كيفية منع العدوى مع فيروسات الفدية ، والمسؤولة عن حذف البيانات وطلب الضرائب لفك التشفير

استهداف بيانات المستخدمين مباشرة لغرض سرقة مبالغ كبيرة من المال ، واحدة من أخطر النماذج البرامج الضارةو موقع الفدية يقدم تحديات كبيرة للمنتجين مكافحة الفيروساتمجبرًا على اللجوء إلى الإجراءات المنهجية العدوانية لضمان عدم تأثر المستخدمين. لسوء الحظ ، بغض النظر عن مدى جودة برنامج مكافحة الفيروسات ، فإن استرداد جميع الملفات تتعرض للخطر وراء العدوى مع فدية ليس مضمونًا على الإطلاق ، حيث يتم الاحتفاظ بالوقاية من الحماية الفعالة الوحيدة حقًا.

نوع من البرامج الضارة القادرة على حذف مجموعة الصور والمستندات من ذاكرة الجهاز ، تاركًا وراءها الإصدارات المشفرة التي لا يمكن فتحها إلا من خلال مفتاح الوصول ، تمثل البرامج الفدية البديل الرقمي للسرقة مع الرهائن.

إذا لجأت النماذج الأولى من الفدية إلى طرق بدائية نسبيًا ، فإن تشفير ملفات المستخدمين باستخدام مفاتيح تشفير فريدة من نوعها ، من السهل نسبيًا استردادها لمنتجي مكافحة الفيروسات ، الذين قدموا أدوات مساعدة للتطهير ، القادر على استعادة الملفات المحظورة بالكامل ، وليس نفس الشيء يمكن قوله عن المتغيرات الأكثر تطهيرًا (EG. cryptowall) ، الذي يولد مفاتيح تشفير فريدة لكل جهاز مصاب ، أرسله إلى خادم تجميع في حوزة المهاجمين. في معظم الأوقات ، لم يعد بالإمكان استرداد الملفات المشفرة بهذه الطريقة ، حيث أن الأضرار التي لحقت بالمستخدمين والشركات المتأثرة كبيرة.

اعتمادًا على الإصدار ، يمكن نشر هذا النموذج من البرامج الضارة على ثغرات الاستغلال متصفح الويب، يتم تنشيطه عند زيارة موقع ويب معرض للخطر ، أو عن طريق تثبيت مكون ملحق أو مكون إضافي مقترح لزيارة موقع ويب. هناك طريقة أخرى أقل شهرة لتنفيذ الفيروسات تلقائيًا على أجهزة كمبيوتر الضحايا وتشفير محتواها وهي إرفاق الملفات المصابة لإقناع رسائل البريد الإلكتروني ، وأحيانًا تخصيصًا للهدف المختار. هذه هي الطريقة المفضلة لـ cryptowall، نسخة متقدمة من cryptocker، الذي يقوم بتشفير المستندات الموجودة في أجهزة الكمبيوتر المصابة ثم يطلب المال من المستخدم ، في مقابل مفتاح فك التشفير. يستخدم الملف المصاب ، المرفق برسالة البريد الإلكتروني ، extensia .chm، مرتبط تنسيق HTML تم تجميع ملف غير ضار على ما يبدو ، يستخدم عادة لتسليم أدلة المستخدم و تطبيقات البرمجيات. في الواقع ، هذه الملفات تفاعلية وتدير عددًا من التقنيات التي تتضمن جافا سكريبت، وجود إمكانية إعادة توجيه المستخدم إلى عنوان خارجي. بعد الافتتاح البسيط لـ ملف .chm، يقوم بإجراءات مختلفة بشكل مستقل ، والهدف النهائي هو إنتاج العدوى.

جديد نسبيا ، Trojan.Download3.35539 (البديل CTB-Locker) ينتشر من خلال رسائل البريد الإلكتروني ، كمرفق في أرشيف الرمز البريدي، يحتوي على ملف مع التمديد .SCR. إذا كان الملف مفتوحًا ، فستستخلص البرنامج المصاب على القرص الثابت وثيقة الأمم المتحدة RTF الذي يعرضه على الشاشة. وفي الوقت نفسه ، في الخلفية ، يتم تنزيل برنامج التشفير على الخادم تحت التحكم في المهاجمين. بمجرد أن تتحلل وتنشيطها ، فإنه يطبق مسح أجهزة التخزين بحثًا عن المستندات الشخصية للمستخدم ، والتي يستولي عليها ، واستبدال الأصلي بالإصدارات المشفرة. بعد الوفاء بالمهمة ، يتم الإعلان عن المستخدم برسالة مفادها أنه يجب أن يدفع مقابل استرداد البيانات الشخصية.

كيف تمنع العدوى مع cryptowall وغيرها من الفدية المماثلة؟

باتباع مؤشرات الخبراء bitdefender، يمكن للمستخدمين العاديين ومسؤولي النظام تقليل مخاطر العدوى بشكل كبير ، وكذلك الأضرار الناجمة عن ذلك ، مع مراعاة بعض القواعد الأساسية:

يستخدم حل أمان الكمبيوتر باستمرار وقادر على المسح النشط.
الجداول الاحتياطي ملفات على محركات أقراص صلبة خارجية واحدة أو أكثر لا تظل متصلة بشكل دائم بالكمبيوتر أو في الشبكة المحلية أو باستخدامها خدمة تخزين السحابة.
تجنب زيارة المواقع غير المعروفة ، ولا تصل إلى روابط أو ملفات مدرجة كمرفق للبريد الإلكتروني مع أصل غير آمن ولا يقدم معلومات شخصية عن الدردشات العامة أو المنتديات. في بعض الأحيان ، يكون من الممكن أن يتم استلام الرسائل ذات المرفقات المصابة من عناوين معروفة ، إذا تم اختراق الكمبيوتر في الطرف الآخر ، أو تمت إضافة عنوان البريد الإلكتروني إلى حقل المرسل.
ينفذ/ينشط حلاً لحظر الإعلانات ، وكذلك مرشح antispam.
استخدم متصفح ويب مع دعم Virtualizares أو إلغاء تنشيط حامل تشغيل المحتوى بالكامل فلاش.
يجب على أرباب العمل تدريب موظفيهم فيما يتعلق بتحديد محاولات الهندسة الاجتماعية و التصيد، باستخدام رسائل البريد الإلكتروني.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

في الوقت نفسه ، يجب على مسؤولي النظام تعزيز سياسات المجموعة لمنع تنفيذ الفيروس من مواقع محددة. يمكن القيام بذلك على Windows Professional أو Windows Server Edition. خيار سياسات تقييد البرامج يمكن الوفاء بها في المحرر سياسة الأمن المحلية. بعد الوصول إلى الزر سياسات تقييد البرامج الجديدة من الأسفل قواعد إضافية، سيتم استخدام ما يلي قواعد المسار مع مستوى الأمن “تفكك”:

يجب أن يحد استخدام هذه الآليات أو يحظر cryptowall، ولكن لمزيد من الحماية ، bitdefender يقترحنا cryptowall المناعة. تعمل كآلية وقائية إضافية ، والتي تعمل بالتوازي مع محلول مكافحة الفيروسات يتم تنشيطها بشكل دائم ، تتيح الأداة المساعدة للمستخدمين تحصين أجهزة الكمبيوتر الخاصة بهم وحظر أي محاولة تشفير الملف، قبل أن يحدث.