ang tugon ng antivirus sa pagpili ng pagsubok at ang aming simulator program. Kasama sa test set ang 15 sample. Sa mga ito, 14 ay iba't ibang mga pagbabago ng mga kilalang ransomware Trojan, at ang ikalabinlima ay isang downloader Trojan na nag-download ng isa pang ransomware mula sa isang malayong site.

Ang lahat ng mga sample ay may extension na .tst, anuman ang aktwal na format ng file. Ang isang programa na espesyal na isinulat para sa mga pagsubok na ito, na pinangalanang EncryptFiles, ay ginaya ang karaniwang pag-uugali ng isang naka-encrypt na Trojan. Kapag inilunsad gamit ang mga default na parameter, agad nitong na-encrypt ang mga nilalaman ng mga file mula sa direktoryo ng "Aking Mga Dokumento" nang walang anumang mga tanong. Para sa kalinawan, nag-save kami ng mga echo message sa program at naglagay ng ilang text file sa OEM-866 encoding sa direktoryo kasama ang mga dokumento ng kasalukuyang user upang agad na maipakita ang kanilang mga nilalaman nang direkta sa console. Ang isang file ay naglalaman ng mga panipi mula sa mga gawa ng Strugatskys (simpleng hindi naka-format na teksto), at ang isa ay naglalaman ng mga parameter ng lens sa anyo ng talahanayan (naka-format na teksto).

Pagkatapos i-install at i-update ang bawat antivirus, ang mga sample ng ransomware ay kinopya sa direktoryo ng Mga Download mula sa isang folder ng network na nakakonekta sa Read-Only na mode. Pagkatapos ang mga nakopyang file ay karagdagang na-scan ng antivirus (sapilitang on-demand scan) sa mga default na setting. Ang mga sample na natitira pagkatapos ng pag-verify ay itinalaga ng kanilang tunay na extension, pagkatapos ay inilunsad ang mga ito. Kung ang system ay hindi nahawahan, pagkatapos ay ang tugon ng antivirus sa programa ng simulator ay nasuri. Kung matagumpay na na-encrypt ang mga file, sinubukan naming ibalik ang kanilang mga orihinal na bersyon gamit ang antivirus software at nai-log ang resulta.

Kaspersky Total Security

Nag-install kami ng Kaspersky Total Security sa isa sa aming mga pagsubok na virtual machine, na nangako ng "proteksyon laban sa ransomware na pumipigil sa mga file na masira ng malware." Nakilala ng KTS ang halos lahat ng mga banta kapag sinusubukang kopyahin ang mga sample ng ransomware mula sa isang folder ng network.

Isang file lamang sa labinlimang file ang kasama sa direktoryo ng "Mga Download" - nd75150946.tst - ito ay Trojan.Downloader, at ito ay kilala sa mahabang panahon. Sa karagdagang pag-verify sa kahilingan ng KTS, muling itinuring na ligtas ang file. Apatnapu't limang virus scanner sa VirusTotal ang hindi sumang-ayon.

Binuksan namin ang sample na ito gamit ang isang Hex editor upang matukoy ang totoong extension nito. Ang pamilyar na header 50 4B 03 04 at ang pangalan ng isa pang file sa loob - malinaw naman, ito ay isang ZIP archive. Sa loob ng archive ay mayroong isang kahina-hinalang file: ang icon nito ay tumutugma sa isang PDF na dokumento, at ang extension ay .scr - isang screen saver, iyon ay, ito ay executable code.

Kapag sinusubukang magpatakbo ng file na may extension na .scr mula sa isang archive, hinarangan ng KTS ang awtomatikong na-unpack na kopya nito sa pansamantalang direktoryo ng user. Batay sa mga resulta ng pagtatasa ng ulap sa pamamagitan ng network ng KSN, tinukoy niya ang file na ito bilang isang hindi kilalang malisyosong bagay at iminungkahi na tanggalin ito sa pamamagitan ng pag-reboot. Sa kasong ito, ito ay isang labis na pag-iingat, dahil ang Trojan ay hindi nakakuha ng kontrol at maaaring tanggalin sa anumang paraan, tulad ng isang regular na file.

Kapansin-pansin na ang Kaspersky Total Security ay hindi natututo mula sa mga pagkakamali nito. Nang muling suriin ang archive, muli itong nakitang malinis, kahit na ang file na na-unpack mula dito ay nagdulot lamang ng trigger ayon sa mga resulta ng pagsusuri sa KSN.

Sa simula ng susunod na yugto ng pagsubok, sinuri namin ang paunang estado ng direktoryo ng "Aking Mga Dokumento" at i-output ang mga nilalaman ng ilang mga text file mula dito patungo sa console.

Pagkatapos nito, binuksan namin ang module na "Backup and Restore" at i-back up ang mga dokumentong ito sa folder ng Backup nang direkta sa partition ng system. Sa totoong sitwasyon, dapat kang pumili ng ibang lokasyon (halimbawa, isang panlabas na drive), ngunit para sa aming pagsubok ay hindi mahalaga. Sa anumang kaso, ang pag-access sa folder na ito ay kinokontrol ng mga tool ng KTS, at ang mga Trojan ay hindi maaaring makipag-ugnayan dito sa pamamagitan ng karaniwang driver ng file system.

Gamit ang mga regular na tool, kahit na ang isang administrator ay maaari lamang tingnan ang mga katangian ng folder na ito. Kapag sinubukan mong mag-log in, awtomatikong magsisimula ang backup manager ng KTS at hihilingin sa iyo na magpasok ng isang password, kung ang isa ay naitakda dati.

Ang backup manager mismo ng Kaspersky ay napakalinaw. Maaari kang pumili ng mga karaniwang direktoryo, tukuyin ang iyong sarili, o ibukod ang mga indibidwal na file. Ang bilang ng mga file ng bawat uri ay agad na ipinapakita sa window sa kaliwa, at ang kanilang laki ay ipinapakita sa mga katangian sa kanan.

Bilang karagdagan sa pag-record ng mga backup sa mga lokal at naaalis na drive, sinusuportahan ng KTS ang pagpapadala sa kanila sa Dropbox. Ang paggamit ng cloud storage ay lalong maginhawa kung pinipigilan ng malware ang computer sa pagsisimula at pagkonekta sa external na media.

Hindi pinansin ng KTS ang aming simulator program. Mahinahon niyang na-encrypt ang mga file, na ginawang gobbledygook ang mga nilalaman nito. Ang pagtanggi sa pag-access sa mga subdirectory na "Aking Mga Video", "Aking Mga Larawan" at "Aking Musika" ay isang depekto sa mismong programa, na hindi sa anumang paraan ay nakakaapekto sa kakayahang mag-encrypt ng mga file sa %USERPROFILE%Documents.

Kung sa aming programa ang function ng decryption ay ginanap lamang kapag inilunsad gamit ang /decrypt key, sa Trojans hindi ito palaging magsisimula kahit na matapos matupad ang mga hinihingi ng ransom. Ang tanging sapat na mabilis na opsyon para sa pagpapanumbalik ng mga naka-encrypt na file sa kasong ito ay i-overwrite ang mga ito mula sa isang naunang ginawang backup na kopya. Sa ilang pag-click lang, pinili naming ibinalik ang isa sa mga naka-encrypt na file sa orihinal nitong lokasyon. Sa parehong paraan, maaari mong ibalik ang isa o higit pang buong mga direktoryo.

Dr.Web Security Space

Tulad ng KTS, tinukoy ng Dr.Web SS ang 14 sa 15 na mga sample kapag sinusubukang kopyahin ang mga ito sa direktoryo ng "Mga Download".

Gayunpaman, hindi tulad ng KTS, nakita pa rin nito ang Trojan.Downloader sa natitirang sample pagkatapos na baguhin ang extension nito sa ZIP at magpatakbo ng sapilitang pag-scan.

Karamihan sa mga setting ng Dr.Web SS ay naka-lock bilang default. Upang maisaaktibo ito, kailangan mo munang mag-click sa icon ng lock at ipasok ang password, kung ang isa ay naitakda.

Ginagawa ang mga backup sa Dr.Web SS gamit ang tool na "Data Loss Prevention". Ang mga setting na magagamit ay minimal. Maaari kang pumili ng mga karaniwang direktoryo ng user para sa backup o tukuyin ang iyong sarili, itakda ang isa sa mga napiling paghihigpit sa dami ng mga kopya, tukuyin ang lokasyon ng mga backup na kopya at i-configure ang backup na iskedyul. Hindi sinusuportahan ng Dr.Web SS ang pag-upload sa cloud storage, kaya kailangan mong limitahan ang iyong sarili sa mga lokal na drive.

Ang proteksyon ng backup na direktoryo ng Dr.Web SS ay mas agresibo kaysa sa KTS. Hindi man lang matingnan ng administrator ang mga katangian nito sa pamamagitan ng Explorer.

Gumawa kami ng mga backup na kopya ng mga dokumento at sinimulan ang ikalawang bahagi ng pagsusulit.

Ang Dr.Web SS simulator ay hindi nakilala ang programa at hindi nakagambala sa operasyon nito sa anumang paraan. Sa isang segundo, ang lahat ng mga file ay na-encrypt.

Sa pamamagitan ng pagpapatakbong muli ng Data Loss Prevention, naibalik namin ang mga orihinal na file. Gayunpaman, hindi sila napanatili kung saan inaasahan.

Kapag tinukoy mo ang target na folder na "Aking Mga Dokumento", ang isang subdirectory ay awtomatikong nagagawa sa loob nito na may kasalukuyang petsa at oras bilang ang pangalan. Ang mga naka-save na file mula sa backup ay na-unpack na dito, at lahat ng mga kamag-anak na landas ay naibalik. Lumilikha ito ng isang napaka-inconvenient na mahabang landas na madaling lumampas sa karaniwang 255 na limitasyon ng character.

Norton Security Premium

Inaalala ang Norton Ghost, na naging backup na pamantayan noong dekada nobenta, madaling hulaan ang hitsura ng katulad na pag-andar sa antivirus mula sa Symantec. Nakapagtataka na lumipas ang dalawang dekada bago naging popular ang halatang solusyong ito. Walang kaligayahan, ngunit ang kasawian ay makakatulong.

Kapag sinusubukang kopyahin ang isang direktoryo na may mga sample ng ransomware, natukoy at na-quarantine ng NSP ang 12 sa 15 na banta.

Ang lahat ng tatlong natitirang mga file ay kinikilala bilang nakakahamak kapag sinuri ng VirusTotal, kabilang ang dalawa sa kanila ng Symantec antivirus. Ginagawa lang ang mga default na setting upang hindi masuri ng NSP ang ilang mga file kapag kinokopya. Nagsasagawa kami ng sapilitang pag-scan... at nakita ng NSP ang dalawa pang Trojan sa parehong direktoryo.

Tulad ng mga nakaraang antivirus, iniiwan ng NSP ang Trojan downloader sa isang pinalitan ng pangalan na ZIP archive. Kapag sinubukan mong patakbuhin ang .scr file mula sa archive, hinaharangan ng NSP ang paglunsad ng hindi naka-pack na kopya ng Trojan mula sa pansamantalang direktoryo ng kasalukuyang user. Sa kasong ito, ang archive mismo ay hindi pinoproseso sa anumang paraan.

Ang archive ay itinuturing na malinis kahit na ito ay muling ini-scan kaagad pagkatapos na ang Trojan na kinuha mula dito ay nakita. Ang inskripsiyon ay mukhang lalong nakakatawa: "Kung sa tingin mo ay may mga banta pa rin, mag-click dito." Kapag nag-click ka dito, ang mga database ay ina-update (o hindi kung sariwa na sila).

Nakapagtataka na ang ilan sa mga lumang sample ng ransomware ay na-detect pa rin ng NSP sa pamamagitan lamang ng heuristic analyzer at cloud checking tool. Mukhang tamad ang mga Symantec virologist na panatilihing napapanahon ang mga database. Hinaharang lang ng kanilang antivirus ang lahat ng kahina-hinala at naghihintay ng reaksyon ng user.

Ang ikalawang yugto ng pagsubok ay naganap ayon sa kaugalian. Nag-back up kami ng mga file mula sa direktoryo ng My Documents at pagkatapos ay sinubukan naming i-encrypt ang mga ito.

Ang backup manager sa NSP sa simula ay nasiyahan ako sa lohika nito. Ginagamit niya ang klasikong “Ano? saan? Kailan?”, pamilyar sa panahon ng pre-Soviet. Gayunpaman, sa modernong bersyon ito ay natatabunan ng labis na abstraction. Sa halip na direktang ilista ang mga bagay na may mga buong path at file ayon sa extension, ginagamit ang kanilang virtual na lokasyon at conditional grouping ayon sa uri. Ito ay hula ng sinuman kung aling mga file ang isasaalang-alang ng NSP na may kaugnayan sa impormasyon sa pananalapi at kung saan ay ilalagay lamang sa seksyong "Iba".

Posible ang mga karagdagang setting (halimbawa, gamit ang link na "Magdagdag o magbukod ng mga file at folder"), ngunit napakahirap gawin ang mga ito. Para sa kapakanan ng ilang mga file (bawat isa ay mas mababa sa isang kilobyte), kailangan mo pa ring i-backup ang kalahating puno ng direktoryo at lahat ng uri ng basura tulad ng desktop.ini, at nag-aalok ang backup wizard na i-immortalize ito sa isang CD-R. Tila ang ika-21 siglo ay hindi pa dumating para sa lahat.

Sa kabilang banda, ang mga gumagamit ng NSP ay binibigyan ng 25 GB ng mga backup sa cloud. Upang mag-upload ng mga backup doon, piliin lamang ang "Secure Network Storage" bilang lokasyon ng patutunguhan.

Sa pagkakaroon ng paglikha ng isang lokal na backup, naglunsad kami ng isang programa na ginagaya ang mga aksyon ng isang ransomware Trojan. Hindi siya pinigilan ng NSP sa anumang paraan at pinahintulutan siyang i-encrypt ang mga file.

Ang pagpapanumbalik sa kanila mula sa isang backup ay mas mabilis at mas maginhawa kaysa sa Dr.Web SS. Ito ay sapat na upang kumpirmahin ang pag-overwrit, at ang mga file sa kanilang orihinal na anyo ay agad na lumitaw sa kanilang orihinal na mga lugar.

K7 Ultimate Security

Dati, ang produktong ito mula sa kumpanyang Indian na K7 Computing ay tinatawag na Antivirus Plus. Mayroon pa ring kaunting pagkalito sa mga pangalan ng developer na ito. Halimbawa, ang pamamahagi ng K7 Total Security ay walang mga backup na tool. Kaya naman sinubukan namin ang Ultimate na bersyon - ang tanging may kakayahang gumawa ng mga backup.

Hindi tulad ng mga antivirus na kilala sa Russia, ang pag-unlad na ito ay isang maitim na kabayo sa aming mga pagsubok. Ang pariralang "Indian code" ay itinuturing na isang maruming salita sa mga programmer, at hindi namin inaasahan ang marami mula dito. Tulad ng ipinakita ng mga pagsubok, ito ay walang kabuluhan.

Ang K7 Ultimate Security ay ang unang antivirus na agad na nakakita ng lahat ng 15 banta mula sa aming napili. Hindi man lang nito ako hahayaan na tapusin ang pagkopya ng mga sample sa direktoryo ng Mga Download at direktang tatanggalin ang mga ito sa folder ng network kung hindi ito nakakonekta sa Read-Only na mode.

Ang disenyo ng programa ay camouflage at bakal. Tila, ang mga developer ay masigasig sa paglalaro ng mga tangke o sinusubukan lamang na pukawin ang mga asosasyon sa isang bagay na maaasahan sa ganitong paraan. Ang mga backup na parameter sa K7 ay nakatakda sa halos parehong paraan tulad ng sa NSP. Sa pangkalahatan, gayunpaman, ang interface ng K7 ay hindi gaanong kalat at ginagawang mas madaling ma-access ang fine-tuning.

Ang K7 ay hindi tumugon sa anumang paraan sa paglulunsad ng programa ng simulator at pag-encrypt ng mga file. Gaya ng dati, kailangan kong ibalik ang mga orihinal mula sa isang backup.

Maginhawa na kapag nagpapanumbalik, maaari kang pumili ng mga indibidwal na file at isulat ang mga ito sa kanilang orihinal na lokasyon. Nang masagot ang sang-ayon sa kahilingang i-overwrite ang umiiral na file, ibinalik namin ang lenses.txt sa ilang pag-click sa orihinal nitong lokasyon.

Wala nang maidaragdag pa tungkol sa pagganap ng K7 sa pagsusulit na ito. Ang tagumpay ay tagumpay.

Mga konklusyon

Sa kabila ng magagandang resulta ng pagsubok, ang mga pangkalahatang konklusyon ay nakakabigo. Kahit na ang buong bersyon ng mga sikat na bayad na antivirus ay nakakaligtaan ang ilang variant ng ransomware sa mga default na setting. Hindi rin ginagarantiyahan ng selective on-demand na pag-scan ang seguridad ng mga na-scan na file. Ang mga matagal nang kilalang pagbabago ng mga Trojan ay iniiwasan din ang pagtuklas gamit ang mga primitive na trick (tulad ng pagpapalit ng extension). Ang bagong malware ay halos palaging sinusuri para sa pagtuklas bago ilabas sa ligaw.

Hindi ka dapat umasa sa isang behavioral analyzer, cloud checking, mga katangian ng reputasyon ng mga file at iba pang tool sa pagsusuri na hindi pirma. Mayroong ilang mga benepisyo mula sa mga pamamaraang ito, ngunit napakaliit. Kahit na ang aming primitive simulator program na walang reputasyon at walang digital na lagda ay hindi na-block ng anumang antivirus. Tulad ng maraming mga Trojan ng pag-encrypt, naglalaman ito ng maraming mga bahid, ngunit hindi nito pinipigilan ang pag-encrypt kaagad ng mga file kapag inilunsad.

Ang awtomatikong pag-backup ng mga file ng user ay hindi bunga ng pag-unlad, ngunit isang kinakailangang hakbang. Maaari itong maging epektibo lamang sa patuloy na proteksyon ng backup na imbakan gamit ang antivirus mismo. Gayunpaman, magiging epektibo ito nang eksakto hanggang sa ma-unload ang antivirus mula sa memorya o ma-uninstall nang buo. Samakatuwid, palaging sulit na gumawa ng mga karagdagang kopya sa ilang bihirang konektadong media o i-upload ang mga ito sa cloud. Siyempre, kung may sapat kang tiwala sa cloud provider.

Ang mga virus ng Ransomware ay isang matagal nang kilalang uri ng pagbabanta. Lumitaw ang mga ito nang halos kasabay ng mga SMS banner, at matatag na nakabaon sa huli sa nangungunang ranggo ng mga virus ng ransomware.

Ang modelo ng monetization ng ransomware virus ay simple: hinaharangan nito ang bahagi ng impormasyon o ang buong computer ng user, at upang mabawi ang access sa data, nangangailangan ito ng pagpapadala ng SMS, electronic money, o pag-topping sa balanse ng isang mobile number sa pamamagitan ng ang terminal.

Sa kaso ng isang virus na nag-encrypt ng mga file, ang lahat ay halata - upang i-decrypt ang mga file na kailangan mong magbayad ng isang tiyak na halaga. Bukod dito, sa nakalipas na ilang taon, binago ng mga virus na ito ang diskarte sa kanilang mga biktima. Kung dati ay ipinamahagi sila ayon sa mga klasikal na scheme sa pamamagitan ng Varez, mga site ng porno, pagpapalit ng mga resulta ng paghahanap at mass spam mailings, habang nakakahawa sa mga computer ng mga ordinaryong gumagamit, ngayon ang mga liham ay direktang ipinapadala, nang manu-mano, mula sa mga mailbox sa "normal" na mga domain - mail. ru, gmail, atbp. At sinusubukan nilang mahawahan ang mga legal na entity, kung saan ang mga database at kontrata ay nasa ilalim ng mga code.

Yung. ang mga pag-atake ay lumago mula sa dami hanggang sa kalidad. Sa isa sa mga kumpanya, ang may-akda ay nagkataong nakatagpo ng isang hardened cryptographer na dumating sa mail na may isang resume. Ang impeksyon ay naganap kaagad pagkatapos buksan ang file ng mga tauhan ng tauhan ay naghahanap lamang ng mga tauhan at ang file ay hindi nagdulot ng anumang hinala. Ito ay isang docx na may AdobeReader.exe na naka-attach dito :)

Ang pinaka-kagiliw-giliw na bagay ay wala sa mga heuristic at proactive na sensor ng Kaspersky Anti-Virus ang gumana. Isa pang araw o 2 pagkatapos ng impeksyon, ang virus ay hindi natukoy ng dr.web at nod32

Kaya ano ang gagawin sa gayong mga banta? Wala ba talagang silbi ang antivirus?

Matatapos na ang mga araw ng signature-only na mga antivirus..

G Data TotalProtection 2015 - ang pinakamahusay na proteksyon laban sa ransomware
na may built-in na backup na module. Mag-click at bumili.

Para sa lahat ng naapektuhan ng mga aksyon ransomware - code na pang-promosyon na may diskwento sa pagbili ng G DATA - GDPTP2015. Ilagay lamang ang promo code na ito sa pag-checkout.

Ang mga virus ng ransomware ay muling napatunayan ang pagkabigo ng mga antivirus program. Ang mga SMS banner, sa isang pagkakataon, ay malayang "pinagsama" sa temp folder para sa mga user at simpleng inilunsad sa buong desktop at naharang ang pagpindot sa lahat ng mga kumbinasyon ng serbisyo mula sa keyboard.

Ang antivirus program ay gumana nang mahusay sa oras na ito :) Ang Kaspersky, tulad ng sa normal na mode, ay nagpakita ng inskripsyon na "Protektado ng Kaspersky LAB".

Ang banner ay hindi isang sopistikadong malware tulad ng rootkits, ngunit isang simpleng program na nagbabago ng 2 key sa registry at humarang sa input ng keyboard.

Ang mga virus na nag-e-encrypt ng mga file ay umabot sa bagong antas ng pandaraya. Ito ay muli isang regular na programa na hindi naka-embed sa operating system code, hindi pinapalitan ang mga file ng system, at hindi nagbabasa ng mga lugar ng RAM ng iba pang mga programa.

Tumatakbo lamang ito sa maikling panahon, bumubuo ng mga pampubliko at pribadong key, nag-encrypt ng mga file, at ipinapadala ang pribadong key sa umaatake. Isang grupo ng naka-encrypt na data at isang file na may mga contact ng mga hacker ang naiwan sa computer ng biktima para sa karagdagang pagbabayad.

Makatuwirang isipin: " Bakit kailangan mo ng antivirus kung makakakita lang ito ng mga nakakahamak na program na kilala nito?

Sa katunayan, ang isang antivirus program ay kinakailangan - ito ay magpoprotekta laban sa lahat ng kilalang banta. Gayunpaman, maraming bagong uri ng malisyosong code ang masyadong matigas para dito. Upang maprotektahan ang iyong sarili mula sa mga virus ng ransomware, kailangan mong gumawa ng mga hakbang na isang antivirus lamang ay hindi sapat. At sasabihin ko kaagad: "Kung naka-encrypt na ang iyong mga file, nagkakaproblema ka. Hindi magiging madali ang pagbabalik sa kanila."

:

Huwag kalimutan ang tungkol sa antivirus

Ang pag-back up ng mahahalagang sistema ng impormasyon at data, ang bawat serbisyo ay may sariling dedikadong server.

I-back up ang mahalagang data.

:

Ano ang gagawin sa virus mismo?

Mga independiyenteng pagkilos gamit ang mga naka-encrypt na file

Maranasan ang pakikipag-usap sa teknikal na suporta ng antivirus, ano ang aasahan?

Pakikipag-ugnayan sa pulisya

Mag-ingat sa hinaharap (tingnan ang nakaraang seksyon).

Kung ang lahat ay nabigo, marahil ito ay nagkakahalaga ng pagbabayad?

Kung hindi ka pa naging biktima ng ransomware virus:

*Magkaroon ng anti-virus software sa iyong computer na may mga pinakabagong update.

Sabihin nating tahasan: "Ang mga antivirus ay sumisipsip sa mga bagong uri ng ransomware, ngunit gumagana ang mga ito ng mahusay na trabaho laban sa mga kilalang banta." Kaya ang pagkakaroon ng antivirus sa iyong workstation ay kinakailangan. Kung mayroon nang biktima, maiiwasan mo man lang ang epidemya. Aling antivirus ang pipiliin ay nasa iyo.

Mula sa karanasan, ang Kaspersky ay "kumakain" ng mas maraming memorya at oras ng processor, at para sa mga laptop na hard drive na may 5200 rpm ito ay isang sakuna (kadalasan ay may mga pagkaantala sa pagbasa ng sektor na 500 ms..) Ang Nod32 ay mabilis, ngunit kaunti lamang ang nakakakuha. Maaari kang bumili ng GDATA antivirus - ang pinakamahusay na pagpipilian.

*Backup ng mahahalagang sistema ng impormasyon at data. Ang bawat serbisyo ay may sariling server.

Samakatuwid, napakahalagang ilipat ang lahat ng serbisyo (1C, nagbabayad ng buwis, mga partikular na automated na workstation) at anumang software kung saan nakasalalay ang buhay ng kumpanya, sa isang hiwalay na server, o mas mabuti pa, sa isang terminal. Mas mabuti pa, ilagay ang bawat serbisyo sa sarili nitong server (pisikal o virtual - magpasya para sa iyong sarili).

Huwag iimbak ang 1C database sa publiko sa network. Maraming tao ang gumagawa nito, ngunit ito ay mali.

Kung ang pagtatrabaho sa 1c ay isinaayos sa isang network na may nakabahaging read/write access para sa lahat ng empleyado, ilipat ang 1c sa isang terminal server at hayaan ang mga user na magtrabaho kasama nito sa pamamagitan ng RDP.

Kung kakaunti ang mga gumagamit at walang sapat na pera para sa isang server OS, maaari mong gamitin ang regular na Windows XP bilang terminal server (sa kondisyon na ang mga paghihigpit sa bilang ng mga sabay-sabay na koneksyon ay tinanggal, ibig sabihin, kailangan mong mag-patch). Bagaman, sa parehong tagumpay maaari kang mag-install ng isang hindi lisensyadong bersyon ng windows server. Sa kabutihang palad, pinapayagan ka ng Microsoft na gamitin ito, at bilhin at i-activate ito sa ibang pagkakataon :)

Ang gawain ng mga gumagamit na may 1c sa pamamagitan ng RDP, sa isang banda, ay magbabawas sa pagkarga sa network at mapabilis ang gawain ng 1c, sa kabilang banda, maiiwasan nito ang impeksyon ng mga database.

Ang pag-iimbak ng mga file ng database sa isang network na may nakabahaging pag-access ay hindi ligtas, at kung walang ibang mga prospect, alagaan ang backup (tingnan ang susunod na seksyon.)

* I-backup ang mahalagang data.

Kung hindi ka pa nakakagawa ng mga backup, tanga ka, patawarin mo ako. O kumusta sa iyong system administrator. Ang mga backup ay nagliligtas sa iyo hindi lamang mula sa mga virus, kundi pati na rin mula sa mga walang ingat na empleyado, mga hacker, at sa huli ay nasira ang mga hard drive.

Mababasa mo kung paano at kung ano ang i-backup sa isang hiwalay na artikulo tungkol sa . Ang GDATA antivirus, halimbawa, ay may backup na module sa dalawang bersyon - kabuuang proteksyon at endpoint na seguridad para sa mga organisasyon ( maaari kang bumili ng kabuuang proteksyon ng GDATA).

Kung makakita ka ng mga naka-encrypt na file sa iyong computer:

*Ano ang gagawin sa virus mismo?

I-off ang iyong computer at makipag-ugnayan sa mga serbisyo ng computer + suporta para sa iyong antivirus. Kung ikaw ay mapalad, ang katawan ng virus ay hindi pa nabubura at maaaring magamit upang i-decrypt ang mga file. Kung ikaw ay hindi pinalad (tulad ng madalas na nangyayari), ang virus, pagkatapos i-encrypt ang data, ay nagpapadala ng pribadong susi sa mga umaatake at tinatanggal ang lahat ng mga bakas ng sarili nito. Ginagawa ito upang hindi matukoy kung paano at sa anong algorithm ang mga ito ay naka-encrypt.

Kung mayroon ka pa ring sulat na may nahawaang file, huwag itong tanggalin. Isumite ito sa Popular Products Antivirus Lab. At huwag mo nang buksan muli.

*Mga independiyenteng pagkilos gamit ang mga naka-encrypt na file

Ano ang maaari mong gawin:

Makipag-ugnayan sa suporta ng antivirus, kumuha ng mga tagubilin at, posibleng, isang decryptor para sa iyong virus.

Sumulat ng isang pahayag sa pulisya.

Maghanap sa Internet para sa mga karanasan ng ibang mga user na nakatagpo na ng problemang ito.

Gumawa ng mga hakbang upang i-decrypt ang mga file, nang una nang makopya ang mga ito sa isang hiwalay na folder.

Kung mayroon kang Windows 7 o 8, maaari mong ibalik ang mga nakaraang bersyon ng mga file (i-right click sa folder na may mga file). Muli, huwag kalimutang kopyahin muna ang mga ito.

Ano ang hindi dapat gawin:

I-install muli ang Windows

Tanggalin ang mga naka-encrypt na file, palitan ang pangalan ng mga ito at palitan ang extension. Napakahalaga ng pangalan ng file kapag nagde-decrypt sa hinaharap

*Karanasan sa pakikipag-usap sa teknikal na suporta ng antivirus, ano ang aasahan?

Nang mahuli ng isa sa aming mga kliyente ang crypto-virus.harddended, na wala pa sa mga database ng anti-virus, ipinadala ang mga kahilingan sa dr.web at Kaspersky.

Nagustuhan namin ang teknikal na suporta sa dr.web, lumabas kaagad ang feedback at nagbigay pa sila ng payo. Bukod dito, pagkatapos ng ilang araw ay tapat nilang sinabi na wala silang magagawa at nagpadala ng mga detalyadong tagubilin kung paano magpadala ng kahilingan sa pamamagitan ng mga karampatang awtoridad.

Sa Kaspersky, sa kabaligtaran, unang sumagot ang bot, pagkatapos ay iniulat ng bot na ang pag-install ng isang antivirus na may pinakabagong mga database ay malulutas ang aking problema (paalalahanan kita, ang problema ay daan-daang mga naka-encrypt na file). Pagkalipas ng isang linggo, ang katayuan ng aking kahilingan ay nagbago sa "ipinadala sa laboratoryo ng antivirus," at nang mahinahong nagtanong ang may-akda tungkol sa kapalaran ng kahilingan makalipas ang ilang araw, tumugon ang mga kinatawan ng Kaspersky na hindi kami makakatanggap ng tugon mula sa laboratoryo gayunpaman, sabi nila, naghihintay kami.

Pagkaraan ng ilang oras, nakatanggap ako ng mensahe na ang aking kahilingan ay sarado na may isang alok na suriin ang kalidad ng serbisyo (lahat ito habang naghihintay pa ng tugon mula sa laboratoryo).. "Fuck you!" - isip ng may-akda.

Ang NOD32, sa pamamagitan ng paraan, ay nagsimulang mahuli ang virus na ito sa ika-3 araw pagkatapos ng paglitaw nito.

Ang prinsipyo ay ito: ikaw ay nag-iisa sa iyong mga naka-encrypt na file. Tutulungan ka lamang ng mga laboratoryo ng malalaking tatak ng antivirus kung mayroon kang susi para sa kaukulang produkto ng antivirus at kung nasa Ang crypto virus ay may kahinaan. Kung na-encrypt ng mga umaatake ang isang file gamit ang ilang mga algorithm nang sabay-sabay at higit sa isang beses, malamang na kailangan mong magbayad.

Ang pagpili ng antivirus ay sa iyo, huwag pabayaan ito.

* Makipag-ugnayan sa pulis

Kung ikaw ay naging biktima ng isang crypto virus at nakaranas ng anumang pinsala, kahit na sa anyo ng naka-encrypt na personal na impormasyon, maaari kang makipag-ugnayan sa pulisya. Mga tagubilin sa aplikasyon, atbp. may .

*Kung mabibigo ang lahat, maaaring sulit na bayaran?

Dahil sa kamag-anak na kawalan ng pagkilos ng mga antivirus kaugnay ng ransomware, kung minsan ay mas madaling magbayad ng mga umaatake. Para sa mga hardended na file, halimbawa, ang mga may-akda ng virus ay humihingi ng humigit-kumulang 10 libong rubles.

Para sa iba pang mga banta (gpcode, atbp.) Ang tag ng presyo ay maaaring mula sa 2 libong rubles. Kadalasan, ang halagang ito ay lumalabas na mas mababa kaysa sa mga pagkalugi na maaaring idulot ng kawalan ng data at mas mababa kaysa sa halagang maaaring hilingin sa iyo ng mga manggagawa para sa manu-manong pag-decrypt ng mga file.

Upang buod, ang pinakamahusay na proteksyon laban sa mga virus ng ransomware ay ang pag-back up ng mahalagang data mula sa mga server at workstation ng user.

Nasa iyo kung ano ang gagawin. Good luck.

Karaniwang nagbabasa ang mga user na nagbabasa ng post na ito:

Kamakailan lamang, ang buong Internet ay nabalisa ng mga viral na epidemya. Ang WannaCry ransomware, Petya encryptor at iba pang mga virtual na masasamang bagay ay umaatake sa mga computer at laptop, na nakakasagabal sa kanilang normal na operasyon at nakakahawa sa data na nakaimbak sa hard drive. Ginagawa ito upang pilitin ang gumagamit na magbayad ng pera sa mga tagalikha ng malware. Nais kong magbigay ng ilang mga tip na makakatulong na maprotektahan ang iyong computer hangga't maaari mula sa mga virus at maiwasan ang mga ito na mahawahan ang mahalagang data.

Magagamit ang mga ito bilang mga panuntunan, ang pagsunod sa kung saan ay ang susi sa seguridad ng impormasyon ng iyong PC.

1. Tiyaking gumamit ng antivirus

Anumang computer na may naka-install na Windows operating system at may access sa Internet ay dapat may naka-install na antivirus program. Ito ay hindi kahit na tinalakay, ito ay isang axiom! Kung hindi man, halos sa unang araw ay maaari kang makakuha ng napakaraming impeksyon na ang isang kumpletong muling pag-install ng OS at pag-format ng hard drive ay magliligtas sa iyo. Ang tanong ay agad na lumitaw - aling antivirus ang mas mahusay na i-install? Mula sa sarili kong karanasan, masasabi kong walang mas mahusay kaysa sa Kaspersky Internet Security o DrWeb Security Space! Sa personal, ako mismo ay aktibong gumagamit ng parehong mga programa sa bahay at sa trabaho at maaari kong sabihin nang may kumpiyansa na madali nilang makita ang 99% ng lahat ng mga impeksyon na dumarating, gumagana nang mabilis at walang mga reklamo, kaya tiyak na sulit ang pera.

Kung hindi ka pa handang mag-shell out para sa mahusay na proteksyon ng computer laban sa mga virus, maaari kang gumamit ng mga libreng antivirus application. Bukod dito, ang kanilang pagpipilian ay napakalaki. Nai-post ko na ito sa aking site - maaari mong gamitin ang isa sa mga opsyon na inaalok doon.

Tandaan: Para sa aking sarili, nag-compile ako ng isang maliit na anti-rating ng antivirus software, na hindi ko ginagamit ang aking sarili at hindi inirerekomenda sa iba. Narito ang mga ito: Avast, Eset NOD32, F-Secure, Norton Antivirus, Microsoft Security Essentials. Maniwala ka sa akin, ang mga ito ay hindi walang laman na mga salita at ang mga programa ay hindi kasama sa listahang ito nang nagkataon! Ang mga konklusyon ay iginuhit batay sa personal na karanasan sa paggamit, pati na rin ang karanasan ng aking mga kaibigan at kasamahan.

2. I-update ang iyong operating system at mga program sa isang napapanahong paraan

Subukang huwag gumamit ng lumang software. Nalalapat ito hindi lamang sa ipinag-uutos na regular na pag-update ng database ng antivirus (bagaman kahit na ito ay isang bagay na madalas na ganap na nakakalimutan ng mga gumagamit)! Huwag pabayaan ang pag-install ng mga update sa Windows kahit isang beses sa isang buwan. Bukod dito, ginagawa ito ng OS sa sarili nitong kailangan mo lamang magpatakbo ng paghahanap sa pamamagitan ng Update Center.

Hindi mo rin dapat kalimutan ang tungkol sa pag-update ng iba pang mga program, dahil ang mga lumang bersyon ay naglalaman ng mga kahinaan na agad na sinusubukang pagsamantalahan ng mga umaatake sa pagtatangkang mahawahan ang iyong device. Ito ay totoo lalo na para sa mga web browser at iba pang mga application kung saan ka nagsu-surf sa Internet.

3. Huwag magtrabaho bilang Administrator

Ang pangunahing pagkakamali ng karamihan sa mga user, na maaaring maging sanhi ng pagkabigo kahit na ang pinaka-advanced na proteksyon ng virus, ay gumagana sa system na may pinakamataas na mga pribilehiyo, iyon ay, na may mga karapatan ng Administrator. Gumawa ng regular na user account na may limitadong mga karapatan at magtrabaho sa ilalim nito. Subukang huwag magbigay ng mga karapatan ng Administrator sa ibang mga user - isa itong malaking agwat sa seguridad ng iyong computer. Tulad ng ipinapakita ng kasanayan, karamihan sa mga nakakahamak na application ay hindi makukumpleto ang kanilang mapanirang gawain kung ang user ay walang mga pribilehiyo ng superuser sa oras na pumasok sila sa system. Ang malware ay hindi magkakaroon ng sapat na mga karapatan upang magsagawa ng mga aksyon.

4. Gumamit ng mga tool sa pagbawi ng system

Ang bawat bersyon ng operating system mula sa Microsoft, na nagsisimula sa ngayon ay sinaunang Windows XP at nagtatapos sa naka-istilong "Sampung", ay may built-in na tool para sa paglikha at paggamit ng mga restore point, kung saan maaari mong ibalik ito sa isang dating gumaganang estado.
Halimbawa, kung nakakuha ka ng virus, maaari kang bumalik sa huling restore point noong hindi pa naapektuhan ang OS.

Kapansin-pansin na kung mahuli mo ang ransomware, sa ilang mga kaso maaari mong ibalik ang ilan sa mga naka-encrypt na file gamit ang mga anino na kopya ng Windows.
Tiyaking suriin kung ang function na ito ay pinagana sa system. Upang gawin ito, mag-right-click sa icon ng computer at piliin ang "Properties" mula sa menu na lilitaw:

Sa lalabas na window, sa menu sa kanan, mag-click sa "Mga advanced na setting" upang buksan ang isa pang window ng System Properties:

Sa tab na "System Protection", hanapin at i-click ang button na "I-configure". Magbubukas ang isa pang window. Maglagay ng tuldok sa checkbox na "Paganahin ang proteksyon." Sa ibaba, kakailanganin mo ring ilipat ang slider ng paggamit ng disk sa hindi bababa sa 5-10% para makapag-save ang OS ng ilang mga restore point. Ilapat ang mga pagbabagong ginawa.

5. Mga nakatagong file at extension

Sa Windows, bilang default, hindi ipinapakita ang mga extension ng file, at hindi rin nakikita ang mga nakatagong file at folder. Ito ay madalas na ginagamit ng mga umaatake upang mag-inject ng mga virus sa mga PC. Ang isang executable na file na may extension na ".exe" o isang script na ".vbs" ay karaniwang nakakubli bilang isang Word document o Excel spreadsheet at tinatangka na i-slip sa isang hindi pinaghihinalaang user. Sa prinsipyong ito gumagana ang mga kamakailang laganap na encryptors.

Iyon ang dahilan kung bakit inirerekumenda kong pumunta sa mga pagpipilian sa folder at sa tab na "Tingnan", alisan ng tsek ang "Itago ang mga extension para sa mga nakarehistrong uri ng file", at sa ibaba, lagyan ng check ang checkbox na "Ipakita ang mga nakatagong file, folder at drive". Mag-click sa pindutang "OK". Papayagan ka nitong protektahan ang iyong computer mula sa mga nakatago at disguised na mga virus, pati na rin ang mabilis na pagsubaybay sa mga nakakahamak na attachment sa mga titik, flash drive, atbp.

6. Huwag paganahin ang remote control

Sa Windows OS, bilang default, ang remote control function sa pamamagitan ng RDP - Remote Desktop Protocol ay pinagana. Hindi ito maganda, at samakatuwid ay inirerekumenda kong huwag paganahin ang opsyong ito kung hindi mo ito gagamitin. Upang gawin ito, buksan ang mga katangian ng system at pumunta sa "Mga advanced na setting":

Pumunta sa tab na "Remote Access" at lagyan ng check ang checkbox na "Huwag payagan ang mga malayuang koneksyon sa computer na ito." Kailangan mo ring alisan ng check ang checkbox na "Pahintulutan ang mga malayuang koneksyon sa computer na ito." Ilapat ang mga setting sa pamamagitan ng pag-click sa pindutang "OK".

7. Sundin ang mga panuntunan sa seguridad ng impormasyon

Huwag kalimutan ang tungkol sa mga pangunahing kaalaman sa ligtas na trabaho sa iyong PC at sa Internet. Narito ang ilang alituntunin na dapat mong sundin sa iyong sarili at ipaliwanag ang kahalagahan nito sa iyong pamilya, kaibigan at kasamahan sa trabaho.

— Gumamit ng kumplikado at mahaba (hindi hihigit sa 8 character) na mga password;
— Gumamit ng two-factor authentication hangga't maaari;
— Huwag i-save ang mga password sa memorya ng browser;
— Hindi na kailangang mag-imbak ng mga password sa mga text file, at sa pangkalahatan ay hindi mo dapat itago ang mga ito sa iyong computer;
— Mag-log out sa iyong account pagkatapos ng trabaho (kung maraming tao ang gumagamit ng PC);
— Huwag buksan ang mga kalakip sa mga liham mula sa mga hindi kilalang tao;
— Huwag magpatakbo ng mga file na may extension na .exe, .bat, .pdf, .vbs mula sa mga titik, kahit na mula sa mga taong kilala mo;
— Huwag gamitin ang iyong personal o trabahong E-Mail para magparehistro sa mga website at social network;

Tanging ang mandatoryong pagsunod sa mga nakalistang pangunahing kaalaman ng digital na seguridad ang magbibigay-daan sa iyong panatilihin ang proteksyon ng iyong computer mula sa mga virus ng ransomware at mga encryptor sa medyo mataas na antas!

P.S.: Sa wakas, nais kong sabihin na mas madaling gumawa ng mga pag-iingat nang maaga at maiwasan ang isang impeksyon sa viral kaysa sa pagharap sa mga kahihinatnan nito sa pag-asa na mabawi ang hindi bababa sa ilang impormasyon!

Magandang hapon, mahal na mga mambabasa at panauhin ng blog, tulad ng naaalala mo noong Mayo 2017, ang isang malakihang alon ng impeksyon ng mga computer na may operating system ng Windows ay nagsimula sa isang bagong ransomware virus na tinatawag na WannaCry, bilang isang resulta kung saan nagawa nitong makahawa at mag-encrypt ng data sa higit sa 500,000 mga computer , isipin lang ang figure na ito. Ang pinakamasamang bagay ay ang ganitong uri ng virus ay halos hindi nahuli ng mga modernong solusyon sa antivirus, na ginagawang mas pagbabanta sa ibaba ay sasabihin ko sa iyo ang isang paraan kung paano protektahan ang iyong data mula sa impluwensya nito at kung paano protektahan ang iyong sarili mula sa ransomware sa isang minuto, sa tingin ko ay makikita mo itong kawili-wili.

Ano ang ransomware virus?

Ang isang encryptor virus ay isang uri ng Trojan program na ang gawain ay upang mahawahan ang workstation ng user, tukuyin ang mga file ng kinakailangang format dito (halimbawa, mga larawan, audio recording, video file), pagkatapos ay i-encrypt ang mga ito na may pagbabago sa uri ng file, bilang isang resulta kung saan hindi na mabubuksan ng user ang mga ito , nang walang espesyal na decoder program. Parang ganito.

Mga naka-encrypt na format ng file

Ang pinakakaraniwang mga format ng file pagkatapos ng pag-encrypt ay:

• wala na_ng_tubos
• vault

Mga kahihinatnan ng isang ransomware virus

Ilalarawan ko ang pinakakaraniwang kaso kung saan sangkot ang isang encoder virus. Isipin natin ang isang ordinaryong gumagamit sa anumang abstract na organisasyon, sa 90 porsiyento ng mga kaso ang gumagamit ay may Internet sa kanyang lugar ng trabaho, dahil sa tulong nito nagdudulot siya ng kita sa kumpanya, nagsu-surf siya sa espasyo sa Internet. Ang isang tao ay hindi isang robot at maaaring magambala sa trabaho sa pamamagitan ng pagtingin sa mga site na interesado siya, o mga site na inirerekomenda sa kanya ng kanyang kaibigan. Bilang resulta ng aktibidad na ito, maaari niyang mahawahan ang kanyang computer ng isang file encryptor nang hindi alam at alamin ang tungkol dito kapag huli na ang lahat. Ginawa na ng virus ang trabaho nito.

Ang virus, sa oras ng operasyon nito, ay sumusubok na iproseso ang lahat ng mga file kung saan ito ay may access, at dito magsisimula na ang mga mahahalagang dokumento sa folder ng departamento kung saan may access ang user ay biglang naging mga digital na basura, mga lokal na file at marami pang iba. Malinaw na dapat mayroong mga backup na kopya ng mga pagbabahagi ng file, ngunit ano ang tungkol sa mga lokal na file, na maaaring bumubuo sa buong gawain ng isang tao, bilang isang resulta, ang kumpanya ay nawalan ng pera para sa walang ginagawa, at ang tagapangasiwa ng system ay umalis sa kanyang comfort zone at ginugugol ang kanyang oras sa pag-decrypt ng mga file.

Ang parehong ay maaaring mangyari sa isang ordinaryong tao, ngunit ang mga kahihinatnan dito ay lokal at nag-aalala sa kanya at sa kanyang pamilya nang personal. Napakalungkot na makita ang mga kaso kung saan na-encrypt ng virus ang lahat ng mga file, kabilang ang mga archive ng larawan ng pamilya, at ang mga tao ay walang backup na kopya, well. , hindi karaniwan sa mga ordinaryong tao na gumagamit na gawin ito.

Sa mga serbisyo ng ulap, ang lahat ay hindi gaanong simple, kung iniimbak mo ang lahat doon at hindi gumagamit ng isang makapal na kliyente sa iyong Windows operating system, ito ay isang bagay, 99% ng oras na walang nagbabanta sa iyo doon, ngunit kung gagamitin mo, halimbawa, Yandex disk o "mail Cloud" na nagsi-synchronize ng mga file mula sa iyong computer papunta dito, pagkatapos ay kung nahawa ka at natanggap na ang lahat ng mga file ay naka-encrypt, ang programa ay direktang ipapadala ang mga ito sa cloud at mawawala mo rin ang lahat.

Bilang isang resulta, nakakita ka ng isang larawan tulad nito, kung saan sinabi sa iyo na ang lahat ng mga file ay naka-encrypt at kailangan mong magpadala ng pera, ngayon ito ay ginagawa sa bitcoins upang hindi makilala ang mga umaatake. Pagkatapos ng pagbabayad, dapat silang magpadala sa iyo ng isang decryptor at ibabalik mo ang lahat.

Huwag magpadala ng pera sa mga kriminal

Tandaan na walang isang modernong antivirus ngayon ang maaaring magbigay ng proteksyon sa Windows laban sa ransomware, sa isang simpleng dahilan na ang Trojan na ito ay hindi gumagawa ng anumang kahina-hinala mula sa punto ng view nito, ito ay mahalagang kumikilos tulad ng isang gumagamit, nagbabasa ito ng mga file, nagsusulat, hindi katulad ng mga virus, ito ay hindi sumusubok na baguhin ang mga file ng system o magdagdag ng mga registry key, kung kaya't ang pagtuklas nito ay napakahirap, walang linya na nakikilala ito mula sa gumagamit

Mga mapagkukunan ng ransomware trojans

Subukan nating i-highlight ang mga pangunahing pinagmumulan ng pagpasok ng encryptor sa iyong computer.

1. Email > napakadalas na nakakatanggap ang mga tao ng kakaiba o pekeng mga email na may mga link o mga nahawaang attachment, sa pag-click kung saan ang biktima ay nagsisimulang magkaroon ng walang tulog na gabi. Sinabi ko sa iyo kung paano protektahan ang email, ipinapayo ko sa iyo na basahin ito.
2. Sa pamamagitan ng software - nag-download ka ng program mula sa hindi kilalang pinagmulan o pekeng site, naglalaman ito ng encoder virus, at kapag na-install mo ang software, idinaragdag mo ito sa iyong operating system.
3. Sa pamamagitan ng mga flash drive - ang mga tao ay madalas pa ring bumibisita sa isa't isa at naglilipat ng isang grupo ng mga virus sa pamamagitan ng mga flash drive, ipinapayo ko sa iyo na basahin ang "Pagprotekta sa isang flash drive mula sa mga virus"
4. Sa pamamagitan ng mga IP camera at network device na may access sa Internet - kadalasan, dahil sa maling mga setting sa isang router o IP camera na nakakonekta sa isang lokal na network, ang mga hacker ay nakakahawa sa mga computer sa parehong network.

Paano protektahan ang iyong PC mula sa ransomware

Ang wastong paggamit ng iyong computer ay nagpoprotekta sa iyo mula sa ransomware, katulad ng:

• Huwag buksan ang mail na hindi mo alam at huwag sundin ang mga hindi kilalang link, gaano man sila makaabot sa iyo, ito man ay mail o alinman sa mga messenger
• Mag-install ng mga update sa operating system ng Windows o Linux sa lalong madaling panahon, hindi gaanong madalas, halos isang beses sa isang buwan. Kung pinag-uusapan natin ang tungkol sa Microsoft, ito ang ikalawang Martes ng bawat buwan, ngunit sa kaso ng mga file encryptors, ang mga update ay maaaring abnormal.
• Huwag ikonekta ang hindi kilalang flash drive sa iyong computer;
• Siguraduhin na kung ang iyong computer ay hindi kailangang ma-access sa lokal na network sa iba pang mga computer, pagkatapos ay i-off ang access dito.
• Limitahan ang mga karapatan sa pag-access sa mga file at folder
• Pag-install ng solusyon sa antivirus
• Huwag mag-install ng mga hindi maintindihang program na na-hack ng isang taong hindi kilala

Malinaw ang lahat sa unang tatlong puntos, ngunit tatalakayin ko ang natitirang dalawa nang mas detalyado.

Huwag paganahin ang network access sa iyong computer

Kapag tinanong ako ng mga tao kung paano magpoprotekta laban sa ransomware sa Windows, ang unang bagay na inirerekomenda ko ay i-disable ng mga tao ang "Microsoft Networks File and Printer Sharing Service," na nagpapahintulot sa ibang mga computer na ma-access ang mga mapagkukunan ng computer na ito gamit ang mga network ng Microsoft. May kaugnayan din ito mula sa mausisa na mga administrator ng system na nagtatrabaho para sa iyong provider.

Huwag paganahin ang serbisyong ito at protektahan ang iyong sarili mula sa ransomware sa isang lokal o network ng provider, gaya ng sumusunod. Pindutin ang key combination na WIN+R at sa window na bubukas, execute, ipasok ang command ncpa.cpl. Ipapakita ko ito sa aking pansubok na computer na tumatakbo sa Windows 10 Creators Update.

Piliin ang nais na interface ng network at i-right-click dito, piliin ang "Properties" mula sa menu ng konteksto

Nahanap namin ang item na "Pagbabahagi ng file at printer para sa mga network ng Microsoft" at i-uncheck ito, pagkatapos ay i-save, lahat ng ito ay makakatulong na protektahan ang iyong computer mula sa isang ransomware virus sa lokal na network ay hindi maa-access.

Paghihigpit sa mga karapatan sa pag-access

Ang proteksyon laban sa ransomware virus sa Windows ay maaaring ipatupad sa ganitong kawili-wiling paraan, sasabihin ko sa iyo kung paano ko ito ginawa para sa aking sarili. At kaya ang pangunahing problema sa paglaban sa mga encryptor ay ang mga antivirus ay hindi maaaring labanan ang mga ito sa real time, mabuti, hindi ka nila mapoprotektahan sa ngayon, kaya kami ay magiging mas tuso. Kung ang encryptor virus ay walang mga karapatan sa pagsusulat, hindi ito makakagawa ng anuman sa iyong data. Bigyan kita ng isang halimbawa, mayroon akong isang folder ng larawan, ito ay naka-imbak nang lokal sa computer, kasama ang dalawang backup na kopya sa iba't ibang mga hard drive. Sa aking lokal na computer, lumikha ako ng mga read-only na karapatan dito para sa account kung saan ako gumagamit ng computer. Kung nakapasok ang virus, wala itong sapat na karapatan, tulad ng nakikita mo, simple ang lahat.

Kung paano ipatupad ang lahat ng ito upang maprotektahan ang iyong sarili mula sa mga file encryptors at protektahan ang lahat, ginagawa namin ang sumusunod.

• Piliin ang mga folder na kailangan mo. Subukang gumamit ng mga folder; Sa isip, lumikha ng isang folder na tinatawag na read-only, at ilagay ang lahat ng mga file at folder na kailangan mo dito. Ang magandang bagay ay sa pamamagitan ng pagtatalaga ng mga karapatan sa tuktok na folder, awtomatiko silang mailalapat sa iba pang mga folder dito. Kapag nakopya mo na ang lahat ng kinakailangang file at folder dito, magpatuloy sa susunod na hakbang
• Mag-right-click sa folder mula sa menu at piliin ang "Properties"

• Pumunta sa tab na "Seguridad" at i-click ang button na "Baguhin".

• Sinusubukan naming tanggalin ang mga pangkat ng pag-access, kung nakatanggap kami ng window ng babala na "Hindi matatanggal ang grupo dahil ang object na ito ay nagmamana ng mga pahintulot mula sa magulang nito," pagkatapos ay isara ito.

• I-click ang pindutang "Advanced". Sa item na bubukas, i-click ang "huwag paganahin ang mana"

• Kapag tinanong "Ano ang gusto mong gawin sa kasalukuyang minanang mga pahintulot" piliin ang "Alisin ang lahat ng minanang pahintulot mula sa bagay na ito"

• Bilang resulta, ang lahat ng nasa field na "Mga Pahintulot" ay tatanggalin.

• I-save ang mga pagbabago. Pakitandaan na ngayon lamang ang may-ari ng folder ang makakapagpalit ng mga pahintulot.

• Ngayon sa tab na "Seguridad," i-click ang "I-edit"

• Susunod, i-click ang "Add - Advanced"

• Kailangan naming idagdag ang pangkat na "Lahat", upang gawin ito, i-click ang "Paghahanap" at piliin ang nais na grupo.

• Upang maprotektahan ang Windows mula sa ransomware, dapat ay mayroon kang mga pahintulot na nakatakda para sa pangkat na "Lahat", tulad ng nasa larawan.

• Ngayon, walang encryptor virus ang magbabanta sa iyo para sa iyong mga file sa direktoryong ito.

Umaasa ako na ang Microsoft at iba pang mga solusyon sa antivirus ay magagawang mapabuti ang kanilang mga produkto at maprotektahan ang mga computer mula sa ransomware bago ang kanilang malisyosong gawain, ngunit hanggang sa mangyari ito, sundin ang mga panuntunang inilarawan ko sa iyo at palaging gumawa ng mga backup na kopya ng mahalagang data.