Bu dəfə biz mürəkkəb antivirus mühafizə vasitələrinin ransomware troyanları ilə necə mübarizə apardığını yoxladıq. Bunun üçün ransomware seçimi edildi və hətta naməlum şifrələmə troyanının hərəkətlərini təqlid edən ayrıca proqram da yazılmışdır. Onun imzası bugünkü sınaqda heç bir iştirakçının məlumat bazalarında mütləq yoxdur. Gəlin görək nə edə bilərlər!
XƏBƏRDARLIQ
Məqalə tədqiqat məqsədi ilə yazılmışdır. Oradakı bütün məlumatlar yalnız məlumat məqsədi daşıyır. Bütün nümunələr açıq mənbələrdən alınır və virus analitiklərinə göndərilir.
Yeni təhlükələr üçün köhnə vasitələr
Klassik antiviruslar faylları şifrələyən və onların şifrəsinin açılması üçün fidyə tələb edən troyanlardan qorunmaq üçün çox az iş görür. Texniki cəhətdən, bu cür ransomware tamamilə və ya demək olar ki, tamamilə qanuni komponentlərdən ibarətdir və hər biri özbaşına heç bir zərərli hərəkətlər etmir. Zərərli proqram onları sadəcə olaraq bir zəncirdə birləşdirir və bu, fəlakətli nəticəyə gətirib çıxarır - istifadəçi onların şifrəsini açana qədər faylları ilə işləmək imkanından məhrum olur.
IN Son vaxtlar ransomware troyanlarından qorunmaq üçün bir çox ixtisaslaşdırılmış yardım proqramları ortaya çıxdı. Onlar ya qeyri-imza təhlili aparmağa çalışırlar (yəni, ransomware-nin yeni versiyalarını davranışları, fayl reputasiyası və digər dolayı əlamətləri ilə müəyyən edirlər) və ya sadəcə olaraq hər hansı proqrama ransomware-in hərəkətləri üçün lazım olan dəyişiklikləri qadağan edirlər.
Belə kommunalların praktiki olaraq faydasız olduğunu gördük. Hətta onlarda qoyulmuş ən sərt məhdudiyyətlər (bunun altında artıq normal işləmək mümkün deyil) ransomware troyanlarına qarşı etibarlı maneə təmin etmir. Bu proqramlar bəzi infeksiyaların qarşısını alır, lakin bu, istifadəçi üçün yalnız yanlış təhlükəsizlik hissi yaradır. O, daha diqqətsiz olur və daha sürətli ransomware qurbanına çevrilir.
Klassik ransomware troyanlarına qarşı mübarizədə əsas problem onların bütün hərəkətlərinin yalnız istifadəçi faylları ilə həyata keçirilməsi və sistem komponentlərinə təsir etməməsidir. İstifadəçinin fayllarını dəyişdirməsi və silməsinin qarşısı alına bilməz. Yüksək keyfiyyətli ransomware nümayəndələrinin davranışında çox az aşkar fərqləndirici xüsusiyyətlər var və ya onlar tamamilə yoxdur. Şəbəkə bağlantısı indi əksər proqramları işə salır (ən azı yeniləmələri yoxlamaq üçün) və şifrələmə funksiyaları hətta mətn redaktorlarında quraşdırılmışdır.
Məlum oldu ki, növbəti şifrələmə troyanını qanuni proqramdan ayırmağa kömək edəcək profilaktik mühafizə vasitələri üçün heç bir aşkar əlamət qalmayıb. Trojan imzası verilənlər bazasında deyilsə, antivirusun onu aşkar etmə şansı çox azdır. Evristik modul yalnız məlum ransomware proqramının kobud modifikasiyasına reaksiya verir və davranış analizatoru adətən heç bir şübhəli fəaliyyəti aşkar etmir.
Yedəkləmələr ehtiyat nüsxələri fərqlidir!
Bu gün minlərlə kompüter hər gün və bir qayda olaraq, istifadəçilərin öz əlləri ilə ransomware ilə yoluxur. Antivirus şirkətləri faylların şifrəsini açmaq üçün proqramları qəbul edirlər (müştərilərindən pulsuzdur), lakin onların analitikləri də hər şeyə qadir deyillər. Bəzən müvəffəqiyyətli deşifrə üçün çox az məlumat toplamaq mümkündür və ya Trojan alqoritminin özündə faylları orijinal formada bərpa etməyi qeyri-mümkün edən səhvlər var. İndi şifrənin açılması üçün ərizələr iki gündən altı aya qədər işlənir və bu müddət ərzində onların çoxu sadəcə aktuallığını itirir. Virus skanerinə güvənmədən əlavə qorunma vasitələri axtarmaq qalır.
Uzun müddətdir ki, ehtiyat nüsxələri hər hansı virus hücumlarına qarşı universal müdafiə idi. Yeni zərərli proqram yoluxması halında, sadəcə olaraq hər şeyi ehtiyat nüsxədən bərpa etmək, şifrələnmiş faylları orijinal versiyaları ilə əvəz etmək və istənilən arzuolunmaz dəyişiklikləri geri qaytarmaq mümkün idi. Bununla belə, müasir ransomware troyanları ehtiyat nüsxələrini də aşkar etməyi və korlamağı öyrəniblər. Əgər onlar konfiqurasiya olunubsa avtomatik yaradılması, sonra ehtiyat yaddaş bağlanır və yazıla bilir. Təkmil troyan bütün yerli, xarici və şəbəkə sürücülərini skan edir, ehtiyat nüsxələri olan qovluğu müəyyənləşdirir və onları şifrələyir və ya üzərinə yazılmış boş yerlə silir.
Əl ilə ehtiyat nüsxələrin çıxarılması çox yorucu və etibarsızdır. Gündəlik olaraq belə bir əməliyyatı yerinə yetirmək çətindir və daha uzun müddət ərzində heç bir yerdə bərpa olunmayacaq bir çox müvafiq məlumat toplanacaq. Necə olmaq?
Bu gün əksər tərtibatçılar klassik antiviruslara əlavə olaraq hərtərəfli təhlükəsizlik həlləri təklif edirlər. İndi, firewall, IDS və digər tanınmış komponentlərə əlavə olaraq, onlar yenisini ehtiva edir - təhlükəsiz ehtiyat saxlama. Ehtiyat nüsxələri olan adi qovluqdan fərqli olaraq, yalnız antivirusun özü ona daxil olur və onun sürücüsü tərəfindən idarə olunur. Kataloqun xarici idarə edilməsi tamamilə dayandırılıb - hətta bir idarəçi onu fayl meneceri vasitəsilə aça və ya silə bilməz. Bu yanaşmanın nə qədər yaxşı olduğunu görək.
Test metodologiyası
Təcrübələrimiz üçün təmiz Windows 10 və ən son yamalarla virtual maşının klonlarını hazırladıq. Onların hər birinin öz antivirusu quraşdırılıb. Verilənlər bazalarını yenilədikdən dərhal sonra antivirusun test dəstinə və simulyator proqramımıza reaksiyasını yoxladıq. Test dəstinə 15 nümunə daxildir. Bunlardan 14-ü tanınmış ransomware troyanlarının müxtəlif modifikasiyaları, on beşincisi isə uzaq saytdan başqa bir ransomware yükləyən yükləyici troyan idi.
Faktiki fayl formatından asılı olmayaraq bütün nümunələr .tst uzantısına malik idi. Mürəkkəb olmayan EncryptFiles adı ilə bu testlər üçün xüsusi olaraq yazılmış proqram şifrələyici troyanın tipik davranışını təqlid etdi. Defolt parametrlərlə işə salındıqda, o, heç bir sual olmadan dərhal My Documents qovluğundan faylların məzmununu şifrələyir. Aydınlıq üçün, əks-səda mesajlarını proqramda saxladıq və məzmunlarını birbaşa konsolda dərhal göstərmək üçün cari istifadəçinin sənədləri ilə kataloqda OEM-866 kodlaşdırmasında bir neçə mətn faylı yerləşdirdik. Bir faylda Struqatskilərin əsərlərindən sitatlar (sadə formatlaşdırılmamış mətn), digər faylda isə cədvəl şəklində obyektiv parametrləri (formatlaşdırılmış mətn) var idi.
Hər bir antivirus quraşdırıldıqdan və yeniləndikdən sonra ransomware nümunələri Yalnız oxumaq rejimində qoşulmuş şəbəkə qovluğundan Yükləmələr kataloquna kopyalandı. Sonra kopyalanan fayllar standart parametrlərdə antivirus (tələb üzrə məcburi skan) tərəfindən əlavə olaraq skan edildi. Yoxlandıqdan sonra qalan nümunələrə həqiqi uzadılması təyin edildi, bundan sonra işə salındı. Sistemdə infeksiya olmadıqda, antivirusun simulyator proqramına reaksiyası yoxlanıldı. Faylların müvəffəqiyyətlə şifrələnməsi halında, antivirus alətlərindən istifadə edərək onların orijinal versiyalarını bərpa etməyə çalışdıq və nəticəni qeyd etdik.
Kaspersky Total Security
Sınaq virtual maşınlarından birində biz Kaspersky Total Security quraşdırdıq, o, “zərərli proqramların faylları korlamasının qarşısını almaq üçün ransomware-dən qorunmağı” vəd etdi. Şəbəkə qovluğundan ransomware nümunələrini kopyalamağa çalışarkən KTS demək olar ki, bütün təhlükələri tanıyırdı.
On beş fayldan yalnız biri "Yükləmələr" kataloquna daxil oldu - nd75150946.tst - bu, sadəcə Trojan.Downloaderdir və çoxdan məlumdur. KTS-in tələbi ilə əlavə yoxlamadan sonra fayl yenidən təhlükəsiz hesab edilib. VirusTotal-da qırx beş virus skaneri bununla razılaşmadı.
Həqiqi uzantısını müəyyən etmək üçün bu nümunəni Hex redaktoru ilə açdıq. Tanış başlıq 50 4B 03 04 və içindəki başqa bir faylın adı - açıq-aydın, bir ZIP arxivimiz var. Arxivin içərisində şübhəli fayl var idi: onun simvolu PDF sənədinə uyğun gəlirdi, genişləndirilməsi isə .scr - ekran qoruyucusu, yəni icra edilə bilən koddur.
Arxivdən .scr uzantısı olan faylı işə salmağa çalışarkən, KTS istifadəçinin müvəqqəti kataloqunda onun avtomatik açılmış nüsxəsini blokladı. KSN şəbəkəsi vasitəsilə bulud analizinin nəticələrinə əsasən o, bu faylı naməlum zərərli obyekt kimi müəyyən edib və onu yenidən yükləmə ilə silməyi təklif edib. Bu halda, bu əlavə ehtiyat tədbiri idi, çünki Troyana nəzarət verilməmişdir və adi fayl kimi istənilən yolla silinə bilərdi.
Maraqlıdır ki, Kaspersky Total Security öz səhvlərindən nəticə çıxarmır. Arxiv yenidən skan edildikdə, onun yenidən təmiz olduğu məlum oldu, baxmayaraq ki, ondan çıxarılan fayl KSN-də təhlil nəticələrinə əsasən tetikleyicini işə salmışdı.
Testin növbəti mərhələsinin əvvəlində Sənədlərim kataloqunun ilkin vəziyyətini yoxladıq və ondan konsola bir neçə mətn faylının məzmununu göstərdik.
Bundan sonra biz "Yedəkləmə və Bərpa etmə" modulunu açdıq və bu sənədlərin ehtiyat nüsxəsini birbaşa sistem bölməsindəki Yedəkləmə qovluğuna etdik. Həqiqi bir vəziyyətdə, fərqli bir yer seçməlisiniz (məsələn, xarici sürücü), lakin testimiz üçün bunun əhəmiyyəti yoxdur. İstənilən halda, bu qovluğa giriş KTS vasitəsilə idarə olunur və troyanlar standart fayl sistemi sürücüsü vasitəsilə onunla qarşılıqlı əlaqədə ola bilməzlər.
Standart alətlərdən istifadə edərək, hətta bir idarəçi yalnız bu qovluğun xüsusiyyətlərinə baxa bilər. Onu daxil etməyə çalışdığınız zaman, KTS ehtiyat nüsxə meneceri avtomatik olaraq işə başlayır və parol daha əvvəl təyin edilibsə, daxil etməyinizi xahiş edir.
Yedək menecerinin özü Kaspersky tərəfindən çox aydın şəkildə ifadə edilir. Siz standart qovluqları seçə, öz fayllarınızı təyin edə və ya fərdi faylları istisna edə bilərsiniz. Hər növ faylların sayı dərhal soldakı pəncərədə, ölçüsü isə sağdakı xüsusiyyətlərdə göstərilir.
Yerli və çıxarıla bilən disklərə ehtiyat nüsxələri yazmaqla yanaşı, KTS onları Dropbox-a göndərməyi dəstəkləyir. Zərərli proqram kompüterin işə salınmasına və xarici mediaya qoşulmasına mane olarsa, bulud yaddaşından istifadə xüsusilə rahatdır.
KTS bizim simulyator proqramımıza məhəl qoymadı. O, səssizcə faylları şifrələdi, məzmununu boş yerə çevirdi. Videolarım, Şəkillərim və Musiqim alt kataloqlarına girişin rədd edilməsi proqramın özündə olan səhvdir və onun %USERPROFILE%Sənədlərdə faylları şifrələmək qabiliyyətinə heç bir şəkildə təsir göstərmir.
Əgər proqramımızda deşifrə funksiyası sadəcə /decrypt açarı ilə işə salındıqda yerinə yetirilirsə, o zaman troyanlar üçün fidyə tələbləri yerinə yetirildikdən sonra belə həmişə işə salınmır. Bu vəziyyətdə şifrələnmiş faylları bərpa etmək üçün kifayət qədər sürətli yeganə seçim onları əvvəllər yaradılmış ehtiyat nüsxədən yazmaqdır. Cəmi bir neçə kliklə biz şifrlənmiş fayllardan birini öz orijinal yerinə seçərək bərpa etdik. Eynilə, bir və ya daha çox qovluğu bərpa edə bilərsiniz.
Dr.Web Təhlükəsizlik Məkanı
KTS kimi, Dr.Web SS 15 nümunədən 14-nü artıq Yükləmələr kataloquna köçürməyə çalışarkən aşkar etdi.
Bununla belə, KTS-dən fərqli olaraq, onun genişləndirilməsini ZIP-ə dəyişdikdən və məcburi skan etdikdən sonra qalan nümunədə Trojan.Downloader-i aşkar etdi.
Əksər Dr.Web SS parametrləri standart olaraq qeyri-aktivdir. Onu aktivləşdirmək üçün əvvəlcə kilid işarəsinə klik etməli və parol quraşdırılıbsa, parol daxil etməlisiniz.
Ehtiyat nüsxələr Dr.Web SS-də Data Loss Prevention alətindən istifadə etməklə yaradılır. Mövcud parametrlər minimaldır. Siz ehtiyat nüsxə üçün standart fərdi qovluqları seçə və ya öz qovluqlarınızı təyin edə, nüsxələrin ölçüsündə seçilmiş məhdudiyyətlərdən birini təyin edə, ehtiyat nüsxələrin yerini təyin edə və ehtiyat nüsxə cədvəlini qura bilərsiniz. Bulud anbarlarına yükləmə Dr.Web SS tərəfindən dəstəklənmir, ona görə də özünüzü yerli disklərlə məhdudlaşdırmalısınız.
Dr.Web SS-də qovluğun ehtiyat nüsxələri ilə qorunması KTS-dən daha aqressivdir. Administrator hətta kəşfiyyatçı vasitəsilə onun xassələrinə baxa bilmir.
Sənədlərin ehtiyat nüsxələrini çıxardıq və testin ikinci hissəsinə keçdik.
Dr.Web SS imitatoru onu tanımadı və heç bir şəkildə onun işinə mane olmadı. Saniyənin bir hissəsində bütün fayllar şifrələndi.
Data Loss Prevention proqramını yenidən işə salmaqla biz orijinal faylları bərpa etdik. Ancaq gözlədikləri yerdə heç sağ qala bilmədilər.
Hədəf "Sənədlərim" qovluğunu təyin edərkən, avtomatik olaraq ad olaraq cari tarix və vaxtla bir alt kataloq yaradılır. Saxlanılan fayllar artıq ehtiyat nüsxədən çıxarılır və bütün nisbi yolların bərpası ilə. Bu, ümumi 255 simvol limitini asanlıqla keçə bilən son dərəcə yöndəmsiz uzun yola səbəb olur.
Norton Təhlükəsizlik Premium
90-cı illərdə ehtiyat standartına çevrilən Norton Ghost-u xatırlayaraq, Symantec antivirusunda bu cür funksionallığın görünüşünü proqnozlaşdırmaq asan idi. Təəccüblüdür ki, bu açıq həll tələb olunana qədər iki onillik keçdi. Xoşbəxtlik olmazdı, amma bədbəxtlik kömək etdi.
Ransomware nümunələri kataloqunu kopyalamağa çalışarkən, NSP 15 təhlükədən 12-ni aşkar etdi və karantinə qoydu.
Qalan üç faylın hamısı VirusTotal tərəfindən, o cümlədən ikisi Symantec antivirusu tərəfindən təhlil edildikdə zərərli kimi tanınır. Sadəcə olaraq standart parametrlər elə qurulub ki, NSP surət çıxararkən bəzi faylları yoxlamasın. Məcburi skan edilir... və NSP eyni kataloqda daha iki troyan tapır.
Əvvəlki antiviruslar kimi, NSP də Trojan yükləyicisini dəyişdirilmiş ZIP arxivində buraxır. NSP arxivindən .scr faylını işə salmağa çalışarkən, o, cari istifadəçinin müvəqqəti kataloqundan Troyanın paketdən çıxarılmamış surətinin işə salınmasını əngəlləyir. Bu halda, arxiv özü heç bir şəkildə işlənmir.
Arxiv, ondan çıxarılan troyan aşkar edildikdən dərhal sonra yenidən skan edilsə belə, təmiz sayılır. Yazı xüsusilə gülməli görünür: "Sizcə, hələ də təhdidlər varsa, bura klikləyin." Bunun üzərinə kliklədiyiniz zaman verilənlər bazaları yenilənir (yaxud təzədirsə yox).
Təəccüblüdür ki, bəzi köhnə ransomware nümunələri hələ də NSP tərəfindən yalnız evristik analizator və bulud əsaslı yoxlama alətləri tərəfindən aşkar edilir. Görünür, Symantec virusoloqları verilənlər bazalarını yeni saxlamaq üçün çox tənbəldirlər. Onların antivirusu sadəcə şübhəli hər şeyi bloklayır və istifadəçinin reaksiyasını gözləyir.
Testin ikinci mərhələsi ənənəvi olub. Sənədlərim kataloqundan faylların ehtiyat nüsxəsini çıxardıq və sonra onları şifrələməyə çalışdıq.
NSP-də ehtiyat nüsxə meneceri əvvəlcə onun məntiqindən razı qaldı. Klassik “Nə? Harada? Nə vaxt? ”, sovetdən əvvəlki dövrlərdən tanışdır. Bununla belə, müasir versiyada həddindən artıq mücərrədlik kölgəsində qalır. Tam yolları olan obyektləri və faylları genişlənmələrə görə birbaşa siyahıya almaq əvəzinə, onların virtual yerləşməsi və növlərə görə şərti qruplaşdırılması istifadə olunur. NSP-nin hansı faylları maliyyə məlumatları ilə əlaqəli hesab etdiyini və hansıları sadəcə olaraq "Digər" bölməsinə yerləşdirdiyini görmək qalır.
Əlavə parametrlər mümkündür (məsələn, "Fayl və qovluqları əlavə et və ya xaric et" linkindən istifadə etməklə), lakin onları etmək çox çətindir. Bir neçə fayl (hər biri bir kilobaytdan az) naminə siz hələ də yarım qovluq ağacının və desktop.ini kimi hər cür zibilin ehtiyat nüsxəsini çıxarmalısınız və ehtiyat nüsxə ustası bunu CD-R-də saxlamağı təklif edir. Deyəsən 21-ci əsr hamıya gəlməyib.
Digər tərəfdən, NSP istifadəçiləri buludda 25 GB ehtiyat nüsxə ilə təmin edilir. Oraya ehtiyat nüsxələri yükləmək üçün təyinat yeri olaraq "Təhlükəsiz Şəbəkə Yaddaşını" seçin.
Yerli ehtiyat nüsxəsini yaratdıqdan sonra biz Trojan şifrələyicisinin hərəkətlərini təqlid edən proqramı işə saldıq. NSP ona heç bir şəkildə müdaxilə etmədi və faylları şifrələməyə icazə verdi.
Onları ehtiyat nüsxədən bərpa etmək Dr.Web SS ilə müqayisədə daha sürətli və rahat idi. Üstünə yazmağı təsdiqləmək kifayət idi və orijinal formada olan fayllar dərhal orijinal yerlərində sona çatdı.
K7 Ultimate Təhlükəsizlik
Əvvəllər Hindistanın K7 Computing şirkətinin bu məhsulu Antivirus Plus adlanırdı. Bu geliştiricinin adları ilə indi bir az qarışıqlıq var. Məsələn, K7 Total Security paylamasında ehtiyat alətlər yoxdur. Buna görə də biz Ultimate versiyasını sınaqdan keçirdik - ehtiyat nüsxəsini çıxara bilən yeganə.
Rusiyada tanınan antiviruslardan fərqli olaraq, bu inkişaf testlərimizdə qaranlıq bir at idi. “Hind kodu” ifadəsi proqramçılar arasında lənət kimi qəbul edilir və biz bundan çox şey gözləmirdik. Testlər göstərdiyi kimi - boş yerə.
K7 Ultimate Security seçdiyimiz 15 təhlükənin hamısını dərhal aşkar edən ilk antivirusdur. O, hətta nümunələrin Yükləmələr qovluğuna kopyalanmasına icazə vermirdi və əgər o, Yalnız oxumaq rejimində quraşdırılmasaydı, onları birbaşa şəbəkə qovluğunda silərdi.
Proqramın dizaynı kamuflyaj-poladdır. Göründüyü kimi, tərtibatçılar tank oynamağı sevirlər və ya sadəcə bu şəkildə etibarlı bir şeylə əlaqə yaratmağa çalışırlar. K7-də ehtiyat nüsxə seçimləri NSP-də olduğu kimi qurulur. Ümumiyyətlə, K7-nin interfeysi daha az qarışıqdır və daha incə detallara çatmaq daha asandır.
K7 simulyator proqramının işə salınmasına və faylların şifrələnməsinə reaksiya vermədi. Həmişə olduğu kimi, mən orijinalları ehtiyat nüsxədən bərpa etməli oldum.
Rahatlıqla, bərpa edərkən, fərdi faylları seçə və onları orijinal yerinə yaza bilərsiniz. Mövcud faylın üzərinə yazmaq tələbinə müsbət cavab verərək, lenses.txt faylını bir neçə kliklə orijinal yerində bərpa etdik.
Bu testin bir hissəsi olaraq, K7-nin işi haqqında əlavə ediləcək bir şey yoxdur. Uğur uğurdur.
nəticələr
Yaxşı sınaq nəticələrinə baxmayaraq, ümumi nəticələr məyus oldu. Hətta tam versiyaları Populyar pullu antiviruslar öz standart parametrlərində ransomware-in bəzi variantlarını atlayır. Tələb üzrə fərdi skan da skan edilmiş faylların təhlükəsizliyinə zəmanət vermir. İbtidai fəndlərin köməyi ilə (genişləndirmənin dəyişdirilməsi kimi) tanınmış Trojan modifikasiyaları da aşkarlanmadan yayınır. Yeni zərərli proqram demək olar ki, həmişə təbiətə buraxılmazdan əvvəl aşkarlanmaması üçün yoxlanılır.
Davranış analizatoruna, bulud yoxlamasına, fayl reputasiya xüsusiyyətlərinə və imza olmayan digər analiz alətlərinə etibar etməyin. Bu üsullardan bəzi mənalar var, lakin çox kiçik. Hətta sıfır reputasiyası olan və olmayan primitiv simulyator proqramımız rəqəmsal imza heç bir antivirus tərəfindən bloklanmır. Bir çox ransomware troyanları kimi, o, çoxlu qüsurları ehtiva edir, lakin bu, işə salındıqdan dərhal sonra faylları maneəsiz şifrələməsinə mane olmur.
İstifadəçi fayllarının avtomatik ehtiyat nüsxəsi tərəqqinin nəticəsi deyil, zəruri tədbirdir. Yalnız antivirusun özü vasitəsilə ehtiyat yaddaşın daimi qorunması ilə kifayət qədər təsirli ola bilər. Bununla belə, antivirus yaddaşdan silinənə və ya ümumiyyətlə silinənə qədər təsirli olacaq. Buna görə də, nadir hallarda qoşulan bəzi mediada əlavə nüsxələr çıxarmağa və ya onları buludlara yükləməyə həmişə dəyər. Əlbəttə ki, bulud provayderinə kifayət qədər etibar etsəniz.
Bu gün çoxları əsas silahı şifrələmə virusları olan kibercinayətkarların əməllərinin nəticələrini artıq yaşayıb. Əsas məqsəd istifadəçilərin köməyi ilə onlardan pul qoparmaqdır. Şəxsi faylların kilidini açmaq üçün on minlərlə qrivna, biznes sahiblərindən isə milyonlarla pul tələb oluna bilər (məsələn, bloklanmış 1C verilənlər bazası üçün).
Ümid edirik ki, məsləhətlərimiz verilənlər bazanızı mümkün qədər qorumağa kömək edəcək.
Antivirus qorunması
Təbii ki, əsas qorunma vasitəsi antivirusdur. Antivirus proqramının aktuallığına nəzarət etməyinizə əmin olun, çünki virus verilənlər bazaları gündə bir neçə dəfə avtomatik olaraq (istifadəçi müdaxiləsi olmadan) yenilənir. Yeni etibarlı antivirus proqramlarının yaranmasına mütəmadi olaraq nəzarət etməli və onları məhsullarınıza əlavə etməlisiniz.
Belə proqramlardan biri virusu antivirus verilənlər bazasına daxil etməzdən əvvəl bloklayan ESET LiveGrid® bulud xidmətidir. ESET sistemi şübhəli proqramı dərhal təhlil edir və onun təhlükə dərəcəsini müəyyən edir, virusdan şübhələnirsə, proqramın prosesləri bloklanır.
Siz həmçinin pulsuz AVG antivirusundan istifadə edə bilərsiniz, o, əlbəttə ki, ESET-dən bir qədər aşağıdır, lakin viruslardan yaxşı qorunma dərəcəsinə malikdir və tam qorunmaq üçün AVG üçün lisenziya da ala bilərsiniz.
2017-ci ilin əvvəlində MRG Effitas-ın mütəxəssisləri 64 bitlik Microsoft Windows 10 əməliyyat sistemində ev istifadəçilərinin istifadəsi üçün 16 məşhur antivirus məhsulunu sınaqdan keçirdilər. Antivirus etibarlılıq testlərində 386 müxtəlif zərərli proqram nümunəsi, o cümlədən 172 troyan, 51 arxa qapı, 67 bank zərərli proqramı, 69 ransomware və 27 potensial təhlükəli və reklam proqramı istifadə edilib.
Budur test nəticələri
Bu diaqrama əsasən, siz 2017-ci ilin ən yaxşı pulsuz antivirusunu, eləcə də ən yaxşı ödənişli antivirusu təyin edə bilərsiniz və özünüzü kompüterdə və ya noutbukda qorumaq üçün hansını artıq quraşdırdığınız sizə bağlıdır.
Seçiminiz ödənişli antivirusa düşdüsə və siz NOD32-də qərarlaşdınızsa, ESET LiveGrid® funksiyasının aktiv olub olmadığını mütləq yoxlaya bilərsiniz, bunu edə bilərsiniz: ESET NOD32 - Qabaqcıl parametrlər - Utilitlər - ESET LiveGrid® - ESET LiveGrid-i aktivləşdirin ® reputasiya sistemi.
Təcavüzkarlar həmişə ümid edirlər ki, istifadəçilərin quraşdırmağa vaxtı olmayıb Ən son yeniləmələr və zəifliklərdən istifadə edə biləcəklər proqram təminatı. İlk növbədə, bu, Windows əməliyyat sisteminə aiddir, ona görə də avtomatik OS yeniləmələrini yoxlamaq və aktivləşdirmək lazımdır (Başlat - İdarəetmə Paneli - Windows Yeniləmə - Parametrlər - Yeniləmələri necə yükləmək və quraşdırmaq lazım olduğunu seçin).
Windows-da təqdim olunan şifrələmə xidmətindən istifadə etmirsinizsə, onu söndürmək daha yaxşıdır, çünki bəzi ransomware modifikasiyaları bu funksiyadan öz məqsədləri üçün istifadə edir. Onu söndürmək üçün bu addımları yerinə yetirin: Başlat - İdarəetmə Paneli - İnzibati Alətlər - Xidmətlər - Şifrələnmiş Fayl Sistemi (EFS) və sistemi yenidən başladın.
Ancaq hər hansı bir fayl və ya qovluğu qorumaq üçün artıq şifrələmədən istifadə etmisinizsə, onda müvafiq onay qutularının işarəsini silməlisiniz (RMB - Xüsusiyyətlər - Atributlar - Qabaqcıl - Məlumatları qorumaq üçün məzmunu şifrələyin). Bu edilmədikdə, şifrələmə xidmətini söndürdükdən sonra bu məlumatlara girişi itirəcəksiniz. Hansı faylların şifrələndiyini tapmaq asandır - onlar yaşıl rənglə vurğulanır.
Proqramların məhdud istifadəsi
Təhlükəsizlik səviyyəsini artırmaq üçün müəyyən edilmiş tələblərə cavab verməyən proqramların işə salınmasını bloklaya bilərsiniz. Bu cür parametrlər, standart olaraq, Windows və Proqram Faylları üçün qurulur.
Yerli quraşdırın qrup siyasəti belə mümkündür:
Run düyməsini basın və əmri daxil edin: gpedit.msc("Başlat - Çalıştır (Win + R) - secpol.msc")
Seçin:
- "Kompüter konfiqurasiyası"
- "Windows Konfiqurasiyası"
- "Təhlükəsizlik Seçimləri"
- "Proqram təminatının məhdudlaşdırılması siyasəti" üzərinə sağ vurun və vurun
Bundan sonra, icazə verilən yerlərdən başqa proqramların başlamasını qadağan edən bir qayda yaratmalısınız.
"Əlavə qaydalar" bölməsinə gedirik və sağ düyməni sıxırıq. Görünən pəncərədə "Yol üçün bir qayda yaradın" maddəsini vurun.
Yol sahəsində, ulduz "*" qoyun, yəni. istənilən yolu seçin və təhlükəsizlik səviyyəsini seçin: Qadağandır.
Və beləliklə, biz "Proqram təminatının məhdudlaşdırılması siyasəti"ndə işləməyə davam edəcəyik və "Tətbiq" maddəsinə sağ vurun və "Xüsusiyyətlər" i seçin.
Siz bu parametrləri standart olaraq olduğu kimi tərk edə və ya istisnasız olaraq hər şeyə tətbiqi aktivləşdirə bilərsiniz və həmçinin yerli idarəçilər istisna olmaqla (kompüterinizdə istifadəçi və administrator hesablarınız varsa) hər kəsə məhdud siyasət tətbiq etmək seçimini dəyişə bilərsiniz.
Və "Təyin edilmiş fayl növləri" bəndində hansı fayl növlərinin başlamasının qadağan ediləcəyini seçin. Bu pəncərə, işə salınmağa çalışdıqları zaman bloklanan uzantıların siyahısını verir.
Bir uzantı əlavə etmək daha yaxşıdır .js - javascript.
Effektiv quraşdırma bir az vaxt aparacaq, amma nəticə buna dəyər.
Tapşırıq və məqsədlərdən asılı olaraq müəyyən proqramların və faylların işə salınmasına qadağa qoya bilərsiniz.
Bundan sonra qaydaları işə salmaq lazımdır və bunu etmək üçün "Təhlükəsizlik səviyyələri"nə keçin və "Qadağan" üzərinə sağ siçan düyməsini basın. Görünən pəncərədə "Default" düyməsini basın və qaydalarımız tətbiq olunur.
Administrator hesabı ilə işləməməyi məsləhət görürük. Bu, təsadüfən yoluxma halında zərəri azaldacaq (Administrator hesabını aktivləşdir - Parol təyin et - Cari istifadəçini inzibati hüquqlardan məhrum et - İstifadəçiləri qrupa əlavə et).
Windows-da administrator hüquqları ilə işləmək üçün xüsusi bir vasitə var - "İstifadəçi Hesabına Nəzarət", özü əməliyyatları yerinə yetirmək üçün parol tələb edəcək. Parametrlərin yoxlanılması: Başlat - İdarəetmə Paneli - Hesablar istifadəçilər - İstifadəçi Hesabına Nəzarət parametrlərini dəyişdirin - Defolt - Yalnız kompüterimdə dəyişiklik etməyə çalışdığım zaman mənə bildirin
Sistemin bərpası yoxlama nöqtələri
Təəssüf ki, virusların bütün qorunma səviyyələrini aşdığı vaxtlar olur. Buna görə də, sistemin əvvəlki vəziyyətinə qayıda bilməlisiniz. Yoxlama məntəqələrinin avtomatik yaradılmasını aşağıdakı kimi konfiqurasiya edə bilərsiniz: Mənim kompüterim - RMB - Xüsusiyyətlər - Sistemin qorunması - Qoruma parametrləri.
Adətən, standart olaraq, qoruma yalnız sistem sürücüsü üçün aktivləşdirilir, lakin ransomware bütün bölmələrin məzmununu korlaya bilər. Faylları bərpa etmək üçün standart vasitələr və ya Shadow Explorer proqramında bütün disklər üçün mühafizəni aktivləşdirməlisiniz. Yoxlama məntəqələri müəyyən miqdarda yaddaş tutur, lakin yoluxma halında məlumatları saxlayacaq.
Ransomware virusları tanınmış təhlükə növüdür. Onlar SMS bannerləri ilə təxminən eyni vaxtda peyda oldular və ransomware viruslarının ən yüksək reytinqində sonuncularla möhkəm oturdular.
Ransomware virusunun monetizasiya modeli sadədir: o, məlumatın bir hissəsini və ya istifadəçinin kompüterini tamamilə bloklayır və məlumatlara çıxışı bərpa etmək üçün SMS, elektron pul göndərmək və ya terminal vasitəsilə mobil nömrənin balansını doldurmaq tələb olunur. .
Faylları şifrələyən bir virus vəziyyətində hər şey göz qabağındadır - faylların şifrəsini açmaq üçün müəyyən bir məbləğ ödəmək lazımdır.Üstəlik, son bir neçə ildə bu viruslar öz qurbanlarına yanaşmanı dəyişib. Əgər əvvəllər onlar klassik sxemlərə əsasən warez, porno saytlar, saxtalaşdırma və kütləvi spam göndərişləri vasitəsilə yayılırdısa, adi istifadəçilərin kompüterlərini yoluxdururdularsa, indi poçt məktubları "normal" domenlərdəki poçt qutularından əl ilə ünvanlanır - mail.ru, gmail və s. Və yoluxdurmağa çalışırlar hüquqi şəxslər, burada verilənlər bazası və müqavilələr şifrələrin altına düşür.
Bunlar. Hücumlar kəmiyyətdən keyfiyyətə doğru inkişaf etmişdir. Müəllif firmaların birində poçtla CV ilə gələn .sertləşmiş kriptoqrafla qarşılaşma şansı qazandı. İnfeksiya kadr zabitləri tərəfindən faylın açılmasından dərhal sonra baş verdi, şirkət sadəcə kadr axtarırdı və fayl heç bir şübhə yaratmadı. Bu, AdobeReader.exe ilə daxil edilmiş docx idi :)
Ən maraqlısı odur ki, Kaspersky Anti-Virusun evristik və proaktiv sensorlarından heç biri işləməyib. İnfeksiyadan başqa bir gün və ya 2 gün sonra virus dr.web və nod32 tərəfindən aşkar edilmədi
Bəs belə təhdidlərlə nə etmək lazımdır? Antivirus faydasızdır?
Yalnız imzalı antivirusların vaxtı tükənir.
G Data Total Protection 2015 — ən yaxşı müdafiə ransomware proqramından
daxili ehtiyat modulu ilə. Klikləyin və satın alın.
Aksiyadan təsirlənənlərin hamısı üçün ransomware - G DATA alışı üçün endirimli promosyon kodu - GDTP 2015.Ödəniş zamanı bu promosyon kodunu daxil edin.
Ransomware virusları antivirus proqramlarının uğursuzluğunu bir daha sübut etdi. SMS bannerləri, bir vaxtlar, istifadəçiləri müvəqqəti qovluğa sərbəst şəkildə "birləşdirir" və sadəcə olaraq bütün iş masasında işə salınır və klaviaturadan bütün xidmət kombinasiyalarına basaraq müdaxilə edirdi.
Antivirus proqramı o vaxt əla işləyirdi :) Kaspersky, normal rejimdə olduğu kimi, "Protected by Kaspersky LAB" yazısını göstərdi.
Banner, rootkitlər kimi hiyləgər zərərli proqram deyil, reyestrdə 2 düyməni dəyişdirən və klaviatura daxiletmələrini kəsən sadə proqramdır.
Faylları şifrələyən viruslar saxtakarlığın yeni səviyyəsinə çatıb. Bu, yenidən əməliyyat sistemi koduna daxil edilməyən, sistem fayllarını əvəz etməyən və digər proqramların RAM sahələrini oxumayan adi bir proqramdır.
O, sadəcə olaraq qısa müddətə işləyir, açıq və şəxsi açar yaradır, faylları şifrələyir və şəxsi açarı təcavüzkara göndərir. Şifrələnmiş məlumat dəstəsi və hakerlərin kontaktları olan fayl əlavə ödəniş üçün qurbanın kompüterində qalır.
Düşünmək məqsədəuyğundur: Əgər o, yalnız ona məlum olan zərərli proqramları tapa bilirsə, niyə sizə antivirus lazımdır?
Həqiqətən, bir antivirus proqramı lazımdır - o, bütün məlum təhlükələrdən qoruyacaq. Bununla belə, bir çox yeni zərərli kodun növləri onun üçün çox çətindir. Özünüzü ransomware viruslarından qorumaq üçün tədbirlər görməlisiniz, burada tək antivirus kifayət deyil. Və dərhal deyəcəyəm: “Fayllarınız artıq şifrələnibsə, siz daxil olursunuz. Onları geri qaytarmaq asan deyil”.
:
Antivirusunuzu Unutmayın
Vacib informasiya sistemlərinin və məlumatların ehtiyat nüsxəsi Hər bir xidmətin öz xüsusi serveri var.
Vacib məlumatların ehtiyat nüsxəsini çıxarın.
:
Virusun özü ilə nə etməli?
Şifrələnmiş fayllarla müstəqil hərəkətlər
Antivirus texniki dəstəyi ilə ünsiyyət təcrübəsi, nə gözləmək olar?
Polisə müraciət
Gələcəkdə ehtiyat tədbirlərinə diqqət yetirin (əvvəlki bölməyə baxın).
Hər şey uğursuz olarsa, bəlkə ödəməyə dəyər?
Əgər siz hələ də ransomware virusunun qurbanı olmamısınızsa:
*Son yeniləmələrlə kompüterdə antivirus proqramının olması.
Açıqcasına deyək: “Antiviruslar yeni növ ransomware ilə mübarizə aparmaqda dəhşətlidir, lakin məlum təhlükələrlə mükəmməl mübarizə aparırlar”. Beləliklə, iş stansiyasında antivirusun olması lazımdır. Artıq qurbanlar varsa, heç olmasa epidemiyadan qaçacaqsınız. Hansı antivirusu seçmək sizin ixtiyarınızdadır.
Təcrübədən belə çıxır ki, Kaspersky daha çox yaddaş və prosessor vaxtını “yeyir” və 5200 sürəti olan laptopun sərt diskləri üçün bu, fəlakətdir (tez-tez sektorun oxunması 500 ms gecikmə ilə ..) Nod32 sürətlidir, lakin az tutur. GDATA antivirusunu ala bilərsiniz - ən yaxşı seçimdir.
*Vacib informasiya sistemlərinin və məlumatların ehtiyat nüsxəsi. Hər bir xidmətin öz serveri var.
Buna görə də, bütün xidmətlərin (1C, vergi ödəyicisi, xüsusi iş stansiyaları) və şirkətin ömrünün asılı olduğu hər hansı bir proqramı ayrı bir serverə, daha da yaxşısı - terminala köçürmək çox vacibdir. Daha yaxşısı, hər bir xidməti öz serverinizdə yerləşdirin (fiziki və ya virtual - özünüz qərar verin).
1c verilənlər bazasını ictimai domendə, şəbəkədə saxlamayın. Bir çox insan bunu edir, amma səhvdir.
Əgər 1-lərlə iş bütün işçilər üçün paylaşılan oxumaq/yazmaq imkanı olan şəbəkə üzərində təşkil olunubsa, 1-ləri terminal serverinə aparın, istifadəçilərə RDP vasitəsilə onunla işləməyə icazə verin.
Bir neçə istifadəçi varsa və bir server OS üçün kifayət qədər pul yoxdursa, adi Windows XP-dən terminal serveri kimi istifadə edə bilərsiniz (eyni zamanda qoşulmaların sayına məhdudiyyətlərin aradan qaldırılması şərti ilə, yəni yamaq lazımdır). Baxmayaraq ki, eyni müvəffəqiyyətlə lisenziyasız bir versiya quraşdıra bilərsiniz windows server. Xoşbəxtlikdən, Microsoft onu istifadə etməyə icazə verir, lakin sonra satın alın və aktivləşdirin :)
İstifadəçilərin 1-lərdən RDP-yə qədər işləməsi bir tərəfdən şəbəkəyə yükü azaldacaq və 1-lərin işini sürətləndirəcək, digər tərəfdən isə verilənlər bazalarının yoluxmasının qarşısını alacaq.
Verilənlər bazası fayllarını paylaşılan şəbəkədə saxlamaq təhlükəsiz deyil və başqa perspektivlər yoxdursa, ehtiyat nüsxəsinə diqqət yetirin (növbəti hissəyə baxın.)
* Vacib məlumatların ehtiyat nüsxəsini çıxarın.
Əgər siz hələ də ehtiyat nüsxələrini (ehtiyat) yaratmamısınızsa - sən axmaqsan, məni bağışla. Yaxşı, ya da sistem administratorunuza salam deyin. Ehtiyat nüsxələr təkcə viruslardan deyil, həm də səhlənkar işçilərdən, hakerlərdən və nəhayət, sabit diskləri “yıxılandan” xilas edir.
Necə və nəyin ehtiyat nüsxəsini çıxarmaq lazımdır - ayrı bir məqalədə oxuya bilərsiniz. Məsələn, GDATA antivirusunun iki versiyada ehtiyat modulu var - təşkilatlar üçün ümumi qorunma və son nöqtə təhlükəsizliyi ( GDATA tam müdafiəsini ala bilərsiniz).
Kompüterinizdə şifrələnmiş faylları tapsanız:
*Virusun özü ilə nə etməli?
Kompüterinizi söndürün və antivirusunuz üçün kompüter xidməti + dəstəyi ilə əlaqə saxlayın. Əgər şanslısınızsa, virusun bədəni hələ çıxarılmayıb və ondan faylların şifrəsini açmaq üçün istifadə edilə bilər. Əgər şanslı deyilsinizsə (tez-tez olduğu kimi), virus məlumatların şifrələnməsindən sonra şəxsi açarı təcavüzkarlara göndərir və onun bütün izləri silinir. Bu, onların necə və hansı alqoritmlə şifrələndiyini müəyyən etmək mümkün olmaması üçün edilir.
Əgər hələ də yoluxmuş faylı olan e-poçtunuz varsa, onu silməyin. Məşhur məhsullar üçün antivirus laboratoriyasına göndərin. Və bir daha açmayın.
* Şifrələnmiş fayllarla müstəqil hərəkətlər
Nə edilə bilər:
Antivirus dəstəyi ilə əlaqə saxlayın, təlimatlar və ehtimal ki, virusunuz üçün deşifredici alın.
Polisə ifadə yazın.
Artıq bu problemlə qarşılaşmış digər istifadəçilərin təcrübəsi üçün İnternetdə axtarın.
Faylları ayrıca qovluğa köçürdükdən sonra onların şifrəsini açmaq üçün tədbirlər alın.
Windows 7 və ya 8-iniz varsa, faylların əvvəlki versiyalarını bərpa edə bilərsiniz (faylların olduğu qovluğa sağ klikləyin). Yenə də əvvəlcədən onları kopyalamağı unutmayın.
Nə etməməli:
Windows-u yenidən quraşdırın
Şifrələnmiş faylları silin, adlarını dəyişdirin və uzantısını dəyişdirin. Gələcəkdə şifrəni açarkən fayl adı çox vacibdir
*Antivirus texniki dəstəyi ilə ünsiyyət təcrübəsi, nə gözləmək olar?
Müştərilərimizdən biri hələ antivirus verilənlər bazasında olmayan .sertləşdirilmiş kripto-virusu tutduqda dr.web və Kaspersky-ə sorğular göndərildi.
dr.web-də texniki dəstəyi bəyəndik, rəy dərhal ortaya çıxdı və hətta məsləhətlər verdi. Və bir neçə gündən sonra vicdanla heç nə edə bilməyəcəklərini söylədilər və düşdülər ətraflı təlimatlar səlahiyyətli orqanlar vasitəsilə sorğunun necə göndərilməsi.
Kaspersky-də isə əksinə, əvvəlcə bot cavab verdi, sonra bot bildirdi ki, ən son verilənlər bazası ilə antivirus quraşdırmaq mənim problemimi həll edəcək (xatırladıram ki, problem yüzlərlə şifrələnmiş fayldır). Bir həftə sonra sorğumun statusu “antivirus laboratoriyasına göndərildi” olaraq dəyişdi və müəllif bir-iki gün sonra sorğunun taleyi barədə təvazökarlıqla soruşduqda, Kaspersky nümayəndələri cavab verdilər ki, bizdən cavab almayacağıq. Hələ laboratoriya, deyirlər, gözləyirik.
Bir müddətdən sonra sorğumun xidmətin keyfiyyətini qiymətləndirmək təklifi ilə bağlandığına dair mesaj aldım (bütün bunlar laboratoriyadan cavab gözləyərkən) .. "Səni sikin!" müəllif düşündü.
NOD32, yeri gəlmişkən, bu virus ortaya çıxdıqdan sonra 3-cü gündə tutulmağa başladı.
Prinsip ondan ibarətdir ki, şifrələnmiş fayllarınızla təkbaşınasınız. Böyük antivirus markalarının laboratoriyaları sizə yalnız əgər kömək edəcək müvafiq antivirus məhsulu üçün açarınız varsa və əgər varsa kripto-virusun zəifliyi var. Təcavüzkarlar faylı birdən-birə bir neçə alqoritmlə şifrələyibsə, çox güman ki, siz ödəniş etməli olacaqsınız.
Antivirus seçimi sizindir, laqeyd yanaşmayın.
*Polisə müraciət edin
Əgər kripto-virusun qurbanı olmusunuzsa və hətta şifrələnmiş şəxsi məlumat formasında hər hansı bir zərər görmüsünüzsə, polisə müraciət edə bilərsiniz. Tətbiq təlimatları və s. var .
*Hər şey uğursuz olarsa, ödəməyə dəyərmi?
Antivirusların ransomware ilə bağlı nisbi hərəkətsizliyini nəzərə alsaq, bəzən təcavüzkarlara pul ödəmək daha asandır. Məsələn, sərtləşdirilmiş fayllar üçün virusun müəllifləri təxminən 10 min rubl tələb edirlər.
Digər təhdidlər üçün (gpcode və s.), qiymət etiketi 2 min rubl arasında dəyişə bilər. Çox vaxt bu məbləğ məlumat çatışmazlığının səbəb ola biləcəyi itkilərdən və sənətkarların faylların əl ilə şifrəsini açmaq üçün sizdən tələb edə biləcəyi məbləğdən aşağıdır.
Xülasə, ransomware viruslarına qarşı ən yaxşı qorunma istifadəçilərin serverlərindən və iş stansiyalarından vacib məlumatların ehtiyat nüsxəsini çıxarmaqdır.
Necə davam etmək sizə bağlıdır. Uğurlar.
Bu girişi oxuyan istifadəçilər adətən oxuyurlar:
ilə təmasda
Salam əziz dostlar və oxucular. Ruslan Miftaxov əlaqə saxlayır, bu bloqun müəllifi, kim bilmir.
Bu yazıda bu il mayın 12-də cümə günü başlayan bütün dünyada virus hücumu ilə bağlı sensasiyalı mövzunu müzakirə etmək istərdim. Özünüzü ransomware virusundan necə qorumaq və vacib məlumatlarınızı kompüterinizdə saxlamaqla bağlı bəzi məsləhətlər də verin.
Əgər bloqumu oxuyursunuzsa, o zaman bilirsiniz ki, mən kompüter təmirçisiyəm. Bu işdən daha çox hobbidir. Beləliklə, xatırladığım qədər, bloker viruslar 2013-cü ilə qədər geniş yayılmışdı.
Sistem işə salındıqda, hər hansı bir təhdid yazısı, bəzən porno şəkilləri olan bir mesaj çıxdı. Hətta məndə belə blokerlərin bir neçə şəkli qalıb. Onlardan biri budur.
Bir neçə müştəri mənə etiraf etdi ki, onlar fırıldaqçılara pul ödəyiblər və nəticədə bu virusu silmək üçün ustaya zəng ediblər. Hətta biri fərqli terminallarda üç dəfə 500 rubl ödəyib, ehtimal ki, kilid açma kodunun digərində çap olunacağını düşünüb. Nəticədə o, mənə zəng etdi və mən bu virusu 5-10 dəqiqəyə çıxartdım.
2013-cü ildə haradasa, wannacry kimi bu cür proqramlar gəlməyə başlayanda şəhərimizdə ilk dəfə ransomware virusu ilə qarşılaşdım. Məsələn, burada Ebola adlı bir virus var, onun şəklini yadigar olaraq çəkmişəm.
Əlbəttə ki, virusun özünü kompüterdən çıxarmaq çətin deyildi, lakin şifrələnmiş məlumatların şifrəsini açmaq mümkün deyildi, burada yalnız uyğun bir dekoder kömək edə bilər.
Virus prinsipi
Virus əsasən e-poçt vasitəsilə yayılır. Rusiya Daxili İşlər Nazirliyindən, yaxud məhkəmənin qərarı ilə və ya vergi orqanlarından bir mövzu ilə məktub gəlir, ümumiyyətlə, istifadəçinin marağı ilə oynayırlar ki, məktubu açsın. Və həmin məktubda bir fayl var, eyni ransomware virusu.
Kompüterə nüfuz etdikdən sonra virus bütün fotoşəkilləri, videoları, sənədləri şifrələməyə başlayır. Kompüterdə fayllar var, lakin onları açmaq mümkün deyil. Bu, belə bir bədbəxtlikdir və bu fırıldaqçıların şifrəsini açmaq üçün bunun üçün 15-20 min rubl istəyirlər.
Təbii ki, əgər fayllar öz dəyərinə malikdirsə və nüsxələri yoxdursa, istifadəçi fırıldaqçılarla sövdələşir. Mən belə hallar eşitməmişəm, heç kim deməyi xoşlamır ki, fırıldaqçıların qurbanı olub.
Hətta bir evə rəhbərlik çağırdılar, orda belə bir mənzərə müşahidə etdim.
Mühasibin sözlərinə görə, o, administrasiyadan mövzu ilə elektron məktub alıb. Onu açdıqdan sonra əlavə edilmiş fayllarda açılmalı və oxunmalı olan vacib bir sənəd var idi. Yaxşı, onda özünüz hər şeyi başa düşürsünüz, bu faylı açmaqla virus başlayır və kompüterə daxil olmayan hər şeyi şifrələyir.
Bütün bunlar vergi yoxlamasından əvvəldir, təsadüfdür, yoxsa səbəb var idi;)
İnsanlar niyə fırıldaqçılara pul verirlər?
Burada incə psixologiya oynayır, bloker virus vəziyyətində ədəbsiz şəkillər çıxdı yazısı ilə siz ədəbsiz saytlara girmisiniz və uşaq pornoqrafiyası olan fotoşəkilləri saxladınız və bu məqalə qanunla belə və beləliklə cəzalandırılır. Kimsə bu cəfəngiyyata inanıb pul verib, kimsə isə sadəcə olaraq yaxınlarının bunu görüb ödəməsini istəməyib, ödənişdən sonra blokerin yox olacağına ümid edib. Bəli sadəlövh.
Ağlamaq istəyən virus halında, fırıldaqçılar şifrələnmiş faylların istifadəçi üçün çox zəruri və vacib olmasını gözləyirlər və o, ödəyəcək. Amma burada məbləğ artıq birinci halda olduğu kimi 500-1000 rubl deyil. Və yəqin ki, fırıldaqçılar daha böyük oyunu hədəfləyirlər.
Hansı orta istifadəçinin itirdiyi üçün 500 dollar ödəyəcəyini özünüz düşünün ailə şəkli video arxiv və ya kurs işi və ya tezis üçün.
Burada daha doğrusu, məqsəd Megafon, Beeline və bir sıra digərləri ilə baş verən böyük şirkətlər və dövlət korporasiyalarıdır. Sizcə, onlar bazalarını bərpa etmək üçün 500 dollar ödəyəcəklər?
Əgər surəti yoxdursa, təbii ki, ödəyəcəklər. Əgər surəti varsa, heç bir sual yoxdur, hər şey sökülür və yenidən ehtiyat nüsxə qoyulur. 2, 3 saat itirəcəklər, amma hər şey olduğu kimi işləyəcək.
Ransomware-dən necə qorunmaq olar
- Sizə lazım olan ilk şey vacib məlumatları etməkdir. Fərqli mediada ən azı üç nüsxənin olmasını tövsiyə edirəm. Xarici bir flash sürücüyə kopyalayın HDD, bir nüsxəni Mail buludunda, Yandex diskində və ya digər bulud saxlama xidmətlərində saxlayın.
- Müntəzəm olaraq əl ilə yeniləyin əməliyyat sistemi. Windows yenilənməsə belə, nod32 antivirusu WannaCry və onun modifikasiyalarını aşkar edib bloklayacaq.
- Ayıq olmaq və şübhəli e-poçtları açmamaq, hansı məktubların açılmaması lazım olduğunu hiss etmək üçün əlbəttə ki, təcrübə tələb edir.
- Daim yenilənən verilənlər bazası ilə etibarlı lisenziyaya malik antivirusunuz olduğundan əmin olun. Mən Eset Nod 32 Smart Security antivirusunu tövsiyə edirəm.
Endirimlə antivirus almaq üçün aşağıdakı düyməyə klikləyin.
Ödənişdən sonra sizin üçün münasib şəkildə, qeyd etdiyiniz kimi e-poçt ünvanı siz lisenziya açarı və antivirusu yükləmək üçün link alacaqsınız.
Bu məqamlara əməl etsəniz, heç bir virusdan, hətta kriptoqrafdan da qorxmursunuz. Siz isə "Üç balaca donuz" cizgi filmindəki kimi oxuyacaqsınız: boz qurddan, qorxunc canavardan, qoca qurddan qorxmuruq :)
Yaxşı, bu qədər, xəbərdarlıq etdim, amma xəbərdarlıq etdim, bəs nə oldu? Düzdür - silahlı.
Bu yazını paylaşın ki, dostlarınız, tanışlarınız və qohumlarınız fırıldaqçıların pəncəsinə düşməsin.
Hörmətlə, Ruslan Miftaxov
