Непосредственное воздействие на пользовательские данные с целью кражи крупных сумм денег — одна из самых опасных форм вредоносное ПОВ Сайт программы-вымогателя представляет собой серьезную проблему для производителей антивирус, вынуждены прибегать к агрессивным методологическим процедурам, чтобы гарантировать, что пользователи не затронуты. К сожалению, какой бы хорошей ни была используемая антивирусная программа, восстановление всех скомпрометированных файлов остается инфекция с выкуп это вообще не гарантировано, поскольку единственным действительно эффективным способом защиты является профилактика.
Разновидность вредоносного ПО, способного удалить коллекцию фотографий и документов из памяти устройства, оставив после себя зашифрованные версии, которые можно открыть только с помощью ключа доступа, программы-вымогатели — это цифровая версия ограблений с захватом заложников.
Если первые формы программ-вымогателей использовали относительно элементарные методы, шифруя файлы пользователей с использованием уникальных ключей шифрования, которые относительно легко восстановить для производителей антивирусов, которые предоставили утилиты лечения, способные полностью восстановить заблокированные файлы, то этого нельзя сказать о гораздо более сложных вариантах (например, Криптостена), которые генерируют уникальные ключи шифрования для каждого зараженного устройства и пересылают их на сервер сбора, принадлежащий злоумышленникам. В большинстве случаев файлы, зашифрованные таким образом, не могут быть восстановлены, а ущерб, причиненный пострадавшим пользователям и компаниям, значителен.
В зависимости от версии эта форма вредоносного ПО может распространяться путем использования уязвимостей веб-браузер, активируется при посещении взломанного веб-сайта или в результате ошибочной установки расширения или компонента плагина, предложенного при посещении веб-сайта. Другой, менее известный способ автоматического запуска вирусов на компьютерах жертв и шифрования их содержимого — это прикрепление зараженных файлов к убедительно сформулированным сообщениям электронной почты, иногда даже персонализированным для выбранной цели. Это предпочтительный метод Криптостена, расширенная версия Криптолокатор, который шифрует документы с зараженных компьютеров, а затем требует от пользователя деньги в обмен на ключ дешифрования. Зараженный файл, прикрепленный к сообщению электронной почты, использует расширение .chm, связанный HTML-формат скомпилированный, на первый взгляд безобидный тип файла, обычно используемый для доставки руководств пользователя и программные приложения. Фактически, эти файлы являются интерактивными и используют ряд технологий, в том числе JavaScript, имеющий возможность перенаправить пользователя на внешний адрес. После простого открытия файл .chm, он самостоятельно выполняет различные действия, конечной целью которых является производство инфекции.
относительно новый, Троян.DownLoad3.35539 (вариант CTB-Шкафчик) распространяется через сообщения электронной почты в виде вложения в ZIP-архив, содержащий файл с Расширение .SCR. Если файл открыт, зараженная программа извлекается на жесткий диск. документ RTF который он показывает на дисплее. Тем временем в фоновом режиме с сервера, находящегося под контролем злоумышленников, загружается программа шифрования. После распаковки и активации он приступает к сканированию устройств хранения в поисках личных документов пользователя, которые изымает, заменяя оригинал зашифрованными версиями. После выполнения миссии пользователь уведомляется сообщением о том, что ему необходимо оплатить выкуп персональных данных.
Как предотвратить заражение Cryptowall и другими подобными формами вымогателей?
По показаниям экспертов Битдефендер, обычные пользователи и системные администраторы могут значительно снизить риск заражения, а также причиненный им ущерб, принимая во внимание некоторые основные правила:
- Он использует постоянно обновляемое решение ИТ-безопасности, способное к активному сканированию.
- графики резервное копирование файлы на одном или нескольких внешних жестких дисках, которые не подключены постоянно к ПК или в локальной сети или с помощью услуга облачное хранилищеПолем
- Избегайте посещения неизвестных сайтов, не открывайте ссылки или файлы, вложенные в сообщения электронной почты неопределенного происхождения, и не предоставляйте личную информацию в публичных чатах или форумах. Иногда сообщения с зараженными вложениями могут быть получены, в том числе с известных адресов, если компьютер на другом конце был скомпрометирован или адрес электронной почты был неправильно добавлен в поле «Отправитель».
- Также внедрите/включите решение для блокировки рекламы. антиспам-фильтрПолем
- Foloseste un web browser cu suport pentru virtualizares sau dezactiveaza complet suportul pentru redarea de continut ВспышкаПолем
- Angajatorii ar trebui sa isi instruiasca angajatii in ceea ce priveste identificarea tentativelor de inginerie sociala si фишинг, folosind mesaje email.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Totodata, administratorii de sistem trebuie sa consolideze politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional или Windows Server Edition. Optiunea Политики ограничения программного обеспечения poate fi intalnita in editorul Местная политика безопасности. Dupa accesarea butonului New Software Restriction Policies снизу Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate “Dissallowed”:
Utilizarea acestor mecanisme ar trebui sa limiteze sau sa blocheze Криптостена, dar pentru o mai multa protectie, Битдефендер ne propune Криптостена Immunizer. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu solutia antivirus activata in mod permanent, utilitarul permite utilizatorilor sa isi imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor, inainte ca aceasta sa aiba loc.
