Direkt inriktning på användardata i syfte att stjäla stora summor pengar, en av de farligaste formerna av skadlig programvara, Ransomware webbplats innebär stora utmaningar för producenterna antivirus, tvingas tillgripa aggressiva metodologiska procedurer för att säkerställa att användarna inte påverkas. Tyvärr, oavsett hur bra antivirusprogrammet som används är, återställs alla komprometterade filer infektion med ransomware det är inte garanterat alls, förebyggande är det enda verkligt effektiva sättet att skydda.

En typ av skadlig programvara som kan radera samlingen av foton och dokument från enhetens minne och lämnar efter sig krypterade versioner som bara kan öppnas med hjälp av en åtkomstnyckel, ransomware är den digitala versionen av rån med gisslantagning.

Om de första formerna av ransomware använde relativt rudimentära metoder, kryptering av användarnas filer med unika krypteringsnycklar, relativt lätt att återställa för antivirustillverkare, som tillhandahöll desinfektionsverktyg, kapabla att helt återställa blockerade filer, kan detsamma inte sägas om de mycket mer sofistikerade varianterna (t.ex. Kryptovägg), som genererar unika krypteringsnycklar för varje infekterad enhet, som de vidarebefordrar till en samlingsserver som ägs av angriparna. För det mesta kan filerna som är krypterade på detta sätt inte återställas, eftersom skadorna på de berörda användarna och företagen är betydande.

Beroende på version kan denna form av skadlig programvara spridas genom att utnyttja sårbarheter i webbläsare, aktiveras när du besöker en utsatt webbplats, eller genom att av misstag installera en tillägg eller plugin-komponent som föreslås när du besöker en webbplats. Ett annat mindre känt sätt att automatiskt exekvera virus på offrens datorer och kryptera deras innehåll är att bifoga infekterade filer till övertygande formulerade e-postmeddelanden, ibland till och med personliga för det valda målet. Detta är den föredragna metoden för Kryptovägg, en avancerad version av Kryptocker, som krypterar dokument från infekterade datorer och sedan kräver pengar från användaren i utbyte mot dekrypteringsnyckeln. Den infekterade filen, bifogad till e-postmeddelandet, använder filtillägg .chm, associerad HTML-format kompilerad, en till synes ofarlig filtyp som normalt används för att leverera användarmanualer och mjukvaruapplikationer. In fact, these files are interactive and run a series of technologies that include JavaScript, med möjlighet att omdirigera användaren till en extern adress. Efter att ha öppnat en .chm-filen, utför den olika åtgärder oberoende, varvid det slutliga målet är att producera en infektion.

relativt ny, Trojan.DownLoad3.35539 (variant CTB-skåp) distribueras via e-postmeddelanden, som en bilaga i ZIP-arkiv, som innehåller en fil med .SCR förlängning. If the file is opened, the infected program extracts to the hard disk ett dokument RTF som den visar på displayen. Under tiden, i bakgrunden, laddas krypteringsprogrammet ner från en server under kontroll av angriparna. När den har dekomprimerats och aktiverats fortsätter den med att skanna lagringsenheterna på jakt efter användarens personliga dokument, som den beslagtar, och ersätter originalet med krypterade versioner. Efter att uppdraget har slutförts meddelas användaren genom ett meddelande att han måste betala för inlösen av personuppgifter.

Hur förhindrar du infektion med Cryptowall och andra liknande former av ransomware?

Efter experternas indikationer BitDefender, kan vanliga användare och systemadministratörer avsevärt minska risken för infektion, såväl som skadan som orsakas av den, med hänsyn till några grundläggande regler:

• Den använder en ständigt uppdaterad IT-säkerhetslösning som klarar av aktiv skanning.
• scheman back-up-ul filer på en eller flera externa hårddiskar som inte är permanent anslutna till PC:n eller i det lokala nätverket eller använder en tjänst av molnlagring.
• Undvik att besöka okända webbplatser, gå inte åt länkar eller filer som ingår som bilagor till e-postmeddelanden av osäkert ursprung och lämna inte personlig information på offentliga chattar eller forum. Ibland är det möjligt att meddelanden med infekterade bilagor tas emot, inklusive från kända adresser, om datorn i andra änden har äventyrats eller om e-postadressen har lagts till felaktigt i fältet Avsändare.
• Implementera/aktivera även en annonsblockeringslösning antispam filter.
• Använd en webbläsare med virtualiseringsstöd eller inaktivera helt stöd för innehållsuppspelning Flash.
• Arbetsgivare bör utbilda sina anställda angående identifiering av sociala ingenjörsförsök och phishing, med e-postmeddelanden.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

Samtidigt måste systemadministratörer genomdriva grupppolicyer för att blockera exekvering av viruset från specifika platser. Detta kan göras på Windows Professional eller Windows Server Edition. alternativ Programvarubegränsningspolicyer finns i editorn Lokal säkerhetspolicy. Efter att ha kommit åt knappen Nya policyer för programbegränsning underifrån Ytterligare regler, kommer följande att användas Vägregler med säkerhetsnivå “Ej tillåten”:

Användningen av dessa mekanismer bör begränsa eller blockera Kryptovägg, men för mer skydd, Bitdefender föreslår till oss Kryptovägg Immuniserare. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu antiviruslösning permanent aktiverat tillåter verktyget användare att immunisera sina datorer och blockera alla försök att filkryptering, innan detta äger rum.