Mirare direttamente ai dati degli utenti allo scopo di rubare grandi quantità di denaro, una delle forme più pericolose malware, Sito di ransomware presenta importanti sfide per i produttori antivirus, costretto a ricorrere a procedure metodologiche aggressive per garantire che gli utenti non siano interessati. Sfortunatamente, non importa quanto sia buono il programma antivirus, il recupero di tutti i file compromessi dietro infezione con ransomware Non è affatto garantito, la prevenzione mantenuta l'unica protezione veramente efficace.
Un tipo di malware in grado di eliminare la raccolta di foto e documenti dalla memoria del dispositivo, lasciando alle spalle versioni crittografate che possono essere aperte solo attraverso una chiave di accesso, il ransomware rappresenta la variante digitale delle rapine con gli ostaggi.
Se le prime forme di ransomware hanno fatto ricorso a metodi relativamente rudimentali, crittografando i file degli utenti che utilizzano chiavi di crittografia univoca, relativamente facili da recuperare per i produttori antivirus, che hanno fornito utilità per la disinfezione, in grado di recuperare completamente i file bloccati, non si può dire la stessa cosa che si può dire delle varianti più sofisticate (ad esempio. Cryptowall), che genera chiavi di crittografia univoca per ciascun dispositivo infetto, che invio ulteriormente a un server di raccolta in possesso degli aggressori. Il più delle volte, i file crittografati in questo modo non possono più essere recuperati, il danno causato agli utenti e alle aziende interessati è considerevole.
A seconda della versione, questa forma di malware può essere diffusa sfruttando le vulnerabilità di browser web, attivato quando si visita un sito Web compromesso o installando un componente di estensione o plug -in proposto per visitare un sito Web. Un altro modo meno noto di eseguire automaticamente i virus sui computer delle vittime e la crittografia dei loro contenuti è allegare file infetti a messaggi di posta elettronica convincenti, a volte persino personalizzati per l'obiettivo scelto. Questo è il metodo preferito di Cryptowall, una versione avanzata di Criptocker, che crittografa i documenti nei computer infetti e quindi chiede denaro dall'utente, in cambio della chiave di decryption. Il file infetto, allegato al messaggio e -mail, utilizza ESTENZIA .CHM, associato Formato HTML Compilato, un file apparentemente innocuo, normalmente utilizzato per fornire manuali utente e applicazioni software. In effetti, questi file sono interattivi ed eseguono una serie di tecnologie che includono JavaScript, avere la possibilità di reindirizzare l'utente a un indirizzo esterno. Dopo la semplice apertura di file .chm, esegue varie azioni in modo indipendente, l'obiettivo finale è la produzione di un'infezione.
Relativamente nuovo, Trojan.download3.35539 (variante CTB-Locker) è diffuso attraverso i messaggi di posta elettronica, come allegato in Archivio zip, contenente un file con estensione .scr. Se il file è aperto, il programma infetto estrae sul disco rigido Documento delle Nazioni Unite RTF che mostra sul display. Nel frattempo, in background, viene scaricato il programma di crittografia su un server sotto il controllo degli aggressori. Una volta decomposto e attivato, continua a scansionare i dispositivi di archiviazione alla ricerca dei documenti personali dell'utente, che prendono, sostituendo l'originale con versioni crittografate. Dopo che la missione è stata adempiuta, l'utente viene annunciato da un messaggio che deve pagare per il rimborso dei dati personali.
Come si impedisce l'infezione con Cryptowall e altri ransomware simili?
Seguendo le indicazioni degli esperti Bitdefender, Gli utenti ordinari e gli amministratori di sistema possono ridurre notevolmente il rischio di infezione, nonché i danni causati da essa, tenendo conto di alcune regole di base:
- Utilizza una soluzione di sicurezza del computer costantemente aggiornato e in grado di scansione attiva.
- orari Back-up-ul file su uno o più dischi rigidi esterni che non rimangono permanentemente connessi al PC o nella rete locale o utilizzando un servizio di Archiviazione cloud.
- Evita di visitare siti sconosciuti, non accede a collegamenti o file inclusi come allegato all'e -mail con origine insicua e non fornisce informazioni personali su chat o forum pubblici. A volte, è possibile che i messaggi con allegati infetti vengano ricevuti da indirizzi noti, se il PC all'altra estremità è stato compromesso, oppure l'indirizzo e -mail è stato aggiunto in modo approssimativo al campo del mittente.
- Implementa/attiva una soluzione per bloccare le pubblicità, nonché Filtro antispam.
- Utilizzare un browser Web con il supporto di Virtualizares o disattiva completamente il titolare della riproduzione del contenuto Flash.
- I datori di lavoro dovrebbero addestrare i propri dipendenti per l'identificazione dei tentativi di ingegneria sociale e phishing, utilizzando i messaggi di posta elettronica.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Allo stesso tempo, gli amministratori di sistema devono rafforzare le politiche di gruppo per bloccare l'esecuzione del virus da posizioni specifiche. Questo può essere fatto su Windows Professional o Windows Server Edition. opzione Politiche di restrizione del software può essere incontrato nell'editor Politica di sicurezza locale. Dopo aver acceduto al pulsante Nuove politiche di restrizione software dal basso Regole aggiuntive, verrà utilizzato quanto segue Regole del percorso con livello di sicurezza “Dissoluto”:
L'uso di questi meccanismi dovrebbe limitare o bloccare Cryptowall, ma per maggiore protezione, Bitdefender ci propone Cryptowall Immunizzatore. Fungendo da ulteriore meccanismo protettivo, che funziona in parallelo con Soluzione antivirus Attivata permanentemente, l'utilità consente agli utenti di immunizzare i propri computer e bloccare qualsiasi tentativo di Crittografia dei file, prima che avvenga.
