Tieši mērķēt uz lietotāju datiem, lai nozagtu lielas naudas summas, kas ir viena no visbīstamākajām formām ļaunprātīga programmatūraVerdzība Ransomware vietne rada lielas problēmas ražotājiem pretvīruss, spiests ķerties pie agresīvām metodoloģiskām procedūrām, lai nodrošinātu, ka lietotāji netiek ietekmēti. Diemžēl neatkarīgi no tā, cik laba izmantoja pretvīrusu programma, visu aiz muguras kompromitētu failu atkopšana infekcija ar izpirkuma programmatūra Tas nemaz netiek garantēts, profilakse tiek saglabāta vienīgā patiesi efektīvā aizsardzība.
Ļaunprātīgas programmatūras veids, kas no ierīces atmiņas var izdzēst fotoattēlu un dokumentu kolekciju, atstājot šifrētas versijas, kuras var atvērt tikai caur piekļuves atslēgu, izpirkuma programmatūra apzīmē laupīšanas digitālo variantu ar ķīlniekiem.
Ja pirmās izpirkuma programmatūras veidi izmantoja samērā rudimentāras metodes, šifrējot lietotāju failus, izmantojot unikālas šifrēšanas atslēgas, salīdzinoši viegli atgūt pretvīrusu ražotājiem, kuri sniedza komunālos pakalpojumus dezinfekcijai, kas spēj pilnībā atgūt bloķētos failus, nevis to pašu var teikt par sarežģītākiem variantiem (EG. Kriptowall), kas katrai inficētajai ierīcei ģenerē unikālas šifrēšanas atslēgas, kuras es nosūtu tālāk uz kolekcijas serveri, kura rīcībā ir uzbrucēji. Lielākoties šifrētos failus šādā veidā vairs nevar atgūt, nodarītais kaitējums ietekmētajiem lietotājiem un uzņēmumiem ir ievērojams.
Atkarībā no versijas, šo ļaunprātīgās programmatūras veidu var izplatīt tīmekļa pārlūks, aktivizēts, apmeklējot kompromitētu vietni, vai instalējot paplašinājumu vai spraudņa komponentu, kuru ierosināja apmeklēt vietni. Vēl viens mazāk zināms veids, kā automātiski izpildīt vīrusus par upuru datoriem un viņu satura šifrēšanu, ir inficēto failu pievienošana e -pasta ziņojumu pārliecināšanai, dažreiz pat personalizētu izvēlētajam mērķim. Šī ir vēlamā metode Kriptowall, uzlabota versija Kriptokers, kas šifrē dokumentus inficētajos datoros un pēc tam prasa naudu no lietotāja apmaiņā pret atšifrēšanas atslēgu. Inficētais fails, kas pievienots e -pasta ziņojumam, izmanto Extensia .chm, kas HTML formāts Apkopots, acīmredzami nekaitīgs fails, ko parasti izmanto, lai piegādātu lietotāju rokasgrāmatas un programmatūras lietojumprogrammasApvidū Faktiski šie faili ir interaktīvi un palaiž vairākas tehnoloģijas, kas ietver Javascript, ar iespēju novirzīt lietotāju uz ārēju adresi. Pēc vienkāršas atvēršanas .chm fails, tas veic dažādas darbības patstāvīgi, galīgais mērķis ir infekcijas ražošana.
Samērā jauns, Trojan.download3.35539 (Variants CTB-Locker) ir izplatīts, izmantojot e -pasta ziņojumus kā pielikums Rāvējslēdzēja arhīvs, satur failu ar pagarinājums .scrApvidū Ja fails ir atvērts, inficētās programmas izraksti uz cietā diska ANO dokuments RTF ko viņš parāda displejā. Tikmēr fonā tiek lejupielādēta šifrēšanas programma uz servera, kas atrodas uzbrucēju kontrolē. Kad tas ir sadalīts un aktivizēts, tas turpina skenēt glabāšanas ierīces, meklējot lietotāja personīgos dokumentus, kurus tie sagrābj, aizstājot oriģinālu ar šifrētām versijām. Pēc misijas izpildīšanas lietotājam tiek paziņots ar ziņojumu, ka viņam jāmaksā par personas datu izpirkšanu.
Kā novērst inficēšanos ar Cryptowall un citu līdzīgu izpirkuma programmatūru?
Ievērojot ekspertu norādes Bitdefends, parastie lietotāji un sistēmas administratori var ievērojami samazināt infekcijas risku, kā arī to radītos zaudējumus, ņemot vērā dažus pamatnoteikumus:
- Tas izmanto datora drošības risinājumu, kas pastāvīgi atjaunināts un spējīgs veikt aktīvu skenēšanu.
- grafiki rezerves-ul faili vienā vai vairākos ārējos cietajos diskos, kas nepaliek pastāvīgi savienoti ar datoru vai vietējā tīklā vai izmanto pakalpojums Mākoņu uzglabāšanaApvidū
- Izvairieties apmeklēt nezināmas vietnes, nepiekļūstiet saitēm vai failiem, kas iekļauti kā e -pasta pielikums ar nedrošu izcelsmi un nesniedz personisku informāciju publiskajās tērzēšanā vai forumos. Dažreiz ir iespējams, ka ziņojumi ar inficētiem pielikumiem tiks saņemti no zināmām adresēm, ja dators otrā galā tika apdraudēts vai e -pasta adrese tika pievienota ļaunprātīgi sūtītāja laukam.
- Ievieš/aktivizē risinājumu reklāmu bloķēšanai, kā arī Antispam filtrsApvidū
- Izmantojiet tīmekļa pārlūku ar virtualizares atbalstu vai pilnībā deaktivizē satura atskaņošanas turētāju ZibspuldzeApvidū
- Darba devējiem vajadzētu apmācīt savus darbiniekus par sociālās inženiertehniskās mēģinājumu identificēšanu un pikšķerēšana, e -pasta ziņojumu izmantošana.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Tajā pašā laikā sistēmas administratoriem jāstiprina grupas politika, lai bloķētu vīrusa izpildi no īpašām vietām. To var izdarīt Windows profesionālis vai Windows servera izdevumsApvidū izvēle Programmatūras ierobežošanas politika var izpildīt redaktorā Vietējā drošības politikaApvidū Pēc piekļuves pogai Jauna programmatūras ierobežošanas politika no apakšas Papildu noteikumi, tiks izmantots šāds Ceļa noteikumi ar drošības līmeni “Izšķīries”:
Šo mehānismu izmantošanai vajadzētu ierobežot vai bloķēt Kriptowall, bet lielāku aizsardzību, Bitdefends ierosina mūs Kriptowall ImunatorsApvidū Darbojas kā papildu aizsardzības mehānisms, kas darbojas paralēli Pretvīrusu šķīdums Pastāvīgi aktivizēta, lietderība ļauj lietotājiem imunizēt savus datorus un bloķēt visus mēģinājumus Failu šifrēšana, pirms tas notiek.
