Tiesioginis naudotojo duomenų nukreipimas siekiant pavogti dideles pinigų sumas – viena pavojingiausių kenkėjiška programinė įranga, Ransomware svetainė gamintojams kelia didelių iššūkių antivirusinė, priversti griebtis agresyvių metodinių procedūrų, kad vartotojai nebūtų paveikti. Deja, kad ir kokia gera būtų naudojama antivirusinė programa, visų pažeistų failų atkūrimas išlieka infekcija su išpirkos programinė įranga tai visiškai negarantuojama, nes prevencija yra vienintelis tikrai veiksmingas apsaugos būdas.

Kenkėjiškos programos, galinčios ištrinti nuotraukų ir dokumentų rinkinį iš įrenginio atminties, paliekant užšifruotas versijas, kurias galima atidaryti tik naudojant prieigos raktą, išpirkos reikalaujančios programos yra skaitmeninė apiplėšimų ir įkaitų paėmimo versija.

Jei pirmosiose išpirkos reikalaujančiose programose buvo naudojami gana elementarūs metodai, vartotojų failai šifruojami naudojant unikalius šifravimo raktus, gana lengvai atkuriami antivirusinių gamintojams, pateikusiems dezinfekavimo priemones, galinčias visiškai atkurti užblokuotus failus, tai to negalima pasakyti apie daug sudėtingesnius variantus (pvz. kriptovaliuta), kurie kiekvienam užkrėstam įrenginiui generuoja unikalius šifravimo raktus, kuriuos persiunčia į užpuolikams priklausantį rinkimo serverį. Dažniausiai tokiu būdu užšifruotų failų atkurti nepavyksta, nes nukentėjusiems vartotojams ir įmonėms daroma didelė žala.

Priklausomai nuo versijos, šios formos kenkėjiškos programos gali būti platinamos išnaudojant pažeidžiamumą interneto naršyklė, suaktyvinamas lankantis pažeistoje svetainėje arba per klaidą įdiegus plėtinį ar papildinio komponentą, pasiūlytą lankantis svetainėje. Kitas mažiau žinomas būdas automatiškai paleisti virusus aukų kompiuteriuose ir užšifruoti jų turinį yra užkrėstų failų pridėjimas prie įtikinamai suformuluotų el. laiškų, kartais net pritaikytų pasirinktam tikslui. Tai yra pageidaujamas būdas kriptovaliuta, išplėstinė versija Cryptolocker, kuris užšifruoja dokumentus iš užkrėstų kompiuterių, o paskui reikalauja pinigų iš vartotojo mainais už iššifravimo raktą. Užkrėstas failas, pridėtas prie el. laiško, naudoja plėtinys .chm, susijęs HTML formatu compilat, un tip de fisier aparent inofensiv, folosit in mod normal pentru a livra manuale de utilizare si aplicatii software. De fapt, aceste fisiere sunt interactive si ruleaza o serie de tehnologii ce includ JavaScript, avand posibilitatea de a redirectiona utilizatorul catre o adresa externa. Dupa simpla deschidere a fisierului .chm, acesta executa diverse actiuni in mod independent, obiectivul final fiind producerea unei infectari.

Relativ nou, Trojan.DownLoad3.35539 (varianta CTB-Locker) este raspandit prin mesaje email, ca atasament in arhiva ZIP, continand un fisier cu extensie .SCR. Daca fisierul este deschis, programul infectat extrage pe hard disk un document RTF kurią jis rodo ekrane. Tuo tarpu fone šifravimo programa atsisiunčiama iš serverio, kurį valdo užpuolikai. Išskleidus ir suaktyvinus, jis nuskaito saugojimo įrenginius, ieškodamas vartotojo asmeninių dokumentų, kuriuos paima, originalą pakeičiant šifruotomis versijomis. Atlikus misiją, vartotojas pranešimu informuojamas, kad jis turi sumokėti už asmens duomenų išpirkimą.

Kaip apsisaugoti nuo užsikrėtimo Cryptowall ir kitomis panašiomis išpirkos reikalaujančiomis programomis?

Pagal ekspertų nurodymus Bitdefender, paprasti vartotojai ir sistemos administratoriai, atsižvelgdami į kai kurias pagrindines taisykles, gali žymiai sumažinti užsikrėtimo riziką bei jos padarytą žalą:

• Jame naudojamas nuolat atnaujinamas IT saugos sprendimas, galintis aktyviai nuskaityti.
• tvarkaraščiai atsarginė-ul failus, esančius viename ar keliuose išoriniuose standžiuosiuose diskuose, kurie nėra nuolat prijungti prie kompiuterio arba vietiniame tinkle arba nenaudojami paslauga saugykla debesyje.
• Venkite lankytis nežinomose svetainėse, nepasiekite nuorodų ar failų, kurie yra neaiškios kilmės el. laiškų priedai, ir nepateikite asmeninės informacijos viešuose pokalbiuose ar forumuose. Kartais gali būti gaunami pranešimai su užkrėstais priedais, įskaitant iš žinomų adresų, jei kitame gale esantis kompiuteris buvo pažeistas arba el. pašto adresas buvo netinkamai įtrauktas į lauką Siuntėjas.
• Įdiekite / įgalinkite ir skelbimų blokavimo sprendimą antispam filtras.
• Naudokite žiniatinklio naršyklę su virtualizacijos palaikymu arba visiškai išjunkite turinio atkūrimo palaikymą Blykstė.
• Darbdaviai turėtų apmokyti savo darbuotojus atpažinti socialinės inžinerijos bandymus ir sukčiavimas, naudojant el. pašto žinutes.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

Totodata, administratorii de sistem trebuie sa consolideze politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional arba Windows Server Edition. Optiunea Software Restriction Policies poate fi intalnita in editorul Local Security Policy. Dupa accesarea butonului New Software Restriction Policies iš apačios Additional Rules, vor fi folosite urmatoarele Kelio taisyklės cu nivel de securitate “Dissallowed”:

Utilizarea acestor mecanisme ar trebui sa limiteze sau sa blocheze kriptovaliuta, dar pentru o mai multa protectie, „Bitdefender“ ne propune kriptovaliuta Immunizer. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu solutia antivirus activata in mod permanent, utilitarul permite utilizatorilor sa isi imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor, prieš tai įvykstant.