Bezpośrednie atakowanie danych użytkownika w celu kradzieży dużych sum pieniędzy, co jest jedną z najniebezpieczniejszych form złośliwe oprogramowanie, Witryna z oprogramowaniem ransomware stwarza poważne wyzwania dla producentów antywirus, zmuszone do uciekania się do agresywnych procedur metodologicznych, aby zapewnić, że nie będzie to miało wpływu na użytkowników. Niestety, niezależnie od tego, jak dobry jest używany program antywirusowy, nadal istnieje możliwość odzyskania wszystkich zainfekowanych plików zakażenie oprogramowanie ransomware nie jest to w ogóle gwarantowane, a jedynym naprawdę skutecznym sposobem ochrony jest zapobieganie.

Rodzaj złośliwego oprogramowania zdolnego do usuwania kolekcji zdjęć i dokumentów z pamięci urządzenia, pozostawiając zaszyfrowane wersje, które można otworzyć jedynie za pomocą klucza dostępu. Ransomware to cyfrowa wersja napadów z wzięciem zakładników.

O ile pierwsze formy oprogramowania ransomware wykorzystywały stosunkowo podstawowe metody, szyfrując pliki użytkowników przy użyciu unikalnych kluczy szyfrujących, stosunkowo łatwych do odzyskania dla producentów programów antywirusowych, którzy udostępnili narzędzia do leczenia, zdolne do pełnego odzyskania zablokowanych plików, o tyle nie można tego samego powiedzieć o znacznie bardziej wyrafinowanych wariantach (np. Kryptowaluta), które generują unikalne klucze szyfrujące dla każdego zainfekowanego urządzenia i przesyłają je do serwera zbierającego należącego do atakujących. W większości przypadków zaszyfrowanych w ten sposób plików nie można odzyskać, a szkody wyrządzone użytkownikom i firmom są znaczne.

W zależności od wersji, ta forma złośliwego oprogramowania może być rozprzestrzeniana poprzez wykorzystanie luk w zabezpieczeniach przeglądarka internetowa, aktywowane podczas odwiedzania zainfekowanej witryny internetowej lub przez omyłkową instalację rozszerzenia lub wtyczki proponowanej podczas odwiedzania witryny internetowej. Innym, mniej znanym sposobem automatycznego uruchamiania wirusów na komputerach ofiar i szyfrowania ich zawartości jest dołączanie zainfekowanych plików do wiadomości e-mail o przekonujących treściach, czasem nawet spersonalizowanych pod kątem wybranego celu. Jest to preferowana metoda Kryptowaluta, zaawansowana wersja Kryptoloker, który szyfruje dokumenty z zainfekowanych komputerów, a następnie żąda od użytkownika pieniędzy w zamian za klucz deszyfrujący. Zainfekowany plik załączony do wiadomości e-mail wykorzystuje rozszerzenie .chm, powiązany formacie HTML skompilowany, pozornie nieszkodliwy typ pliku zwykle używany do dostarczania instrukcji obsługi i aplikacje programowe. W rzeczywistości pliki te są interaktywne i obsługują szereg technologii, które obejmują JavaScript, posiadająca możliwość przekierowania użytkownika na adres zewnętrzny. Po prostym otwarciu pliku a plik .chmwykonuje niezależnie różne działania, których ostatecznym celem jest wywołanie infekcji.

stosunkowo nowy, Trojan.DownLoad3.35539 (wariant Szafka CTB) jest rozpowszechniany za pośrednictwem wiadomości e-mail jako załącznik w formacie Archiwum ZIP, zawierający plik z Rozszerzenie .SCR. Jeśli plik zostanie otwarty, zainfekowany program zostanie wyodrębniony na dysk twardy un dokument RTF co pokazuje na wyświetlaczu. Tymczasem w tle z serwera kontrolowanego przez osoby atakujące pobierany jest program szyfrujący. Po dekompresji i aktywacji przystępuje do skanowania urządzeń pamięci masowej w poszukiwaniu osobistych dokumentów użytkownika, które przechwytuje, zastępując oryginał zaszyfrowanymi wersjami. Po zakończeniu misji użytkownik zostaje powiadomiony komunikatem, że musi zapłacić za wykup danych osobowych.

Jak zapobiec infekcji Cryptowall i innym podobnym formom oprogramowania ransomware?

Kierując się wskazówkami ekspertów Bitdefendera, zwykli użytkownicy i administratorzy systemów mogą znacznie zmniejszyć ryzyko infekcji, a także powodowanych przez nią szkód, przestrzegając kilku podstawowych zasad:

• Wykorzystuje stale aktualizowane rozwiązanie bezpieczeństwa IT z możliwością aktywnego skanowania.
• harmonogramy zapasowa-ul plików na jednym lub większej liczbie zewnętrznych dysków twardych, które nie są na stałe podłączone do komputera PC lub w sieci lokalnej lub nie są używane usługa przechowywanie w chmurze.
• Unikaj odwiedzania nieznanych witryn, nie otwieraj łączy ani plików dołączonych do wiadomości e-mail niepewnego pochodzenia i nie podawaj danych osobowych na publicznych czatach i forach. Czasami może się zdarzyć, że wiadomości z zainfekowanymi załącznikami zostaną odebrane ze znanych adresów, jeśli komputer po drugiej stronie został przejęty lub adres e-mail został nieprawidłowo dodany do pola Nadawca.
• Zaimplementuj/włącz także rozwiązanie do blokowania reklam filtr antyspamowy.
• Użyj przeglądarki internetowej obsługującej wirtualizację lub całkowicie wyłącz obsługę odtwarzania treści Błysk.
• Pracodawcy powinni szkolić swoich pracowników w zakresie identyfikacji prób socjotechniki i phishing, korzystając z wiadomości e-mail.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

Jednocześnie administratorzy systemu muszą egzekwować zasady grupy, aby blokować uruchamianie wirusa z określonych lokalizacji. Można to zrobić na Profesjonalista Windowsa Lub Wersja Windows Server. opcja Zasady ograniczeń oprogramowania można znaleźć w edytorze Lokalna polityka bezpieczeństwa. Po uzyskaniu dostępu do przycisku Nowe zasady ograniczenia oprogramowania od dołu Dodatkowe zasady, użyte zostaną poniższe Zasady ścieżki z poziomem bezpieczeństwa “Niedozwolone”:

Stosowanie tych mechanizmów powinno ograniczać lub blokować Kryptowaluta, ale dla większej ochrony, Bitdefender proponuje nam Kryptowaluta immunizator. Działając jako dodatkowy mechanizm ochronny, który działa równolegle rozwiązanie antywirusowe aktywowane na stałe, narzędzie pozwala użytkownikom uodpornić komputery i zablokować wszelkie próby szyfrowanie plików, zanim to nastąpi.