Esta vez comprobamos cómo las complejas herramientas de protección antivirus hacen frente a los troyanos de cifrado. Para ello se seleccionó un ransomware e incluso se creó un programa independiente que simula las acciones de un troyano de cifrado desconocido. Su firma definitivamente no se encuentra en las bases de datos de ningún participante en las pruebas de hoy. ¡Veamos qué pueden hacer!
ADVERTENCIA
El artículo fue escrito con fines de investigación. Toda la información contenida en él es sólo para fines informativos. Todas las muestras se obtuvieron de fuentes abiertas y se enviaron a analistas de virus.
Viejos remedios para nuevas amenazas
Los antivirus clásicos no ayudan mucho a proteger contra programas troyanos que cifran archivos y exigen un rescate por descifrarlos. Técnicamente, este tipo de ransomware se compone total o casi exclusivamente de componentes legítimos, cada uno de los cuales no realiza ninguna acción maliciosa por sí solo. El malware simplemente los combina en una cadena, lo que lleva a un resultado desastroso: el usuario se ve privado de la oportunidad de trabajar con sus archivos hasta que los descifre.
EN Últimamente Han aparecido muchas utilidades especializadas para proteger contra los troyanos ransomware. Intentan realizar análisis sin firmas (es decir, identificar nuevas versiones de ransomware por su comportamiento, reputación de archivos y otros signos indirectos) o simplemente prohíben que cualquier programa realice los cambios necesarios para las acciones del ransomware.
Estamos convencidos de que este tipo de utilidades son prácticamente inútiles. Incluso las restricciones más estrictas establecidas en ellos (bajo las cuales ya no es posible trabajar normalmente) no proporcionan una barrera confiable contra los troyanos ransomware. Estos programas previenen algunas infecciones, pero esto sólo crea una falsa sensación de seguridad en el usuario. Se vuelve más descuidado y se convierte en víctima del ransomware aún más rápidamente.
El principal problema a la hora de luchar contra los troyanos de cifrado clásicos es que todas sus acciones se realizan únicamente en los archivos del usuario y no afectan a los componentes del sistema. No se puede prohibir al usuario cambiar y eliminar sus archivos. Los representantes del ransomware de alta calidad tienen muy pocas o ninguna característica de comportamiento distintiva obvia. Una conexión de red ahora alimenta la mayoría de los programas (al menos para buscar actualizaciones), y las funciones de cifrado están integradas incluso en los editores de texto.
Resulta que no quedan signos evidentes de que las herramientas de protección preventiva ayuden a distinguir otro troyano ransomware de un programa legítimo. Si la firma del troyano no está en las bases de datos, la posibilidad de que el antivirus la detecte es muy pequeña. El módulo heurístico responde sólo a modificaciones burdas de ransomware conocido y el analizador de comportamiento normalmente no detecta ninguna actividad sospechosa.
¡Las copias de seguridad son diferentes a las copias de seguridad!
Hoy en día, miles de ordenadores se infectan con ransomware cada día y, por regla general, a manos de los propios usuarios. Las empresas de antivirus aceptan solicitudes de descifrado de archivos (gratis) de sus clientes, pero sus analistas no son omnipotentes. A veces es posible recopilar muy pocos datos para un descifrado exitoso, o el propio algoritmo troyano contiene errores que imposibilitan la restauración de archivos en su forma original. Ahora las solicitudes de descifrado se procesan entre dos días y seis meses, y durante este tiempo muchas de ellas simplemente pierden su relevancia. Queda por buscar medios de protección adicionales sin depender de un escáner antivirus.
Durante mucho tiempo, las copias de seguridad fueron la protección universal contra cualquier ataque de virus. En caso de infección con nuevo malware, simplemente puede restaurar todo desde la copia de seguridad, sobrescribiendo los archivos cifrados con sus versiones originales y deshaciendo cualquier cambio no deseado. Sin embargo, los troyanos de cifrado modernos también han aprendido a identificar y corromper las copias de seguridad. Si está configurado creación automática, entonces el almacenamiento de respaldo estará conectado y disponible para escritura. Un troyano avanzado escanea todas las unidades locales, externas y de red, determina el directorio con copias de seguridad y las cifra o las elimina, borrando el espacio libre.
Hacer copias de seguridad manualmente es demasiado tedioso y poco confiable. Es difícil realizar una operación de este tipo todos los días y, durante un período de tiempo más largo, se acumularán muchos datos relevantes que no tendrán dónde recuperarse. ¿Cómo ser?
Hoy en día, la mayoría de los desarrolladores ofrecen, además de los antivirus clásicos, soluciones integrales de seguridad. Ahora, además del firewall, IDS y otros componentes conocidos, contienen uno nuevo: almacenamiento de respaldo seguro. A diferencia de un directorio normal con copias de seguridad, solo el antivirus tiene acceso a él y está controlado por su controlador. La administración de directorios externos está completamente deshabilitada; ni siquiera un administrador puede abrirlo ni eliminarlo a través del administrador de archivos. Veamos qué tan bueno es este enfoque.
Metodología de prueba
Para nuestros experimentos, hicimos clones de una máquina virtual con Windows 10 limpio y los últimos conjuntos de parches. Cada uno de ellos tenía instalado su propio antivirus. Inmediatamente después de actualizar las bases de datos, verificamos la respuesta del antivirus a la selección de prueba y nuestro programa simulador. El conjunto de prueba incluyó 15 muestras. De ellos, 14 eran diversas modificaciones de conocidos troyanos ransomware y el decimoquinto era un troyano de descarga que descargaba otro ransomware desde un sitio remoto.
Todas las muestras tenían una extensión .tst, independientemente del formato de archivo real. Un programa escrito especialmente para estas pruebas, llamado simplemente EncryptFiles, imitó el comportamiento típico de un troyano de cifrado. Cuando se inició con los parámetros predeterminados, cifró inmediatamente el contenido de los archivos del directorio "Mis documentos" sin ninguna pregunta. Para mayor claridad, guardamos los mensajes de eco en el programa y colocamos un par de archivos de texto en codificación OEM-866 en el directorio con los documentos del usuario actual para mostrar inmediatamente su contenido directamente en la consola. Un archivo contenía citas de las obras de los Strugatsky (texto simple sin formato) y el otro contenía parámetros de lentes en forma de tabla (texto formateado).
Después de instalar y actualizar cada antivirus, se copiaron muestras de ransomware al directorio de Descargas desde una carpeta de red conectada en modo de solo lectura. Luego, el antivirus analizó adicionalmente los archivos copiados (análisis forzado a pedido) en la configuración predeterminada. A las muestras que quedaron después de la verificación se les asignó su extensión real, tras lo cual fueron lanzadas. Si el sistema no estaba infectado, se comprobó la respuesta del antivirus al programa simulador. Si los archivos se cifraron correctamente, intentamos restaurar sus versiones originales utilizando un software antivirus y registramos el resultado.
Seguridad total de Kaspersky
Instalamos Kaspersky Total Security en una de nuestras máquinas virtuales de prueba, que prometía "protección contra ransomware que evita que los archivos sean dañados por malware". KTS reconoció casi todas las amenazas al intentar copiar muestras de ransomware desde una carpeta de red.
Sólo un archivo de quince se incluyó en el directorio "Descargas": nd75150946.tst; se trata de Trojan.Downloader y se conoce desde hace mucho tiempo. Tras una verificación adicional a petición de KTS, el expediente volvió a considerarse seguro. Cuarenta y cinco escáneres de virus de VirusTotal no estuvieron de acuerdo.
Abrimos este ejemplo con un editor hexadecimal para determinar su verdadera extensión. El encabezado familiar 50 4B 03 04 y el nombre de otro archivo en su interior; obviamente, se trata de un archivo ZIP. Dentro del archivo había un archivo sospechoso: su icono correspondía a un documento PDF y la extensión era .scr, un protector de pantalla, es decir, un código ejecutable.
Al intentar ejecutar un archivo con la extensión .scr desde un archivo comprimido, KTS bloqueó su copia descomprimida automáticamente en el directorio temporal del usuario. Según los resultados del análisis de la nube a través de la red KSN, identificó este archivo como un objeto malicioso desconocido y sugirió eliminarlo reiniciando. En este caso fue una precaución excesiva, ya que el troyano no tomó el control y podía eliminarse de cualquier forma, como un archivo normal.
Es de destacar que Kaspersky Total Security no aprende de sus errores. Cuando se volvió a comprobar el archivo, se encontró nuevamente limpio, aunque el archivo descomprimido acababa de provocar un desencadenante según los resultados del análisis en KSN.
Al comienzo de la siguiente etapa de prueba, verificamos el estado inicial del directorio "Mis documentos" y enviamos el contenido de un par de archivos de texto a la consola.
Después de lo cual abrimos el módulo "Copia de seguridad y restauración" y realizamos una copia de seguridad de estos documentos en la carpeta Copia de seguridad directamente en la partición del sistema. En una situación real, deberías elegir una ubicación diferente (por ejemplo, un disco externo), pero para nuestra prueba no importa. En cualquier caso, el acceso a esta carpeta está controlado por las herramientas KTS y los troyanos no pueden interactuar con ella a través del controlador estándar del sistema de archivos.
Con herramientas habituales, incluso un administrador sólo puede ver las propiedades de esta carpeta. Cuando intenta iniciar sesión, el administrador de copias de seguridad de KTS se inicia automáticamente y le solicita que ingrese una contraseña, si se configuró una previamente.
El propio administrador de copias de seguridad de Kaspersky es muy claro. Puede seleccionar directorios estándar, especificar los suyos propios o excluir archivos individuales. La cantidad de archivos de cada tipo se muestra inmediatamente en la ventana de la izquierda y su tamaño se muestra en las propiedades de la derecha.
Además de grabar copias de seguridad en unidades locales y extraíbles, KTS admite enviarlas a Dropbox. El uso del almacenamiento en la nube es especialmente conveniente si el malware impide que la computadora se inicie y conecte medios externos.
KTS ignoró nuestro programa de simulación. Con calma cifró los archivos, convirtiendo su contenido en una palabrería. La denegación de acceso a los subdirectorios “Mis vídeos”, “Mis imágenes” y “Mi música” es un defecto del programa en sí, que no afecta de ninguna manera su capacidad para cifrar archivos en %USERPROFILE%Documentos.
Si en nuestro programa la función de descifrado se realiza simplemente cuando se inicia con la clave /decrypt, en los troyanos no siempre se inicia incluso después de que se cumplan las demandas de rescate. La única opción lo suficientemente rápida para restaurar archivos cifrados en este caso es sobrescribirlos desde una copia de seguridad creada previamente. Con sólo unos pocos clics, restauramos selectivamente uno de los archivos cifrados a su ubicación original. De la misma forma, puedes restaurar uno o más directorios completos.
Espacio de Seguridad Dr.Web
Al igual que KTS, Dr.Web SS identificó 14 de 15 muestras, incluso al intentar copiarlas en el directorio "Descargas".
Sin embargo, a diferencia de KTS, aún detectó Trojan.Downloader en la muestra restante después de cambiar su extensión a ZIP y ejecutar un análisis forzado.
La mayoría de las configuraciones de Dr.Web SS están bloqueadas de forma predeterminada. Para activarlo, primero debes hacer clic en el icono de candado e ingresar la contraseña, si se ha configurado una.
Las copias de seguridad se crean en Dr.Web SS mediante la herramienta "Prevención de pérdida de datos". Las configuraciones disponibles son mínimas. Puede seleccionar directorios de usuarios estándar para realizar copias de seguridad o especificar los suyos propios, establecer una de las restricciones seleccionadas en el volumen de copias, especificar la ubicación de las copias de seguridad y configurar el programa de copias de seguridad. Dr.Web SS no admite la carga al almacenamiento en la nube, por lo que debe limitarse a unidades locales.
La protección de respaldo del directorio de Dr.Web SS es más agresiva que la de KTS. El administrador ni siquiera puede ver sus propiedades a través del Explorador.
Hicimos copias de seguridad de los documentos y comenzamos la segunda parte de la prueba.
El simulador Dr.Web SS no reconoció el programa y no interfirió de ningún modo en su funcionamiento. En una fracción de segundo, todos los archivos quedaron cifrados.
Al ejecutar Data Loss Prevention nuevamente, restauramos los archivos originales. Sin embargo, no se conservaron como se esperaba.
Cuando especifica la carpeta de destino "Mis documentos", se crea automáticamente un subdirectorio dentro de ella con la fecha y hora actuales como nombre. Los archivos guardados de la copia de seguridad ya están descomprimidos y se restauran todas las rutas relativas. Esto crea una ruta extremadamente larga e inconveniente que fácilmente podría exceder el límite común de 255 caracteres.
Prima de seguridad Norton
Recordando Norton Ghost, que se convirtió en el estándar de respaldo en los años noventa, era fácil predecir la aparición de una funcionalidad similar en el antivirus de Symantec. Es sorprendente que hayan pasado dos décadas antes de que esta solución obvia se hiciera popular. No habría felicidad, pero la desgracia ayudaría.
Al intentar copiar un directorio con muestras de ransomware, NSP identificó y puso en cuarentena 12 de 15 amenazas.
Los tres archivos restantes son reconocidos como maliciosos cuando VirusTotal los analiza, incluidos dos de ellos por el antivirus Symantec. Es solo que la configuración predeterminada está hecha para que NSP no verifique algunos archivos al copiar. Realizamos un análisis forzado... y NSP detecta dos troyanos más en el mismo directorio.
Al igual que los antivirus anteriores, NSP deja el descargador de troyanos en un archivo ZIP renombrado. Cuando intenta ejecutar el archivo .scr desde el archivo comprimido, NSP bloquea el inicio de la copia descomprimida del troyano desde el directorio temporal del usuario actual. En este caso, el archivo en sí no se procesa de ninguna manera.
El archivo se considera limpio incluso si se vuelve a analizar inmediatamente después de que se detecte el troyano extraído del mismo. La inscripción es especialmente divertida: “Si crees que todavía hay amenazas, haz clic aquí”. Al hacer clic en él, las bases de datos se actualizan (o no si ya están actualizadas).
Es sorprendente que NSP todavía detecte algunas de las muestras antiguas de ransomware solo mediante un analizador heurístico y herramientas de verificación en la nube. Parece que los virólogos de Symantec son demasiado vagos para mantener las bases de datos actualizadas. Su antivirus simplemente bloquea todo lo sospechoso y espera la reacción del usuario.
La segunda etapa de las pruebas se desarrolló de forma tradicional. Hicimos una copia de seguridad de los archivos del directorio Mis documentos y luego intentamos cifrarlos.
Al principio, el administrador de copias de seguridad de NSP me complació con su lógica. Utiliza el clásico “¿Qué? ¿Dónde? ¿Cuándo?”, familiar desde la época presoviética. Sin embargo, en la versión moderna se ve eclipsado por una abstracción excesiva. En lugar de enumerar directamente los objetos con rutas completas y archivos por extensión, se utiliza su ubicación virtual y agrupación condicional por tipo. Queda por ver qué archivos NSP considerará relevantes para la información financiera y cuáles simplemente se colocarán en la sección "Otros".
Es posible realizar configuraciones adicionales (por ejemplo, usando el enlace "Agregar o excluir archivos y carpetas"), pero son muy difíciles de realizar. Por un par de archivos (cada uno de menos de un kilobyte), aún debe hacer una copia de seguridad de la mitad de un árbol de directorios y todo tipo de basura como desktop.ini, y el asistente de copia de seguridad le ofrece inmortalizarlo en un CD-R. Parece que el siglo XXI no ha llegado para todos.
Por otro lado, los usuarios de NSP cuentan con 25 GB de copias de seguridad en la nube. Para cargar copias de seguridad allí, simplemente seleccione "Almacenamiento de red seguro" como ubicación de destino.
Después de crear una copia de seguridad local, lanzamos un programa que simula las acciones de un troyano ransomware. NSP no se lo impidió de ninguna manera y le permitió cifrar los archivos.
Restaurarlos desde una copia de seguridad fue más rápido y cómodo que en Dr.Web SS. Fue suficiente confirmar la sobrescritura y los archivos en su forma original aparecieron inmediatamente en sus lugares originales.
K7 máxima seguridad
Anteriormente, este producto de la empresa india K7 Computing se llamaba Antivirus Plus. Todavía existe una pequeña confusión con los nombres de este desarrollador. Por ejemplo, la distribución K7 Total Security no tiene herramientas de respaldo. Por eso probamos la versión Ultimate, la única capaz de realizar copias de seguridad.
A diferencia de los antivirus conocidos en Rusia, este desarrollo fue el caballo oscuro en nuestras pruebas. La frase "código indio" se considera una mala palabra entre los programadores y no esperábamos mucho de ella. Como demostraron las pruebas, fue en vano.
K7 Ultimate Security es el primer antivirus que detectó inmediatamente las 15 amenazas de nuestra selección. Ni siquiera me dejaría terminar de copiar muestras al directorio de Descargas y las eliminaría directamente en la carpeta de red si no estuviera conectado en modo de solo lectura.
El diseño del programa es camuflaje y acero. Aparentemente, los desarrolladores están interesados en jugar a los tanques o simplemente están tratando de evocar asociaciones con algo confiable de esta manera. Los parámetros de respaldo en K7 se configuran aproximadamente de la misma manera que en NSP. Sin embargo, en general, la interfaz del K7 está menos abarrotada y facilita el acceso a los ajustes.
K7 no reaccionó de ninguna manera al iniciar el programa simulador y cifrar los archivos. Como siempre, tuve que restaurar los originales desde una copia de seguridad.
Es conveniente que al restaurar pueda seleccionar archivos individuales y escribirlos en su ubicación original. Habiendo respondido afirmativamente a la solicitud de sobrescribir el archivo existente, restauramos lentes.txt con un par de clics a su ubicación original.
No hay nada más que añadir sobre el rendimiento del K7 en esta prueba. El éxito es el éxito.
conclusiones
A pesar de los buenos resultados de las pruebas, las conclusiones generales fueron decepcionantes. Incluso versiones completas Los antivirus pagos populares permiten que algunas variantes de ransomware aparezcan en su configuración predeterminada. El escaneo selectivo bajo demanda tampoco garantiza la seguridad de los archivos escaneados. Las modificaciones de los troyanos conocidas desde hace mucho tiempo también evitan la detección mediante trucos primitivos (como cambiar la extensión). Casi siempre se comprueba la detección del nuevo malware antes de lanzarlo al mercado.
No debe confiar en un analizador de comportamiento, verificación en la nube, características de reputación de archivos y otras herramientas de análisis que no sean de firmas. Hay algunos beneficios de estos métodos, pero muy pocos. Incluso nuestro primitivo programa simulador con reputación cero y sin firma digital No bloqueado por ningún antivirus. Como muchos troyanos ransomware, contiene muchas fallas, pero esto no le impide cifrar archivos fácilmente inmediatamente después del inicio.
La copia de seguridad automática de los archivos del usuario no es una consecuencia del progreso, sino una medida necesaria. Puede resultar bastante eficaz sólo con la protección constante del almacenamiento de copia de seguridad mediante el propio antivirus. Sin embargo, será efectivo exactamente hasta que el antivirus se descargue de la memoria o se desinstale por completo. Por lo tanto, siempre vale la pena hacer copias adicionales en algunos medios raramente conectados o subirlas a la nube. Por supuesto, si confía lo suficiente en el proveedor de la nube.
Hoy en día, muchos ya han experimentado los resultados de las acciones de los ciberdelincuentes, cuya arma principal son los virus de cifrado. El objetivo principal es utilizarlos para extorsionar a los usuarios. Se pueden exigir decenas de miles de jrivnia por desbloquear archivos personales y millones a los propietarios de empresas (por ejemplo, por una base de datos 1C bloqueada).
Esperamos que nuestros consejos le ayuden a mantener su base de datos lo más segura posible.
Protección antivirus
Por supuesto, el principal medio de protección es un antivirus. Es imperativo asegurarse de que su programa antivirus esté actualizado, porque las bases de datos de virus se actualizan automáticamente (sin intervención del usuario) varias veces al día. Debe controlar periódicamente la aparición de nuevos programas antivirus fiables y añadirlos a sus productos.
Uno de esos programas es el servicio en la nube ESET LiveGrid®, que bloquea el virus antes de que ingrese a la base de datos antivirus. El sistema ESET analiza inmediatamente un programa sospechoso y determina el grado de peligro; si se sospecha de un virus, los procesos del programa se bloquean.
También puede utilizar el antivirus gratuito AVG, que por supuesto es un poco inferior a ESET pero tiene un buen grado de protección contra virus y, para una protección completa, puede comprar una licencia de AVG.
A principios de 2017, los expertos de MRG Effitas probaron 16 productos antivirus populares para uso doméstico en el sistema operativo Microsoft Windows 10 de 64 bits. Las pruebas de confiabilidad del antivirus utilizaron 386 muestras de diversos códigos maliciosos, incluidos 172 troyanos, 51 puertas traseras, 67 malware bancario, 69 cifradores y 27 Riskware y Adware.
Aquí están los resultados de la prueba.
Con este diagrama, puede determinar el mejor antivirus gratuito de 2017, así como el antivirus mejor pagado, y usted decide cuál instalar para proteger su computadora o computadora portátil.
Si eligió un antivirus pago y se decidió por NOD32, entonces es importante verificar si la función ESET LiveGrid® está habilitada, de la siguiente manera: ESET NOD32 - Configuraciones adicionales - Utilidades - ESET LiveGrid® - Habilite el sistema de reputación ESET LiveGrid® .
Los atacantes siempre esperan que los usuarios no hayan tenido tiempo de instalar Últimas actualizaciones, y podrán explotar las vulnerabilidades en software. En primer lugar, se trata del sistema operativo Windows, por lo que debe verificar y activar las actualizaciones automáticas del sistema operativo (Inicio - Panel de control - Actualización de Windows - Configuración - Seleccionar el método para descargar e instalar actualizaciones).
Si no utiliza el servicio de cifrado proporcionado en Windows, es mejor desactivarlo, ya que algunas modificaciones de ransomware utilizan esta función para sus propios fines. Para desactivarlo, debe seguir estos pasos: Inicio - Panel de control - Herramientas administrativas - Servicios - Sistema de cifrado de archivos (EFS) y reinicie el sistema.
Pero si ya ha utilizado el cifrado para proteger archivos o carpetas, debe desmarcar las casillas de verificación correspondientes (RMB - Propiedades - Atributos - Avanzado - Cifrar contenido para proteger datos). Si no hace esto, después de deshabilitar el servicio de cifrado, perderá el acceso a esta información. Es fácil saber qué archivos se han cifrado: están resaltados en verde.
Uso limitado de programas.
Para mejorar la seguridad, puede bloquear la ejecución de programas que no cumplan con los requisitos específicos. Estas configuraciones se instalan de forma predeterminada para Windows y Archivos de programa.
Configurar locales política de grupo Puedes hacerlo:
Haga clic en ejecutar e ingrese el comando: gpedit.msc(“Inicio – Ejecutar (Win+R) – secpol.msc”)
Elegir:
- "Configuracion de Computadora"
- "Configuración de Windows"
- "Configuraciones de seguridad"
- “Políticas de restricción de software” haga clic derecho y haga clic
Después de lo cual, debe crear una regla que prohíba que los programas se ejecuten desde cualquier lugar que no sea el permitido.
Vaya a la sección “Reglas adicionales” y presione el botón derecho. En la ventana que aparece, haga clic en el elemento "Crear una regla de ruta"
En el campo de ruta ponemos un asterisco “*”, es decir cualquier ruta y seleccione el nivel de seguridad: Prohibido.
Y así continuaremos trabajando en "Políticas de restricción de software" y haremos clic derecho en el elemento "Aplicación" y seleccionaremos "Propiedades".
Estas configuraciones se pueden dejar como están de forma predeterminada o habilitarlas para que se apliquen a todo sin excepción, y también puede cambiar la opción para aplicar la política limitada a todos excepto a los administradores locales (si tiene cuentas de usuario y de administrador en su computadora).
Y en el elemento "Tipos de archivos asignados", seleccione la extensión de qué tipos de archivos no se podrán iniciar. Esta ventana enumera las extensiones que están bloqueadas cuando intentas iniciarlas.
Es mejor agregar otra extensión. .js - secuencia de comandos java.
La configuración efectiva llevará algún tiempo, pero los resultados valen la pena.
Puede configurar la prohibición de ejecutar ciertos programas en kilómetros de archivos a su discreción, según su tarea y objetivos.
Después de lo cual es necesario ejecutar las reglas y, para ello, vaya a "Niveles de seguridad" y haga clic derecho en "Prohibido". En la ventana que aparece, haga clic en "Predeterminado" y se aplicarán nuestras reglas.
Le recomendamos que no trabaje con una cuenta de administrador. Esto reducirá el daño causado por una infección accidental (Habilitar la cuenta de administrador - Establecer una contraseña - Privar al usuario actual de derechos administrativos - Agregar al grupo de usuarios).
Para trabajar con derechos de administrador en Windows, existe una herramienta especial: "Control de cuentas de usuario", que a su vez solicitará una contraseña para realizar las operaciones. Comprobando la configuración: Inicio - Panel de control - Cuentas usuarios - Cambiar la configuración del Control de cuentas de usuario - Predeterminado - Notificar solo cuando se intenta realizar cambios en la computadora
Puntos de control de restauración del sistema
Lamentablemente, hay ocasiones en las que los virus superan todos los niveles de protección. Por lo tanto, debe poder volver al estado anterior del sistema. Puede configurar la creación automática de puntos de control como este: Mi PC - RMB - Propiedades - Protección del sistema - Configuración de protección.
Por lo general, de forma predeterminada, la protección está habilitada sólo para la unidad del sistema, pero el ransomware puede dañar el contenido de todas las particiones. Para recuperar archivos medios estándar o Shadow Explorer, debe habilitar la protección para todos los discos. Los puntos de control ocupan algo de memoria, pero guardarán datos en caso de infección.
Los virus ransomware son un tipo de amenaza conocido desde hace mucho tiempo. Aparecieron casi al mismo tiempo que los banners SMS y, junto con estos últimos, están firmemente arraigados en el ranking de virus ransomware.
El modelo de monetización del virus ransomware es sencillo: bloquea parte de la información o todo el ordenador del usuario, y para recuperar el acceso a los datos es necesario enviar SMS, dinero electrónico o recargar el saldo de un número de móvil a través de la terminal.
En el caso de un virus que cifra archivos, todo es obvio: para descifrar los archivos es necesario pagar una determinada cantidad. Además, en los últimos años, estos virus han cambiado la forma de tratar a sus víctimas. Si antes se distribuían según esquemas clásicos a través de Varez, sitios pornográficos, sustitución de resultados de búsqueda y envíos masivos de spam, mientras infectaban las computadoras de los usuarios comunes, ahora las cartas se envían directamente, manualmente, desde buzones de correo en dominios "normales": el correo. ru, gmail, etc. Y están tratando de infectar entidades legales, donde las bases de datos y los contratos se encuentran bajo cifrado.
Aquellos. Los ataques han pasado de la cantidad a la calidad. En una de las empresas, el autor se encontró con un criptógrafo experimentado que llegó por correo con un currículum. La infección se produjo inmediatamente después de que los responsables de personal abrieran el expediente; la empresa sólo estaba buscando personal y el expediente no despertó ninguna sospecha. Era un docx con AdobeReader.exe adjunto :)
Lo más interesante es que ninguno de los sensores heurísticos y proactivos de Kaspersky Anti-Virus funcionó. Uno o dos días después de la infección, dr.web y nod32 no detectaron el virus
Entonces, ¿qué hacer con tales amenazas? ¿Es realmente inútil el antivirus?
Los días de los antivirus basados únicamente en firmas están llegando a su fin..
Protección total de datos G 2015 — mejor protección de ransomware
Con módulo de respaldo incorporado. Haz clic y compra.
Para todos los afectados por las acciones. ransomware - código promocional con descuento en la compra de G DATA - GDTP2015. Simplemente ingrese este código de promoción al finalizar la compra.
Los virus ransomware han demostrado una vez más el fracaso de los programas antivirus. Los banners de SMS, en un momento, se "fusionaban" libremente en la carpeta temporal para los usuarios y simplemente se lanzaban en todo el escritorio e interceptaban la pulsación de todas las combinaciones de servicios desde el teclado.
El programa antivirus funcionó de maravilla en este momento :) Kaspersky, como en el modo normal, mostró su inscripción "Protegido por Kaspersky LAB".
Banner no es un malware sofisticado como los rootkits, sino un programa simple que cambia 2 claves en el registro e intercepta la entrada del teclado.
Los virus que cifran archivos han alcanzado un nuevo nivel de fraude. Este es nuevamente un programa normal que no está integrado en el código del sistema operativo, no reemplaza los archivos del sistema y no lee áreas de RAM de otros programas.
Simplemente se ejecuta durante un breve periodo de tiempo, genera claves públicas y privadas, cifra archivos y envía la clave privada al atacante. Un montón de datos cifrados y un archivo con los contactos de los piratas informáticos se dejan en la computadora de la víctima para realizar un pago adicional.
Es razonable pensar: “ Entonces, ¿por qué necesita un antivirus si sólo puede encontrar programas maliciosos que conoce?
De hecho, es necesario un programa antivirus: protegerá contra todas las amenazas conocidas. Sin embargo, muchos tipos nuevos de código malicioso son demasiado resistentes. Para protegerse de los virus ransomware es necesario tomar medidas: un antivirus por sí solo no es suficiente. Y diré de inmediato: “Si tus archivos ya están cifrados, estás en problemas. No será fácil recuperarlos”.
:
No te olvides del antivirus
Al realizar copias de seguridad de datos y sistemas de información importantes, cada servicio tiene su propio servidor dedicado.
Haga una copia de seguridad de los datos importantes.
:
¿Qué hacer con el virus en sí?
Acciones independientes con archivos cifrados.
Experiencia comunicándose con soporte técnico antivirus, ¿qué esperar?
Contactando a la policia
Tome precauciones en el futuro (ver sección anterior).
Si todo lo demás falla, ¿tal vez valga la pena pagar?
Si aún no ha sido víctima de un virus ransomware:
*Tener un software antivirus en tu computadora con las últimas actualizaciones.
Digámoslo sin rodeos: "Los antivirus son malos contra los nuevos tipos de ransomware, pero hacen un excelente trabajo contra amenazas conocidas". Por eso es necesario tener un antivirus en tu estación de trabajo. Si ya hay víctimas, al menos evitaréis la epidemia. Depende de usted qué antivirus elegir.
Por experiencia, Kaspersky “consume” más memoria y tiempo de procesador, y para discos duros de portátiles con 5200 rpm es un desastre (a menudo con retrasos de lectura de sector de 500 ms...) Nod32 es rápido, pero capta poco. Puedes comprar el antivirus GDATA, la mejor opción.
*Copia de seguridad de sistemas de información y datos importantes. Cada servicio tiene su propio servidor.
Por tanto, es muy importante trasladar todos los servicios (1C, contribuyente, estaciones de trabajo automatizadas específicas) y cualquier software del que depende la vida de la empresa, a un servidor independiente, o mejor aún, a un terminal. Mejor aún, coloque cada servicio en su propio servidor (físico o virtual; decida usted mismo).
No almacene la base de datos 1C en público en la red. Mucha gente hace esto, pero está mal.
Si el trabajo con 1c se organiza a través de una red con acceso compartido de lectura/escritura para todos los empleados, mueva 1c a un servidor de terminal y permita que los usuarios trabajen con él a través de RDP.
Si hay pocos usuarios y no hay suficiente dinero para un sistema operativo de servidor, puede utilizar Windows XP normal como servidor de terminal (siempre que se eliminen las restricciones en el número de conexiones simultáneas, es decir, es necesario parchear). Aunque puedes instalar fácilmente la versión sin licencia. Servidor de windows. Afortunadamente, Microsoft te permite usarlo, comprarlo y activarlo más tarde :)
El trabajo de los usuarios con 1c a través de RDP, por un lado, reducirá la carga en la red y acelerará el trabajo de 1c, por otro lado, evitará la infección de las bases de datos.
Almacenar archivos de bases de datos en una red con acceso compartido no es seguro, pero si no hay otras posibilidades, encárguese de la copia de seguridad (consulte la siguiente sección).
* Copia de seguridad de datos importantes.
Si aún no has hecho copias de seguridad, eres un tonto, perdóname. O saluda a tu administrador del sistema. Las copias de seguridad le salvan no sólo de virus, sino también de empleados descuidados, piratas informáticos y, en última instancia, de discos duros dañados.
Puedes leer cómo y qué hacer una copia de seguridad en un artículo separado sobre . El antivirus GDATA, por ejemplo, tiene un módulo de respaldo en dos versiones: protección total y seguridad de endpoints para organizaciones ( puedes comprar protección total GDATA).
Si encuentra archivos cifrados en su computadora:
*¿Qué hacer con el virus en sí?
Apague su computadora y comuníquese con servicios informáticos + soporte para su antivirus. Si tiene suerte, el cuerpo del virus aún no se ha eliminado y puede utilizarse para descifrar archivos. Si no tienes suerte (como suele ocurrir), el virus, después de cifrar los datos, envía la clave privada a los atacantes y elimina todo rastro de sí mismo. Esto se hace para que no sea posible determinar cómo y mediante qué algoritmo se cifran.
Si todavía tienes una carta con un archivo infectado, no lo elimines. Envíelo al laboratorio antivirus de productos populares. Y no lo vuelvas a abrir.
*Acciones independientes con archivos cifrados
Lo que puedes hacer:
Póngase en contacto con el soporte antivirus, obtenga instrucciones y, posiblemente, un descifrador para su virus.
Escribe una declaración a la policía.
Busque en Internet las experiencias de otros usuarios que ya hayan encontrado este problema.
Tome medidas para descifrar archivos, habiéndolos copiado primero en una carpeta separada.
Si tiene Windows 7 u 8, puede restaurar versiones anteriores de archivos (haga clic derecho en la carpeta con archivos). Nuevamente, no olvides copiarlos primero.
Qué no hacer:
Reinstalar Windows
Elimine archivos cifrados, cámbieles el nombre y cambie la extensión. El nombre del archivo es muy importante a la hora de descifrarlo en el futuro.
*Experiencia en comunicación con soporte técnico de antivirus, ¿qué esperar?
Cuando uno de nuestros clientes detectó el crypto-virus.hardended, que aún no estaba en las bases de datos antivirus, se enviaron solicitudes a dr.web y Kaspersky.
Nos gustó el soporte técnico de dr.web, los comentarios aparecieron de inmediato e incluso nos dieron consejos. Además, después de varios días, honestamente dijeron que no podían hacer nada y lo dejaron. instrucciones detalladas sobre cómo enviar una solicitud a través de las autoridades competentes.
En Kaspersky, por el contrario, el bot respondió primero, luego el bot informó que instalar un antivirus con las últimas bases de datos resolvería mi problema (permítanme recordarles, el problema son cientos de archivos cifrados). Una semana después, el estado de mi solicitud cambió a "enviada al laboratorio antivirus", y cuando el autor preguntó modestamente sobre el destino de la solicitud un par de días después, los representantes de Kaspersky respondieron que no recibiríamos respuesta del laboratorio. sin embargo, dicen, estábamos esperando.
Después de un tiempo, recibí un mensaje de que mi solicitud estaba cerrada con una oferta para evaluar la calidad del servicio (todo esto mientras aún esperaba una respuesta del laboratorio). “¡Que te jodan!” - pensó el autor.
NOD32, por cierto, comenzó a contraer este virus al tercer día de su aparición.
El principio es este: usted está solo con sus archivos cifrados. Los laboratorios de grandes marcas de antivirus le ayudarán sólo si tienes una clave para el producto antivirus correspondiente y si en El virus criptográfico tiene una vulnerabilidad. Si los atacantes cifraron un archivo utilizando varios algoritmos a la vez y más de una vez, lo más probable es que tengas que pagar.
La elección del antivirus es tuya, no la descuides.
*Contacta a la policía
Si ha sido víctima de un criptovirus y ha sufrido algún daño, incluso en forma de información personal cifrada, puede ponerse en contacto con la policía. Instrucciones para la aplicación, etc. Hay .
*Si todo lo demás falla, ¿valdría la pena pagar?
Dada la relativa inacción de los antivirus frente al ransomware, a veces es más fácil pagar a los atacantes. Por archivos protegidos, por ejemplo, los autores del virus piden unos 10.000 rublos.
Para otras amenazas (gpcode, etc.), el precio puede oscilar entre 2 mil rublos. En la mayoría de los casos, esta cantidad resulta ser inferior a las pérdidas que puede provocar la ausencia de datos y a la cantidad que los artesanos pueden pedirle por descifrar archivos manualmente.
En resumen, la mejor protección contra los virus ransomware es realizar copias de seguridad de los datos importantes de los servidores y las estaciones de trabajo de los usuarios.
Depende de usted decidir qué hacer. Buena suerte.
Los usuarios que leen este post suelen leer:
En contacto con
Hola a todos, queridos amigos y lectores. Ruslan Miftakhov, el autor de este blog, está en contacto para quienes no lo saben.
En este artículo me gustaría abordar el sensacional tema del ataque de un virus en todo el mundo, que comenzó el viernes 12 de mayo de este año. También brinde algunos consejos sobre cómo protegerse del ransomware y guardar sus datos importantes en su computadora.
Si lees mi blog, sabrás que hago reparaciones de computadoras. Esto es más mi hobby que mi trabajo. Entonces, que yo recuerde, hasta 2013, bloquear virus era algo común.
Al cargar el sistema, aparecía un mensaje con todo tipo de inscripciones amenazantes, a veces con imágenes pornográficas. Incluso me quedan varias fotos de estos bloqueadores. Aquí está uno de ellos.
Varios clientes me admitieron que pagaron dinero a estafadores y finalmente llamaron a un especialista para eliminar este virus. Uno incluso pagó 500 rublos tres veces en diferentes terminales, pensando que probablemente el código de desbloqueo estaría impreso en el otro. Como resultado, ella me llamó y eliminé este virus en 5 a 10 minutos.
En algún momento de 2013, me encontré por primera vez con un virus de cifrado en nuestra ciudad, cuando comenzaron a llegar aplicaciones como WannaCry. Por ejemplo, aquí hay un virus llamado Ébola, del cual tomé una foto como recuerdo.
Por supuesto, el virus en sí no fue difícil de eliminar de la computadora, pero los datos cifrados no se pudieron descifrar; sólo un descifrador adecuado podría ayudar.
Cómo funciona el virus
El virus se transmite principalmente a través del correo electrónico. Llega una carta con un asunto del Ministerio del Interior de Rusia o una decisión judicial o de la oficina de impuestos, en general juegan con la curiosidad del usuario para que abra la carta. Y en esa carta hay un archivo adjunto, ese mismo virus ransomware.
Después de penetrar en la PC, el virus comienza a cifrar todas las fotos, vídeos y documentos. Los archivos parecen estar en la computadora, pero no se pueden abrir. Este es el problema y, para descifrar los datos, los estafadores piden entre 15 y 20 mil rublos.
Por supuesto, si los archivos tienen valor propio y no hay copias, el usuario llega a un acuerdo con los estafadores. No he escuchado casos similares, a nadie le gusta decir que fue víctima de estafadores.
Incluso llamaron a la gerencia de una casa, donde observé tal imagen.
Según el contador, se recibió un correo electrónico con un asunto de la administración. Al abrirlo, los archivos adjuntos contenían un documento supuestamente importante que debía abrirse y leerse. Bueno, entonces lo entiendes todo tú mismo: al abrir este archivo, el virus se inicia y cifra todo lo que no llega a la computadora.
Y todo esto es antes de la auditoría fiscal, ya sea una coincidencia o hubo una razón para ello;)
¿Por qué la gente paga a los estafadores?
Aquí está en juego una sutil psicología: en el caso del virus bloqueador, se publicaron imágenes obscenas con la inscripción de que usted había visitado sitios indecentes y almacenado fotografías con pornografía infantil, y esto está penado por la ley en virtud de este artículo. Algunas personas creyeron en esta tontería y pagaron, pero otras simplemente no querían que sus familiares lo vieran y pagaron, con la esperanza de que el bloqueador desapareciera después del pago. Sí, ingenuo.
En el caso del virus Wanna Cry, los estafadores esperan que los archivos cifrados sean muy necesarios e importantes para el usuario y que éste pague. Pero aquí la cantidad ya no es de 500 a 1000 rublos, como en el primer caso. Y los estafadores probablemente estén apuntando a presas más importantes.
Basta pensar en el usuario medio que pagaría 500 dólares por un artículo perdido. foto de familia archivo de vídeo o para trabajos de curso o tesis.
El objetivo aquí son las grandes empresas y corporaciones estatales, como sucedió con Megafon, Beeline y muchas otras. ¿Crees que pagarán 500 dólares para restaurar su base?
Pagarán si no hay copia, por supuesto. Si hay una copia, no hay dudas, se derriba todo y se vuelve a instalar la copia de seguridad. Perderán 2, 3 horas, pero todo funcionará como antes.
Cómo protegerse del ransomware
- Lo primero que debe hacer es recopilar datos importantes. Recomiendo tener al menos tres copias en diferentes soportes. Copiar a una unidad flash, a una externa disco duro, guarde una copia en la nube de correo, en el disco Yandex u otros servicios de almacenamiento en la nube.
- Actualizar regularmente manualmente Sistema operativo. Incluso si Windows no se ha actualizado, el antivirus Nod32 detectará y bloqueará WannaCry y sus modificaciones.
- Para estar atento y no abrir cartas sospechosas, esto requiere, por supuesto, experiencia para saber qué cartas no se deben abrir.
- Se debe instalar un antivirus con licencia válida y una base de datos constantemente actualizada. Recomiendo el antivirus Eset Nod 32 Smart Security.
Para comprar antivirus con descuento, haga clic en el botón a continuación.
Después del pago de la manera más conveniente para usted, según lo especificado dirección de correo electrónico Recibirá una clave de licencia y un enlace para descargar el antivirus.
Si sigues estos puntos, no tendrás miedo de ningún virus, ni siquiera del ransomware. Y cantarás como en la caricatura “Los tres cerditos”: no le tenemos miedo al lobo gris, al lobo terrible, al lobo viejo :)
Bueno, eso es todo, te lo advertí, pero me advirtieron, ¿y qué? Así es, armado.
Comparte este artículo para que tus amigos, conocidos y familiares no caigan en garras de estafadores.
Saludos cordiales, Ruslan Miftakhov
