Direkte rettet mot brukernes data for å stjele store mengder penger, en av de farligste formene malware, Ransomware nettsted gir store utfordringer for produsenter antivirus, tvunget til å ty til aggressive metodologiske prosedyrer for å sikre at brukerne ikke blir berørt. Dessverre, uansett hvor bra antivirusprogrammet som ble brukt, gjenopprettes utvinningen av alle filene som er kompromittert bak infeksjon med ransomware Det er ikke garantert i det hele tatt, forebygging blir opprettholdt den eneste virkelig effektive beskyttelsen.
En type skadelig programvare som kan slette samlingen av bilder og dokumenter fra minnet om enheten, etterlater krypterte versjoner som bare kan åpnes gjennom en tilgangsnøkkel, representerer ransomware den digitale varianten av ranene med gisler.
Hvis de første formene for ransomware benyttet seg av relativt rudimentære metoder, kryptering av brukernes filer ved hjelp av unike krypteringsnøkler, relativt enkle å gjenopprette for antivirusprodusenter, som ga verktøy for desinfeksjon, i stand til å gjenopprette de blokkerte filene, ikke det samme kan sies om de mer sofistikerte variantene (EG. Cryptowall), som genererer unike krypteringsnøkler for hver infiserte enhet, som jeg sender videre til en samlingsserver i besittelse av angriperne. De fleste av gangene kan de krypterte filene på denne måten ikke lenger gjenopprettes, skadene som blir brakt til at de berørte brukerne og selskapene er betydelige.
Avhengig av versjonen, kan denne formen for skadelig programvare spres utnyttende sårbarheter av Nettleser, aktivert når du besøker et kompromittert nettsted, eller ved å installere en utvidelses- eller plugin -komponent foreslått å besøke et nettsted. En annen mindre kjent måte å automatisk utføre virus på ofrenes datamaskiner og kryptering av innholdet på er å knytte infiserte filer til å overbevise e -postmeldinger, noen ganger til og med personalisert for det valgte målet. Dette er den foretrukne metoden til Cryptowall, en avansert versjon av Cryptolocker, som krypterer dokumentene i de infiserte datamaskinene og ber deretter om penger fra brukeren, i bytte mot dekrypteringsnøkkelen. Den infiserte filen, knyttet til e -postmeldingen, bruker Extensia .chm, assosiert HTML -format Samlet, en tilsynelatende ufarlig fil, som vanligvis brukes til å levere brukerhåndbøker og programvareapplikasjoner. Faktisk er disse filene interaktive og kjører en rekke teknologier som inkluderer JavaScript, har muligheten til å omdirigere brukeren til en ekstern adresse. Etter den enkle åpningen av .chm -fil, den utfører forskjellige handlinger uavhengig, det endelige målet er produksjonen av en infeksjon.
Relativt nytt, Trojan.Download3.35539 (Variant CTB-Locker) er spredt gjennom e -postmeldinger, som et vedlegg i Zip Archive, inneholder en fil med Utvidelse .Scr. Hvis filen er åpen, trekker det infiserte programmet ut på harddisken FN -dokument RTF som han viser på displayet. I mellomtiden, i bakgrunnen, blir krypteringsprogrammet på en server under kontroll av angriperne lastet ned. Når den er dekomponert og aktivert, fortsetter den å skanne lagringsenhetene på jakt etter brukerens personlige dokumenter, som de griper ut, og erstatter originalen med krypterte versjoner. Etter at oppdraget er oppfylt, blir brukeren kunngjort av en melding om at han må betale for innløsningen av personopplysninger.
Hvordan forhindrer du infeksjon med Cryptowall og annen lignende ransomware?
Etter indikasjonene på eksperter BitdefenderVanlige brukere og systemadministratorer kan redusere risikoen for infeksjon i stor grad, så vel som skadene forårsaket av det, under hensyntagen til noen grunnleggende regler:
- Den bruker en datasikkerhetsløsning som stadig er oppdatert og i stand til aktiv skanning.
- tidsplaner Back-up-ul filer på en eller flere eksterne harddisker som ikke forblir permanent koblet til PCen eller i det lokale nettverket eller bruker en tjeneste av Skylagring.
- Unngå å besøke ukjente nettsteder, får ikke tilgang til lenker eller filer som er inkludert som et vedlegg til e -post med usikker opprinnelse og gir ikke personlig informasjon om offentlige chatter eller fora. Noen ganger er det mulig at meldinger med smittede vedlegg vil bli mottatt fra kjente adresser, hvis PC -en i den andre enden ble kompromittert, eller e -postadressen ble lagt til rette for avsenderfeltet.
- Implementerer/aktiverer en løsning for å blokkere annonsene, så vel som Antispam -filter.
- Bruk en nettleser med Virtualizares -støtte eller deaktiverer innholdets avspillingsholder fullstendig Flash.
- Arbeidsgivere bør trene sine ansatte angående identifisering av sosiale ingeniørforsøk og phishing, ved hjelp av e -postmeldinger.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Samtidig må systemadministratorer styrke gruppepolitikk for å blokkere utførelsen av viruset fra bestemte steder. Dette kan gjøres på Windows Professional eller Windows Server Edition. alternativ Retningslinjer for programvarebegrensning kan oppfylles i redaktøren Lokal sikkerhetspolitikk. Etter tilgang til knappen Ny programvarebegrensningspolicy nedenfra Ytterligere regler, Følgende vil bli brukt Banegler med sikkerhetsnivå “Dissallowed”:
Bruken av disse mekanismene skal begrense eller blokkere Cryptowall, men for mer beskyttelse, Bitdefender foreslår oss Cryptowall Immunisator. Fungerer som en ekstra beskyttelsesmekanisme, som fungerer parallelt med Antivirusløsning Permanent aktivert lar verktøyet brukere å immunisere datamaskinene sine og blokkere ethvert forsøk på Filkryptering, før det finner sted.
