Direktes Angreifen von Benutzerdaten mit dem Ziel, große Geldsummen zu stehlen, eine der gefährlichsten Formen Malware, Ransomware-Site stellt die Produzenten vor große Herausforderungen Antivirus, gezwungen, auf aggressive methodische Verfahren zurückzugreifen, um sicherzustellen, dass Benutzer nicht beeinträchtigt werden. Leider bleibt die Wiederherstellung aller gefährdeten Dateien bestehen, egal wie gut das verwendete Antivirenprogramm ist Infektion mit Ransomware Dies ist überhaupt nicht gewährleistet, denn Prävention ist die einzige wirklich wirksame Schutzmaßnahme.

Ransomware ist eine Art Malware, die in der Lage ist, die Sammlung von Fotos und Dokumenten aus dem Speicher des Geräts zu löschen und verschlüsselte Versionen zurückzulassen, die nur mithilfe eines Zugriffsschlüssels geöffnet werden können. Sie ist die digitale Version von Raubüberfällen mit Geiselnahme.

Während die ersten Formen von Ransomware relativ rudimentäre Methoden nutzten, bei denen die Dateien der Benutzer mit eindeutigen Verschlüsselungsschlüsseln verschlüsselt wurden, die für Antivirenhersteller, die Desinfektionsprogramme zur Verfügung stellten, relativ einfach wiederherzustellen waren und blockierte Dateien vollständig wiederherstellen konnten, kann das Gleiche nicht über die viel ausgefeilteren Varianten gesagt werden (z. B. Cryptowall), die für jedes infizierte Gerät eindeutige Verschlüsselungsschlüssel generieren, die sie an einen Sammelserver weiterleiten, der den Angreifern gehört. In den meisten Fällen können die so verschlüsselten Dateien nicht wiederhergestellt werden, wodurch der Schaden für die betroffenen Benutzer und Unternehmen erheblich ist.

Abhängig von der Version kann diese Form von Malware durch Ausnutzung von Schwachstellen verbreitet werden Webbrowser, aktiviert beim Besuch einer manipulierten Website oder durch versehentliche Installation einer Erweiterung oder Plugin-Komponente, die beim Besuch einer Website vorgeschlagen wird. Eine andere, weniger bekannte Möglichkeit, Viren automatisch auf den Computern der Opfer auszuführen und deren Inhalte zu verschlüsseln, ist das Anhängen infizierter Dateien an überzeugend formulierte E-Mail-Nachrichten, manchmal sogar personalisiert für das ausgewählte Ziel. Dies ist die bevorzugte Methode Cryptowall, eine erweiterte Version von Kryptolocker, das Dokumente von infizierten Computern verschlüsselt und dann vom Benutzer Geld als Gegenleistung für den Entschlüsselungsschlüssel verlangt. Die infizierte Datei, die an die E-Mail-Nachricht angehängt ist, verwendet Erweiterung .chm, verbunden HTML-Format kompiliert, ein scheinbar harmloser Dateityp, der normalerweise zur Übermittlung von Benutzerhandbüchern usw. verwendet wird Softwareanwendungen. Tatsächlich sind diese Dateien interaktiv und führen eine Reihe von Technologien aus, darunter JavaScript, mit der Möglichkeit, den Benutzer an eine externe Adresse umzuleiten. Nach dem einfachen Öffnen eines die .chm-DateiEs führt unabhängig voneinander verschiedene Aktionen aus, deren Endziel die Entstehung einer Infektion ist.

relativ neu, Trojan.DownLoad3.35539 (Variante CTB-Schließfach) wird über E-Mail-Nachrichten als Anhang in verteilt ZIP-Archiv, enthält eine Datei mit .SCR-Erweiterung. Wenn die Datei geöffnet wird, wird das infizierte Programm auf die Festplatte extrahiert ein RTF-Dokument pe care il afiseaza pe display. Intre timp, in background, este downloadat programul de criptare de pe un server aflat sub controlul atacatorilor. Odata decomprimat si activat, acesta trece la scanarea dispozitivelor de stocare in căutarea documentelor personale ale utilizatorului, pe care le sechestreaza, substituind originalul cu versiuni criptate. Dupa ce misiunea a fost indeplinita, utilizatorul este anuntat printr-un mesaj ca trebuie sa faca plata pentru rascumpararea datelor personale.

Cum previi infectarea cu Cryptowall si cu alte forme de ransomware similare?

Urmand indicatiile expertilor BitDefenderRegelmäßige Benutzer und Systemadministratoren können das Risiko einer Infektion sowie den dadurch verursachten Schaden erheblich reduzieren, wenn sie einige Grundregeln beachten:

• Es nutzt eine ständig aktualisierte IT-Sicherheitslösung mit aktiver Scanfunktion.
• Zeitpläne Backup-ul Dateien auf einer oder mehreren externen Festplatten, die nicht dauerhaft mit dem PC oder im lokalen Netzwerk verbunden sind oder nutzen ein Dienst von Cloud-Speicher.
• Vermeiden Sie den Besuch unbekannter Websites, greifen Sie nicht auf Links oder Dateien zu, die als Anhänge von E-Mail-Nachrichten ungewisser Herkunft enthalten sind, und geben Sie in öffentlichen Chats oder Foren keine persönlichen Informationen an. Manchmal ist es möglich, dass Nachrichten mit infizierten Anhängen auch von bekannten Adressen empfangen werden, wenn der PC am anderen Ende kompromittiert wurde oder die E-Mail-Adresse fälschlicherweise zum Feld „Absender“ hinzugefügt wurde.
• Implementieren/aktivieren Sie auch eine Lösung zum Blockieren von Werbung Antispam-Filter.
• Verwenden Sie einen Webbrowser mit Virtualisierungsunterstützung oder deaktivieren Sie die Unterstützung für die Inhaltswiedergabe vollständig Blitz.
• Arbeitgeber sollten ihre Mitarbeiter hinsichtlich der Erkennung von Social-Engineering-Versuchen schulen Phishing, mithilfe von E-Mail-Nachrichten.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

Gleichzeitig müssen Systemadministratoren Gruppenrichtlinien durchsetzen, um die Ausführung des Virus von bestimmten Standorten aus zu blockieren. Dies ist möglich Windows Professional oder Windows Server Edition. Option Richtlinien zur Softwarebeschränkung finden Sie im Editor Lokale Sicherheitsrichtlinie. Nach dem Zugriff auf die Schaltfläche Neue Richtlinien zur Softwarebeschränkung von unten Zusätzliche Regeln, Folgendes wird verwendet Pfadregeln mit Sicherheitsstufe “Unzulässig”:

Der Einsatz dieser Mechanismen soll einschränken oder blockieren Cryptowall, aber für mehr Schutz, Bitdefender schlägt uns vor Cryptowall Immunisator. Fungiert als zusätzlicher Schutzmechanismus, der parallel funktioniert Antivirenlösung Bei dauerhafter Aktivierung ermöglicht das Dienstprogramm Benutzern, ihre Computer zu immunisieren und jeden Versuch zu blockieren Dateiverschlüsselung, bevor dies geschieht.