Trực tiếp nhắm mục tiêu dữ liệu của người dùng với mục đích đánh cắp số tiền lớn, một trong những hình thức nguy hiểm nhất phần mềm độc hạiThì Trang web ransomware trình bày những thách thức lớn cho các nhà sản xuất chống vi -rút, buộc phải dùng đến các thủ tục phương pháp tích cực để đảm bảo rằng người dùng không bị ảnh hưởng. Thật không may, cho dù chương trình chống vi -rút tốt đến đâu, sự phục hồi của tất cả các tệp bị xâm phạm phía sau nhiễm trùng với Ransomware Nó hoàn toàn không được đảm bảo, phòng ngừa được duy trì sự bảo vệ thực sự hiệu quả duy nhất.
Một loại phần mềm độc hại có khả năng xóa bộ sưu tập ảnh và tài liệu khỏi bộ nhớ của thiết bị, để lại các phiên bản được mã hóa chỉ có thể được mở thông qua khóa truy cập, ransomware đại diện cho biến thể kỹ thuật số của các vụ cướp với con tin.
Nếu các dạng ransomware đầu tiên dùng đến các phương pháp tương đối thô sơ, việc mã hóa các tệp của người dùng bằng các khóa mã hóa độc đáo, tương đối dễ dàng để phục hồi cho các nhà sản xuất chống vi -rút, những người cung cấp các tiện ích để khử trùng, có khả năng phục hồi hoàn toàn các tệp bị chặn, không phải là điều tương tự về các biến thể tinh vi hơn (EG. Cryptowall), tạo ra các khóa mã hóa duy nhất cho mỗi thiết bị bị nhiễm, tôi gửi thêm đến một máy chủ thu thập để sở hữu những kẻ tấn công. Hầu hết các lần, các tệp được mã hóa theo cách này không còn có thể được phục hồi nữa, thiệt hại mang lại cho người dùng bị ảnh hưởng và các công ty đáng kể.
Tùy thuộc vào phiên bản, hình thức phần mềm độc hại này có thể được truyền bá các lỗ hổng của trình duyệt web, được kích hoạt khi truy cập một trang web bị xâm phạm hoặc bằng cách cài đặt một thành phần mở rộng hoặc plugin được đề xuất để truy cập một trang web. Một cách khác ít được biết đến tự động thực hiện vi -rút trên máy tính của nạn nhân và mã hóa nội dung của chúng là đính kèm các tệp bị nhiễm để thuyết phục các tin nhắn email, đôi khi thậm chí được cá nhân hóa cho mục tiêu đã chọn. Đây là phương pháp ưa thích của Cryptowall, một phiên bản nâng cao của Cryptolocker, mã hóa các tài liệu trong các máy tính bị nhiễm và sau đó yêu cầu tiền từ người dùng, để đổi lấy khóa giải mã. Tệp bị nhiễm, được đính kèm với tin nhắn email, sử dụng Extensia .Chm, có liên quan Định dạng HTML Được biên dịch, một tệp rõ ràng vô hại, thường được sử dụng để cung cấp hướng dẫn sử dụng và Ứng dụng phần mềm. Trên thực tế, các tệp này tương tác và chạy một số công nghệ bao gồm JavaScript, có khả năng chuyển hướng người dùng đến một địa chỉ bên ngoài. Sau khi mở cửa đơn giản Tệp .Chm, nó thực hiện các hành động khác nhau một cách độc lập, mục tiêu cuối cùng là sản xuất nhiễm trùng.
Tương đối mới, Trojan.DOALLOAD3.35539 (khác nhau CTB-LOCKER) được lan truyền qua các tin nhắn email, như một tệp đính kèm trong Lưu trữ zip, chứa một tệp với mở rộng .scr. Nếu tệp được mở, chương trình bị nhiễm chiết xuất trên đĩa cứng Tài liệu Liên Hợp Quốc RTF mà anh ấy hiển thị trên màn hình. Trong khi đó, trong nền, chương trình mã hóa trên máy chủ dưới sự kiểm soát của kẻ tấn công được tải xuống. Sau khi bị phân tách và kích hoạt, nó tiếp tục quét các thiết bị lưu trữ để tìm kiếm các tài liệu cá nhân của người dùng, chúng thu giữ, thay thế bản gốc bằng các phiên bản được mã hóa. Sau khi nhiệm vụ đã được thực hiện, người dùng được thông báo bởi một thông điệp rằng anh ta phải trả tiền cho việc đổi dữ liệu cá nhân.
Làm thế nào để bạn ngăn ngừa nhiễm trùng Cryptowall và các ransomware tương tự khác?
Theo chỉ dẫn của các chuyên gia Bitdefender, Người dùng thông thường và quản trị viên hệ thống có thể giảm đáng kể nguy cơ nhiễm trùng, cũng như các thiệt hại do nó gây ra, có tính đến một số quy tắc cơ bản:
- Nó sử dụng giải pháp bảo mật máy tính liên tục được cập nhật và có khả năng quét hoạt động.
- lịch trình sao lưu-ul Các tệp trên một hoặc nhiều ổ cứng ngoài không duy trì được kết nối vĩnh viễn với PC hoặc trong mạng cục bộ hoặc sử dụng một dịch vụ của Lưu trữ đám mây.
- Tránh truy cập các trang web không xác định, không truy cập các liên kết hoặc tệp được bao gồm làm tệp đính kèm vào email có nguồn gốc không an toàn và không cung cấp thông tin cá nhân trên các cuộc trò chuyện hoặc diễn đàn công cộng. Đôi khi, có thể các tin nhắn có tệp đính kèm bị nhiễm sẽ được nhận từ các địa chỉ đã biết, nếu PC ở đầu kia bị xâm phạm hoặc địa chỉ email đã được thêm vào một cách lạm dụng vào trường người gửi.
- Thực hiện/kích hoạt một giải pháp để chặn quảng cáo, cũng như Bộ lọc Antispam.
- Sử dụng trình duyệt web với hỗ trợ ảo Flash.
- Người sử dụng lao động nên đào tạo nhân viên của họ về việc xác định các nỗ lực kỹ thuật xã hội và lừa đảo, sử dụng tin nhắn email.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Đồng thời, các quản trị viên hệ thống phải tăng cường các chính sách nhóm để chặn việc thực thi virus từ các vị trí cụ thể. Điều này có thể được thực hiện trên Windows Professional hoặc Phiên bản Windows Server. lựa chọn Chính sách hạn chế phần mềm có thể được đáp ứng trong biên tập viên Chính sách an ninh địa phương. Sau khi truy cập nút Chính sách hạn chế phần mềm mới từ bên dưới Quy tắc bổ sung, sau đây sẽ được sử dụng Quy tắc đường dẫn với mức độ bảo mật “Không được phép”:
Việc sử dụng các cơ chế này nên hạn chế hoặc chặn Cryptowall, nhưng để bảo vệ nhiều hơn, Bitdefender đề xuất chúng tôi Cryptowall Người tiêm chủng. Hoạt động như một cơ chế bảo vệ bổ sung, hoạt động song song với Giải pháp chống vi -rút Được kích hoạt vĩnh viễn, tiện ích cho phép người dùng miễn dịch cho máy tính của họ và chặn mọi nỗ lực Mã hóa tệp, trước khi nó diễn ra.
