Директно насочване към потребителски данни с цел кражба на големи суми пари, една от най-опасните форми на зловреден софтуер, Сайт за рансъмуер представлява големи предизвикателства за производителите антивирус, принудени да прибягват до агресивни методологични процедури, за да гарантират, че потребителите не са засегнати. За съжаление, колкото и добра да е използваната антивирусна програма, възстановяването на всички компрометирани файлове остава инфекция с ransomware изобщо не е гарантирано, като превенцията е единственият наистина ефективен начин за защита.

Вид зловреден софтуер, способен да изтрие колекция от снимки и документи от паметта на устройството, оставяйки след себе си криптирани версии, които могат да бъдат отворени само с помощта на ключ за достъп, ransomware е цифровата версия на грабежи с вземане на заложници.

Ако първите форми на ransomware са използвали сравнително елементарни методи, шифровайки потребителски файлове с помощта на уникални ключове за шифроване, сравнително лесни за възстановяване за производителите на антивирусни програми, които предоставят помощни програми за дезинфекция, способни да възстановяват напълно блокирани файлове, същото не може да се каже за много по-сложните варианти (напр. Криптостена), които генерират уникални ключове за криптиране за всяко заразено устройство, които препращат към сървър за събиране, собственост на нападателите. През повечето време криптираните по този начин файлове не могат да бъдат възстановени, като щетите, причинени на засегнатите потребители и компании, са значителни.

В зависимост от версията, тази форма на зловреден софтуер може да се разпространи чрез използване на уязвимости на уеб браузър, активиран при посещение на компрометиран уебсайт или чрез погрешно инсталиране на разширение или компонент на приставка, предложен при посещение на уебсайт. Друг по-малко известен начин за автоматично изпълнение на вируси на компютрите на жертвите и криптиране на тяхното съдържание е прикачването на заразени файлове към убедително формулирани имейл съобщения, понякога дори персонализирани за избраната цел. Това е предпочитаният метод за Криптостена, разширена версия на Криптовалута, който криптира документи от заразени компютри и след това изисква пари от потребителя в замяна на ключа за дешифриране. Заразеният файл, прикачен към имейл съобщението, използва разширение .chm, свързано HTML формат compilat, un tip de fisier aparent inofensiv, folosit in mod normal pentru a livra manuale de utilizare si aplicatii software. De fapt, aceste fisiere sunt interactive si ruleaza o serie de tehnologii ce includ JavaScript, avand posibilitatea de a redirectiona utilizatorul catre o adresa externa. Dupa simpla deschidere a fisierului .chm, acesta executa diverse actiuni in mod independent, obiectivul final fiind producerea unei infectari.

Relativ nou, Trojan.DownLoad3.35539 (вариант CTB-Locker) este raspandit prin mesaje email, ca atasament in arhiva ZIP, continand un fisier cu extensie .SCR. Daca fisierul este deschis, programul infectat extrage pe hard disk un document RTF което показва на дисплея. Междувременно във фонов режим програмата за криптиране се изтегля от сървър под контрола на нападателите. След като бъде декомпресиран и активиран, той продължава да сканира устройствата за съхранение в търсене на личните документи на потребителя, които изземва, заменяйки оригинала с криптирани версии. След приключване на мисията, потребителят се уведомява чрез съобщение, че трябва да плати за обратно изкупуване на лични данни.

Как предотвратявате заразяване с Cryptowall и други подобни форми на ransomware?

Следвайки указанията на експертите Bitdefender, обикновените потребители и системните администратори могат значително да намалят риска от инфекция, както и щетите, причинени от нея, като вземат предвид някои основни правила:

• Utilizeaza o solutie de securitate informatica actualizata in mod constant si capabila de scanare activa.
• Programeaza back-up-ul fisierelor pe unul sau mai multe hard disk-uri externe ce nu raman conectate permanent la PC sau in reteaua locala sau folosind un serviciu de stocare cloud.
• Evita vizitarea site-urilor necunoscute, nu accesa link-uri sau fisiere incluse ca atasament la mesaje email cu origine nesigura si nu furniza informatii personale pe chat-uri publice sau forum-uri. Cateodata, este posibil ca mesaje cu atasamente infectate sa fie primite inclusiv de la adrese cunoscute, daca PC-ul aflat la celalalt capat a fost compromis, sau adresa email a fost adaugata abuziv la campul Expeditor.
• Implementeaza/activeaza o solutie de blocare a reclamelor, precum si filtre antispam.
• Използвайте уеб браузър с поддръжка за виртуализация или напълно деактивирайте поддръжката за възпроизвеждане на съдържание Светкавица.
• Работодателите трябва да обучат служителите си относно идентифицирането на опити за социално инженерство и фишинг, използвайки имейл съобщения.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

В същото време системните администратори трябва да наложат групови политики, за да блокират изпълнението на вируса от определени места. Това може да стане на Windows Professional или Windows Server Edition. опция Политики за ограничаване на софтуера можете да намерите в редактора Местна политика за сигурност. След достъп до бутона Нови правила за ограничаване на софтуера отдолу Допълнителни правила, ще се използва следното Правила на пътя с ниво на сигурност “Отменен”:

Използването на тези механизми трябва да се ограничи или блокира Криптостена, но за повече защита, Bitdefender ни предлага Криптостена Имунизатор. Действа като допълнителен защитен механизъм, който работи паралелно с антивирусно решение постоянно активирана, помощната програма позволява на потребителите да имунизират компютрите си и да блокират всеки опит за криптиране на файлове, преди това да се случи.