Непосредственное воздействие на пользовательские данные с целью кражи крупных сумм денег — одна из самых опасных форм вредоносное ПО, Сайт программы-вымогателя представляет собой серьезную проблему для производителей антивирус, вынуждены прибегать к агрессивным методологическим процедурам, чтобы гарантировать, что пользователи не затронуты. К сожалению, какой бы хорошей ни была используемая антивирусная программа, восстановление всех скомпрометированных файлов остается инфекция с выкуп это вообще не гарантировано, поскольку единственным действительно эффективным способом защиты является профилактика.
Разновидность вредоносного ПО, способного удалить коллекцию фотографий и документов из памяти устройства, оставив после себя зашифрованные версии, которые можно открыть только с помощью ключа доступа, программы-вымогатели — это цифровая версия ограблений с захватом заложников.
Если первые формы программ-вымогателей использовали относительно элементарные методы, шифруя файлы пользователей с использованием уникальных ключей шифрования, которые относительно легко восстановить для производителей антивирусов, которые предоставили утилиты лечения, способные полностью восстановить заблокированные файлы, то этого нельзя сказать о гораздо более сложных вариантах (например, Криптостена), которые генерируют уникальные ключи шифрования для каждого зараженного устройства и пересылают их на сервер сбора, принадлежащий злоумышленникам. В большинстве случаев файлы, зашифрованные таким образом, не могут быть восстановлены, а ущерб, причиненный пострадавшим пользователям и компаниям, значителен.
В зависимости от версии эта форма вредоносного ПО может распространяться путем использования уязвимостей веб-браузер, активируется при посещении взломанного веб-сайта или в результате ошибочной установки расширения или компонента плагина, предложенного при посещении веб-сайта. Другой, менее известный способ автоматического запуска вирусов на компьютерах жертв и шифрования их содержимого — это прикрепление зараженных файлов к убедительно сформулированным сообщениям электронной почты, иногда даже персонализированным для выбранной цели. Это предпочтительный метод Криптостена, расширенная версия Криптолокатор, который шифрует документы с зараженных компьютеров, а затем требует от пользователя деньги в обмен на ключ дешифрования. Зараженный файл, прикрепленный к сообщению электронной почты, использует расширение .chm, связанный HTML-формат скомпилированный, на первый взгляд безобидный тип файла, обычно используемый для доставки руководств пользователя и программные приложения. Фактически, эти файлы являются интерактивными и используют ряд технологий, в том числе JavaScript, имеющий возможность перенаправить пользователя на внешний адрес. После простого открытия файл .chm, он самостоятельно выполняет различные действия, конечной целью которых является производство инфекции.
Relativ nou, Троян.DownLoad3.35539 (вариант CTB-Шкафчик) распространяется через сообщения электронной почты в виде вложения в ZIP-архив, содержащий файл с Расширение .SCR. Если файл открыт, зараженная программа извлекается на жесткий диск. документ RTF который он показывает на дисплее. Тем временем в фоновом режиме с сервера, находящегося под контролем злоумышленников, загружается программа шифрования. После распаковки и активации он приступает к сканированию устройств хранения в поисках личных документов пользователя, которые изымает, заменяя оригинал зашифрованными версиями. После выполнения миссии пользователь уведомляется сообщением о том, что ему необходимо оплатить выкуп персональных данных.
Как предотвратить заражение Cryptowall и другими подобными формами вымогателей?
По показаниям экспертов Битдефендер, обычные пользователи и системные администраторы могут значительно снизить риск заражения, а также причиненный им ущерб, принимая во внимание некоторые основные правила:
- Он использует постоянно обновляемое решение ИТ-безопасности, способное к активному сканированию.
- графики резервное копирование файлы на одном или нескольких внешних жестких дисках, которые не подключены постоянно к ПК или в локальной сети или с помощью услуга облачное хранилищеПолем
- Избегайте посещения неизвестных сайтов, не открывайте ссылки или файлы, вложенные в сообщения электронной почты неопределенного происхождения, и не предоставляйте личную информацию в публичных чатах или форумах. Иногда сообщения с зараженными вложениями могут быть получены, в том числе с известных адресов, если компьютер на другом конце был скомпрометирован или адрес электронной почты был неправильно добавлен в поле «Отправитель».
- Также внедрите/включите решение для блокировки рекламы. антиспам-фильтрПолем
- Используйте веб-браузер с поддержкой виртуализации или полностью отключите поддержку воспроизведения контента. ВспышкаПолем
- Работодатели должны обучать своих сотрудников выявлению попыток социальной инженерии и фишинг, используя сообщения электронной почты.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"В то же время системные администраторы должны применять групповые политики, чтобы блокировать выполнение вируса из определенных мест. Это можно сделать на Windows Профессиональная или Серверная версия Windows. вариант Политики ограничения программного обеспечения можно найти в редакторе Местная политика безопасности. После доступа к кнопке Новые политики ограничения программного обеспечения снизу Дополнительные правила, будет использоваться следующее Правила пути с уровнем безопасности “Запрещено”:
Использование этих механизмов должно ограничивать или блокировать Криптостена, dar pentru o mai multa protectie, Битдефендер предлагает нам Криптостена Иммунизатор. Выступает в качестве дополнительного механизма защиты, работающего параллельно с антивирусное решение постоянно активированная, утилита позволяет пользователям иммунизировать свои компьютеры и блокировать любые попытки шифрование файлов, прежде чем это произойдет.
