Priame zacielenie na údaje používateľov s cieľom ukradnúť veľké sumy peňazí, čo je jedna z najnebezpečnejších foriem škodlivý, Ransomvérová stránka predstavuje pre výrobcov veľké výzvy antivírusový, nútení uchýliť sa k agresívnym metodickým postupom, aby sa zabezpečilo, že používatelia nebudú ovplyvnení. Bohužiaľ, bez ohľadu na to, aký dobrý je použitý antivírusový program, obnovenie všetkých napadnutých súborov zostáva infekcia s ransomvér nie je vôbec zaručená, prevencia je jediný skutočne účinný spôsob ochrany.
Un tip de malware capabil sa stearga colectia de poze si documente din memoria dispozitivului, lasand in urma versiuni criptate care pot fi deschise doar prin intermediul unei chei de acces, ransomware-ul reprezinta varianta digitala a jafurilor cu luare de ostatici.
Daca cele dintai forme de ransomware apelau la metode relativ rudimentare, criptand fisierele utilizatorilor folosind chei de criptare unice, relativ facil de recuperat pentru producatorii antivirus, care au furnizat utilitare pentru dezinfectare, capabile sa recupereze in mod integral fisierele blocate, nu acelasi lucru poate fi spus despre variantele mult mai sofisticate (ex. Cryptowall), ktoré generujú jedinečné šifrovacie kľúče pre každé infikované zariadenie, ktoré posielajú na zberný server vo vlastníctve útočníkov. Takto zašifrované súbory sa väčšinou nedajú obnoviť, škody spôsobené dotknutým používateľom a spoločnostiam sú značné.
V závislosti od verzie sa táto forma malvéru môže šíriť využívaním zraniteľných miest webový prehliadač, ktoré sa aktivujú pri návšteve napadnutej webovej lokality alebo omylom nainštalovaním komponentu rozšírenia alebo doplnku navrhnutého pri návšteve webovej lokality. Ďalším menej známym spôsobom automatického spúšťania vírusov na počítačoch obetí a šifrovania ich obsahu je prikladanie infikovaných súborov k presvedčivo formulovaným e-mailovým správam, niekedy dokonca personalizovaným pre zvolený cieľ. Toto je preferovaná metóda Cryptowall, pokročilá verzia Kryptocker, ktorá zašifruje dokumenty z infikovaných počítačov a následne od používateľa požaduje peniaze výmenou za dešifrovací kľúč. Infikovaný súbor pripojený k e-mailovej správe používa extensia .chm, spojené HTML formát skompilovaný, zdanlivo neškodný typ súboru, ktorý sa bežne používa na poskytovanie používateľských príručiek a softvérové aplikácie. V skutočnosti sú tieto súbory interaktívne a spúšťajú sériu technológií, ktoré zahŕňajú JavaScripts možnosťou presmerovania používateľa na externú adresu. Po jednoduchom otvorení a súbor .chmnezávisle vykonáva rôzne činnosti, pričom konečným cieľom je vytvorenie infekcie.
relatívne nový, Trojan.DownLoad3.35539 (variant CTB-Locker) sa distribuuje prostredníctvom e-mailových správ, ako príloha v ZIP archív, ktorý obsahuje súbor s .SCR rozšírenie. Ak je súbor otvorený, infikovaný program sa rozbalí na pevný disk dokument RTF ktoré zobrazuje na displeji. Medzitým sa na pozadí stiahne šifrovací program zo servera pod kontrolou útočníkov. Po dekomprimovaní a aktivácii pokračuje v skenovaní úložných zariadení pri hľadaní osobných dokumentov používateľa, ktoré zabaví, pričom originál nahradí zašifrovanými verziami. Po dokončení misie je používateľ upozornený správou, že musí zaplatiť za preplatenie osobných údajov.
Ako zabránite infekcii Cryptowallom a inými podobnými formami ransomvéru?
Podľa pokynov odborníkov Bitdefender, bežní používatelia a správcovia systému môžu výrazne znížiť riziko infekcie, ako aj škody ňou spôsobené, pri dodržaní niekoľkých základných pravidiel:
- Využíva neustále aktualizované riešenie IT bezpečnosti schopné aktívneho skenovania.
- rozvrhy záloha-ul súbory na jednom alebo viacerých externých pevných diskoch, ktoré nie sú trvalo pripojené k počítaču alebo v lokálnej sieti alebo pomocou službu cloudové úložisko.
- Vyhýbajte sa návštevám neznámych stránok, nepristupujte k odkazom alebo súborom zahrnutým ako prílohy e-mailových správ neurčitého pôvodu a neposkytujte osobné informácie na verejných chatoch alebo fórach. Niekedy je možné, že správy s infikovanými prílohami budú prijaté aj zo známych adries, ak bol počítač na druhom konci napadnutý alebo ak bola e-mailová adresa nesprávne pridaná do poľa Odosielateľ.
- Implementujte/povoľte tiež riešenie na blokovanie reklám antispamový filter.
- Použite webový prehliadač s podporou virtualizácie alebo úplne vypnite podporu prehrávania obsahu Blesk.
- Zamestnávatelia by mali školiť svojich zamestnancov v oblasti identifikácie pokusov sociálneho inžinierstva a phishingpomocou e-mailových správ.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Správcovia systému musia zároveň presadzovať skupinové politiky, aby zablokovali spustenie vírusu z konkrétnych miest. To sa dá urobiť na Windows Professional alebo Windows Server Edition. možnosť Zásady obmedzovania softvéru nájdete v editore Politika miestnej bezpečnosti. Po prístupe k tlačidlu Nové zásady obmedzovania softvéru zdola Ďalšie pravidlá, použije sa nasledovné Pravidlá cesty s úrovňou zabezpečenia “Nepovolené”:
Používanie týchto mechanizmov by malo obmedziť alebo zablokovať Cryptowall, ale pre väčšiu ochranu, Bitdefender nám navrhuje Cryptowall Imunizér. Pôsobí ako dodatočný ochranný mechanizmus, ktorý funguje súbežne s antivírusové riešenie trvalo aktivovaný, nástroj umožňuje používateľom imunizovať ich počítače a blokovať akýkoľvek pokus o to šifrovanie súborovpredtým, ako sa tak stane.
