Seekord kontrollisime, kuidas keerulised viirusetõrjevahendid lunavara troojalastega toime tulevad. Selleks tehti valik lunavarast ja kirjutati isegi eraldi programm, mis imiteerib tundmatu krüpteeriva troojalase tegevust. Selle allkirja pole kindlasti ühegi tänasel testimisel osaleja andmebaasis. Vaatame, mida nad teha suudavad!
HOIATUS
Artikkel on kirjutatud uurimise eesmärgil. Kogu selles sisalduv teave on ainult informatiivsel eesmärgil. Kõik proovid saadakse avatud allikatest ja saadetakse viirusanalüütikutele.
Vanad abinõud uute ohtude vastu
Klassikalised viirusetõrjed kaitsevad vähe faile krüpteerivate ja nende dekrüpteerimise eest lunaraha nõudvate troojalaste eest. Tehniliselt koosneb selline lunavara täielikult või peaaegu täielikult legitiimsetest komponentidest, millest igaüks ei soorita iseseisvalt ühtegi pahatahtlikku tegevust. Pahavara ühendab need lihtsalt ahelaks, mis viib hukatusliku tulemuseni – kasutajalt võetakse võimalus oma failidega töötada seni, kuni ta need lahti krüpteerib.
IN Hiljuti Paljud spetsiaalsed utiliidid kaitsevad lunavara troojalaste eest. Nad kas proovivad teha allkirjadeta analüüsi (st tuvastavad lunavara uusi versioone nende käitumise, faili maine ja muude kaudsete märkide järgi) või lihtsalt keelavad mis tahes programmidel lunavara toimimiseks vajalikke muudatusi teha.
Oleme näinud, et sellised kommunaalteenused on praktiliselt kasutud. Isegi kõige karmimad neis seatud piirangud (mille all pole enam võimalik normaalselt töötada) ei paku usaldusväärset barjääri lunavara troojalaste vastu. Need programmid hoiavad ära mõned nakkused, kuid see loob kasutajas ainult vale turvatunde. Ta muutub hoolimatumaks ja muutub veelgi kiiremini lunavara ohvriks.
Klassikaliste lunavara troojalaste vastu võitlemise peamine probleem on see, et kõik nende toimingud tehakse ainult kasutajafailidega ega mõjuta süsteemi komponente. Kasutajal ei saa keelata oma faile muutmast ja kustutamast. Kvaliteetsete lunavara esindajate käitumises on ilmseid eristavaid tunnuseid väga vähe või need puuduvad täielikult. Võrguühendus käivitab nüüd enamiku programmide (vähemalt värskenduste kontrollimiseks) ja isegi tekstiredaktoritesse on sisse ehitatud krüpteerimisfunktsioonid.
Selgub, et ennetavatest kaitsevahenditest pole järel ühtegi silmnähtavat märki, mis aitaksid eristada järgmist krüpteerivat troojalast legitiimsest programmist. Kui trooja signatuuri andmebaasides pole, on tõenäosus, et viirusetõrje selle tuvastab, väga väike. Heuristiline moodul reageerib ainult teadaoleva lunavara jämedatele modifikatsioonidele ja käitumisanalüsaator ei tuvasta tavaliselt üldse mingit kahtlast tegevust.
Varukoopiate varukoopiad on erinevad!
Tänapäeval nakatuvad tuhanded arvutid lunavaraga igapäevaselt ja reeglina kasutajate endi käte kaudu. Viirusetõrjefirmad aktsepteerivad failide dekrüpteerimiseks rakendusi (klientidelt tasuta), kuid ka nende analüütikud pole kõikvõimsad. Mõnikord on edukaks dekrüpteerimiseks võimalik koguda liiga vähe andmeid või sisaldab Trooja algoritm ise vigu, mis muudavad failide algsel kujul taastamise võimatuks. Nüüd töödeldakse dekrüpteerimistaotlusi kahest päevast kuue kuuni ja selle aja jooksul kaotavad paljud neist lihtsalt oma tähtsuse. Jääb üle otsida täiendavaid kaitsevahendeid, mitte loota viirusskannerile.
Varukoopiad olid pikka aega universaalne kaitse igasuguste viirusrünnakute eest. Uue pahavaraga nakatumise korral oli võimalik lihtsalt kõik varukoopiast taastada, kirjutades krüptitud failid üle nende algse versiooniga ja ennistada kõik soovimatud muudatused. Kaasaegsed lunavara troojalased on aga õppinud tuvastama ja rikkuma ka varukoopiaid. Kui need on konfigureeritud automaatne loomine, siis on varumälu ühendatud ja kirjutatav. Täiustatud troojalane kontrollib kõiki kohalikke, väliseid ja võrgukettaid, määrab varukoopiatega kataloogi ja krüpteerib need või kustutab need ülekirjutatud vaba ruumiga.
Varukoopiate käsitsi tegemine on liiga tüütu ja ebausaldusväärne. Igapäevaselt on sellist toimingut raske teha ja pikema aja jooksul koguneb palju asjakohaseid andmeid, mida pole enam kusagilt taastada. Kuidas olla?
Tänapäeval pakub enamik arendajaid lisaks klassikalistele viirusetõrjetele ka terviklikke turvalahendusi. Nüüd sisaldavad need lisaks tulemüürile, IDS-ile ja teistele tuntud komponentidele uut – turvalist varukoopiat. Erinevalt tavalisest varukoopiatega kataloogist pääseb sellele ligi ainult viirusetõrje ise ja seda juhib selle draiver. Kataloogi väline haldamine on täielikult keelatud – isegi administraator ei saa seda failihalduri kaudu avada ega kustutada. Vaatame, kui hea see lähenemine on.
Testimise metoodika
Katsete jaoks tegime puhta Windows 10 ja uusimate paikadega virtuaalmasina kloonid. Igal neist oli installitud oma viirusetõrje. Kohe pärast andmebaaside uuendamist kontrollisime viirusetõrje reaktsiooni testikomplektile ja meie simulaatoriprogrammile. Testikomplekt sisaldas 15 proovi. Neist 14 olid tuntud lunavara troojalaste erinevad modifikatsioonid ja viieteistkümnes allalaadija troojalane, mis laadis kaugsaidilt alla teise lunavara.
Kõik näidised olid .tst laiendiga, sõltumata tegelikust failivormingust. Spetsiaalselt nende testide jaoks kirjutatud programm lihtsa nimega EncryptFiles jäljendas krüpteerija trooja tüüpilist käitumist. Vaikesätetega käivitamisel krüpteeris see kataloogi Minu dokumendid failide sisu kohe ilma küsimusteta. Selguse huvides salvestasime kajateated programmi ja paigutasime paar tekstifaili OEM-866 kodeeringusse praeguse kasutaja dokumentidega kataloogi, et kuvada nende sisu kohe otse konsoolis. Üks fail sisaldas tsitaate Strugatskite teostest (lihtne vormindamata tekst) ja teine fail objektiivi parameetrid tabeli kujul (vormindatud tekst).
Pärast iga viirusetõrje installimist ja värskendamist kopeeriti lunavaranäidised kirjutuskaitstud režiimis ühendatud võrgukausta allalaadimiste kataloogi. Seejärel kontrollis kopeeritud faile vaikeseadetes viirusetõrje (sunnitud kontrollimine nõudmisel) täiendavalt. Ülejäänud proovidele määrati pärast kontrollimist nende tegelik laiendus, misjärel need käivitati. Kui süsteemi nakatumist ei toimunud, kontrolliti viirusetõrje reaktsiooni simulaatoriprogrammile. Failide krüpteerimise õnnestumise korral proovisime viirusetõrjetööriistade abil taastada nende algsed versioonid ja logisime tulemuse.
Kaspersky Total Security
Ühte virtuaalsesse testmasinasse installisime Kaspersky Total Security, mis lubas "kaitset lunavara vastu, et vältida pahavara failide rikkumist". KTS tundis peaaegu kõik ohud ära juba siis, kui üritas võrgukaustast lunavaranäidiseid kopeerida.
Ainult üks fail viieteistkümnest jõudis kataloogi "Allalaadimised" - nd75150946.tst - see on lihtsalt Trojan.Downloader ja see on juba ammu teada. Pärast KTS-i nõudmisel tehtud täiendavat kontrollimist peeti fail taas turvaliseks. Nelikümmend viis VirusTotali viiruseskannerit ei nõustunud.
Avasime selle mustri Hex-redaktoriga, et määrata selle tegelik laiend. Tuttav pealkiri 50 4B 03 04 ja teise faili nimi sees – ilmselgelt on meil ZIP-arhiiv. Arhiivis oli kahtlane fail: selle ikoon vastas PDF-dokumendile ja laiendiks oli .scr – ekraanisäästja ehk tegu on käivitatava koodiga.
Proovides arhiivist käivitada faili laiendiga .scr, blokeeris KTS selle automaatselt lahti pakitud koopia kasutaja ajutises kataloogis. KSN võrgu kaudu tehtud pilveanalüüsi tulemuste põhjal tuvastas ta selle faili tundmatu pahatahtliku objektina ja soovitas selle taaskäivitusega kustutada. Antud juhul oli tegemist täiendava ettevaatusabinõuga, kuna troojalasele ei antud kontrolli ja seda sai nagu tavalist faili mis tahes viisil kustutada.
On tähelepanuväärne, et Kaspersky Total Security ei õpi oma vigadest. Arhiivi uuesti skannimisel leiti, et see on taas puhas, kuigi sealt lahti pakitud fail oli just KSN-is analüüsitulemuste põhjal käivitanud trigeri.
Testimise järgmise etapi alguses kontrollisime kataloogi My Documents algolekut ja kuvasime sealt konsooli paari tekstifaili sisu.
Pärast seda avasime mooduli "Varundamine ja taastamine" ja varundasime need dokumendid otse süsteemisektsioonil asuvasse kausta Backup. Reaalses olukorras peaksite valima teise asukoha (näiteks välise draivi), kuid meie testi jaoks pole see oluline. Igal juhul juhitakse juurdepääsu sellele kaustale KTS-i abil ja troojalased ei saa sellega standardse failisüsteemi draiveri kaudu suhelda.
Tavaliste tööriistade abil saab isegi administraator vaadata ainult selle kausta atribuute. Kui proovite seda sisestada, käivitub KTS-i varundushaldur automaatselt ja palub teil sisestada parool, kui see oli varem määratud.
Varundushaldur ise on Kaspersky poolt väga selgeks tehtud. Saate valida standardkataloogid, määrata oma või välistada üksikud failid. Iga tüüpi failide arv kuvatakse kohe vasakpoolses aknas ja nende suurus - parempoolsetes atribuutides.
Lisaks varukoopiate kirjutamisele kohalikele ja eemaldatavatele draividele toetab KTS nende saatmist Dropboxi. Pilvesalvestuse kasutamine on eriti mugav, kui pahavara takistab arvuti käivitamist ja välise andmekandjate ühendamist.
KTS ignoreeris meie simulaatoriprogrammi. Ta krüpteeris failid vaikselt, muutes nende sisu jaburaks. Juurdepääsu keelamine alamkataloogidele Minu videod, Minu pildid ja Minu muusika on viga programmis endas, mis ei mõjuta mingil viisil selle võimet krüptida faile kaustas %USERPROFILE%Documents.
Kui meie programmis käivitatakse dekrüpteerimisfunktsioon lihtsalt siis, kui see käivitatakse võtmega /decrypt, siis troojalaste puhul ei käivitata seda alati isegi pärast lunarahanõuete täitmist. Ainus piisavalt kiire võimalus krüptitud failide taastamiseks sel juhul on need eelnevalt loodud varukoopiast üle kirjutada. Vaid mõne klõpsuga taastasime ühe krüptitud failist valikuliselt selle algsesse asukohta. Samamoodi saate taastada ühe või mitu tervet kataloogi.
Dr.Web turvaruum
Sarnaselt KTS-ile tuvastas Dr.Web SS 14 näidist 15-st juba siis, kui üritas neid allalaadimiste kataloogi kopeerida.
Erinevalt KTS-ist tuvastas see siiski allesjäänud proovis Trojan.Downloaderi pärast selle laienduse muutmist ZIP-iks ja sunnitud skannimist.
Enamik Dr.Web SS-i seadeid on vaikimisi keelatud. Selle aktiveerimiseks peate esmalt klõpsama lukuikooni ja sisestama parooli, kui see on määratud.
Varukoopiad luuakse Dr.Web SS-is andmekao vältimise tööriista abil. Saadaolevad seaded on minimaalsed. Saate valida varundamiseks standardsed kohandatud kataloogid või määrata oma, määrata koopiate suurusele ühe valitud piirangutest, määrata varukoopiate asukoha ja seadistada varundamise ajakava. Dr.Web SS ei toeta pilvesalvestusse üleslaadimist, seega peate piirduma kohalike draividega.
Kataloogi kaitsmine varukoopiatega on Dr.Web SS-is agressiivsem kui KTS-is. Administraator ei saa isegi selle atribuute exploreri kaudu vaadata.
Tegime dokumentidest varukoopiad ja läksime testi teise osa juurde.
Dr.Web SS-i jäljendaja seda ära ei tundnud ega seganud kuidagi selle tööd. Sekundi murdosa jooksul krüpteeriti kõik failid.
Andmekao vältimise uuesti käivitamisega taastasime algsed failid. Ometi ei jäänud nad üldse ellu seal, kus ootasid.
Sihtkausta "Minu dokumendid" määramisel luuakse sellesse automaatselt alamkataloog, mille nimeks on praegune kuupäev ja kellaaeg. Salvestatud failid on juba varukoopiast sinna lahti pakitud ja koos kõigi suhteliste teede taastamisega. Selle tulemuseks on äärmiselt ebamugav pikk tee, mis võib kergesti ületada tavalise 255 tähemärgi piiri.
Norton Security Premium
Meenutades Norton Ghosti, millest sai üheksakümnendatel varustandardiks, oli lihtne ennustada sellise funktsiooni ilmumist Symanteci viirusetõrjes. On üllatav, et kaks aastakümmet möödus, enne kui see ilmselge lahendus nõudis. Õnne poleks olnud, aga õnnetus aitas.
Lunavaranäidiste kataloogi kopeerida püüdes tuvastas NSP ja pani karantiini 12 ohtu 15-st.
Kõik kolm ülejäänud faili tunnistatakse VirusTotali analüüsimisel pahatahtlikeks, sealhulgas kaks neist Symanteci viirusetõrje poolt. Lihtsalt vaikesätted on tehtud nii, et NSP ei kontrolli mõnda faili kopeerimisel. Sunnitud skannimine... ja NSP leiab samast kataloogist veel kaks troojalast.
Nagu varasemad viirusetõrjed, jätab NSP Trooja allalaadija ümbernimetatud ZIP-arhiivi. Kui proovite käivitada .scr-faili NSP arhiivist, blokeerib see Trooja lahtipakkitud koopia käivitamise praeguse kasutaja ajutisest kataloogist. Sellisel juhul ei töödelda arhiivi ennast mingil viisil.
Arhiiv loetakse puhtaks isegi siis, kui see skannitakse uuesti kohe pärast sealt lahtipakitud troojalase tuvastamist. Eriti naljakas tundub kiri: "Kui teie arvates on endiselt ähvardusi, klõpsake siin." Kui klõpsate sellel, värskendatakse andmebaase (või mitte, kui need on juba värsked).
Üllataval kombel tuvastab NSP endiselt mõnda vanemat lunavaranäidist ainult heuristilise analüsaatori ja pilvepõhiste kontrollitööriistade abil. Tundub, et Symanteci viroloogid on andmebaaside ajakohasena hoidmiseks liiga laisad. Nende viirusetõrje lihtsalt blokeerib kõik kahtlase ja ootab kasutaja reaktsiooni.
Testimise teine etapp oli traditsiooniline. Varundasime failid kataloogist Minu dokumendid ja proovisime neid seejärel krüpteerida.
NSP-i varundushaldur oli kõigepealt selle loogikaga rahul. See kasutab klassikalist "Mida? Kuhu? Millal? ”, Nõukogude-eelsest ajast tuttav. Moodsas versioonis varjutab seda aga liigne abstraktsus. Selle asemel, et loetleda objekte koos täielike teedega ja faile laiendite järgi, kasutatakse nende virtuaalset asukohta ja tingimuslikku rühmitamist tüüpide järgi. Jääb üle vaadata, milliseid faile NSP peab finantsteabega seotuks ja millised lisab lihtsalt jaotisesse "Muud".
Täiendavad seadistused on võimalikud (näiteks kasutades linki "Failide ja kaustade lisamine või välistamine"), kuid nende tegemine on väga keeruline. Paari faili (igaüks alla kilobaidi) huvides tuleb ikkagi varundada pool kataloogipuud ja igasugust prügi nagu desktop.ini , ja varundusviisard soovitab selle CD-R-le põlistada. Tundub, et 21. sajand pole kõigi jaoks tulnud.
Teisest küljest on NSP kasutajatele pilves 25 GB varukoopiaid. Sinna varukoopiate üleslaadimiseks valige lihtsalt sihtkohaks "Turvaline võrgusalvestus".
Pärast kohaliku varukoopia loomist käivitasime programmi, mis jäljendab Trooja krüpteerija toiminguid. NSP ei seganud teda kuidagi ja lubas tal faile krüpteerida.
Nende taastamine varukoopiast oli kiirem ja mugavam kui Dr.Web SS-is. Piisas ülekirjutamise kinnitamisest ja failid algsel kujul sattusid kohe algsetele kohtadele.
K7 ülim turvalisus
Varem kandis see India ettevõtte K7 Computing toode nime Antivirus Plus. Selle arendaja nimedega ja nüüd on väike segadus. Näiteks ei ole K7 Total Security distributsioonil varundustööriistu. Seetõttu testisime Ultimate versiooni – ainsat, mis suudab varukoopiaid teha.
Erinevalt Venemaal tuntud viirusetõrjetest oli see arendus meie testides tume hobune. Fraasi "India kood" peetakse programmeerijate seas needuseks ja me ei oodanud sellest suurt midagi. Nagu testid on näidanud - asjata.
K7 Ultimate Security on esimene viirusetõrje, mis tuvastas kohe kõik 15 meie valikus olevat ohtu. See ei lubanud isegi näidiseid allalaadimiste kataloogi kopeerida ja oleks need otse võrgukaustast kustutanud, kui see poleks kirjutuskaitstud režiimis ühendatud.
Programmi kujundus on kamuflaažterasest. Ilmselt meeldib arendajatele tanke mängida või nad lihtsalt üritavad sel viisil tekitada assotsiatsioone millegi usaldusväärsega. Varundusvalikud K7-s on seatud samamoodi nagu NSP-s. Üldiselt on K7 liides siiski vähem segane ja peenemate detailideni on lihtsam jõuda.
K7 ei reageerinud simulaatoriprogrammi käivitamisele ja failide krüptimisele. Nagu alati, pidin originaalid varukoopiast taastama.
Mugavalt saate taastamisel valida üksikuid faile ja kirjutada need algsesse asukohta. Olemasoleva faili ülekirjutamise palvele vastates jaatavalt taastasime objekti lenses.txt paari klõpsuga algsele kohale.
Selle testi raames pole K7 töö kohta enam midagi lisada. Edu on edu.
järeldused
Vaatamata headele testitulemustele valmistasid üldised järeldused pettumuse. Isegi täisversioonid Populaarsed tasulised viirusetõrjed jätavad vaikeseadetes vahele mõned lunavara variandid. Kohandatud nõudmisel skaneerimine ei taga ka skannitud failide turvalisust. Primitiivsete trikkide abil (nagu laienduse muutmine) väldivad ka tuntud troojalaste modifikatsioonid tuvastamist. Uut pahavara kontrollitakse peaaegu alati enne loodusesse laskmist selle tuvastamise puudumise suhtes.
Ärge tuginege käitumisanalüsaatorile, pilvekontrollile, faili maine omadustele ja muudele allkirjadeta analüüsi tööriistadele. Nendel meetoditel on omajagu mõtet, kuid väga vähe. Isegi meie primitiivne simulaatoriprogramm null mainega ja ilma digitaalne allkiri ei blokeeri ükski viirusetõrje. Nagu paljud lunavara troojalased, sisaldab see palju vigu, kuid see ei takista tal kohe käivitamisel faile takistamatult krüptimast.
Kasutajafailide automaatne varundamine ei ole edenemise tagajärg, vaid vajalik meede. See võib olla üsna tõhus ainult siis, kui varundusmälu on pidevalt kaitstud viirusetõrje enda abil. See aga toimib täpselt seni, kuni viirusetõrje mälust maha laaditakse või üldse desinstallitakse. Seetõttu tasub alati mõnele harva ühendatud andmekandjale lisakoopiaid teha või need pilve üles laadida. Seda muidugi juhul, kui pilvepakkujat piisavalt usaldada.
Tänaseks on paljud juba kogenud küberkurjategijate tegevuse tulemusi, kelle peamiseks relvaks on krüpteerimisviirused. Peamine eesmärk on nende abiga kasutajatelt raha välja pressida. Isiklike failide avamise eest saab nõuda kümneid tuhandeid grivnaid, ettevõtete omanikelt aga miljoneid (näiteks blokeeritud 1C andmebaasi eest).
Loodame, et meie nõuanded aitavad teie andmebaasi nii palju kui võimalik kaitsta.
Viirusetõrje
Loomulikult on peamine kaitsevahend viirusetõrje. Kindlasti jälgige viirusetõrjeprogrammi asjakohasust, sest viiruste andmebaase uuendatakse automaatselt (ilma kasutaja sekkumiseta) mitu korda päevas. Peate regulaarselt jälgima uute usaldusväärsete viirusetõrjeprogrammide tekkimist ja lisama need oma toodetele.
Üks selline programm on pilveteenus ESET LiveGrid®, mis blokeerib viiruse enne selle sisenemist viirusetõrje andmebaasi. ESET-süsteem analüüsib kahtlast programmi koheselt ja teeb kindlaks selle ohuastme, viiruse kahtluse korral blokeeritakse programmi protsessid.
Võite kasutada ka tasuta AVG viirusetõrjet, see on muidugi ESET-ist pisut madalam, kuid sellel on hea viiruskaitse tase ja täielikuks kaitseks saate osta ka AVG litsentsi
2017. aasta alguses testisid MRG Effitase eksperdid 16 populaarset viirusetõrjetoodet kodukasutajatele Microsoft Windows 10 64-bitise operatsioonisüsteemiga. Viirusetõrje töökindlustestides kasutati 386 erinevat pahavara näidist, sealhulgas 172 troojalast, 51 tagaust, 67 panga pahavara, 69 lunavara ning 27 potentsiaalselt ohtlikku ja reklaamvara.
Siin on testi tulemused
Selle diagrammi järgi saate määrata nii 2017. aasta parima tasuta viirusetõrje kui ka kõige paremini tasustatud viirusetõrje ning millise juba installite, et end arvutisse või sülearvutisse kaitsta, on teie otsustada.
Kui teie valik langes tasulisele viirusetõrjele ja otsustasite NOD32 kasuks, saate kindlasti kontrollida, kas funktsioon ESET LiveGrid® on lubatud, saate seda teha: ESET NOD32 - Täpsemad sätted - Utiliidid - ESET LiveGrid® - ESET LiveGridi lubamine ® mainesüsteem.
Ründajad loodavad alati, et kasutajatel pole olnud aega installida Viimased uuendused ja nad saavad kasutada turvaauke tarkvara. Esiteks puudutab see Windowsi operatsioonisüsteemi, seega peate kontrollima ja aktiveerima automaatseid OS-i värskendusi (Start - Juhtpaneel - Windows Update - Seaded - Valige, kuidas värskendusi alla laadida ja installida).
Kui te ei kasuta Windowsis pakutavat krüpteerimisteenust, on parem see keelata, kuna mõned lunavara muudatused kasutavad seda funktsiooni oma eesmärkidel. Selle keelamiseks toimige järgmiselt: Start - Juhtpaneel - Haldustööriistad - Teenused - Krüpteeritud failisüsteem (EFS) ja taaskäivitage süsteem.
Aga kui olete juba kasutanud krüptimist mis tahes failide või kaustade kaitsmiseks, peate eemaldama vastavad märkeruudud (RMB - Atribuudid - Atribuudid - Täpsemalt - Krüpteeri sisu andmete kaitsmiseks). Kui seda ei tehta, kaotate pärast krüpteerimisteenuse keelamist juurdepääsu sellele teabele. Krüptitud failide leidmine on lihtne – need on roheliselt esile tõstetud.
Piiratud programmide kasutamine
Turvalisuse taseme tõstmiseks saate blokeerida programmide käivitamise, mis ei vasta määratud nõuetele. Sellised sätted on vaikimisi määratud Windowsi ja programmifailide jaoks.
Seadistage kohalik rühmapoliitika see on võimalik nii:
Klõpsake nuppu Käivita ja sisestage käsk: gpedit.msc("Start - Run (Win + R) - secpol.msc")
Valige:
- "Arvuti konfiguratsioon"
- "Windowsi konfiguratsioon"
- "Turvavalikud"
- Paremklõpsake "Tarkvara piirangute eeskirjad" ja klõpsake
Pärast seda peate looma reegli, mis keelab programmide käivitamise muudest kohtadest kui lubatud.
Me läheme jaotisse "Lisareeglid" ja vajutage parempoolset nuppu. Ilmuvas aknas klõpsake üksusel "Loo tee reegel"
Tee väljale pane tärn "*", st. mis tahes tee ja valige turvatase: Keelatud.
Ja nii jätkame tööd "Tarkvarapiirangute poliitika" ja paremklõpsake üksust "Rakendus" ja valige "Properties".
Saate jätta need sätted vaikimisi endiseks või lubada eranditeta rakendamise kõigele, samuti saate lülitada sisse valiku rakendada piiratud poliitikat kõigile peale kohalike administraatorite (kui teie arvutis on kasutaja- ja administraatorikontod).
Ja jaotises "Määratud failitüübid" valige laiendus, mille failitüüpide käivitamine keelatakse. See aken loetleb laiendused, mis blokeeritakse nende käivitamisel.
Parem on lisada laiendus .js – javascript.
Tõhus seadistamine võtab veidi aega, kuid tulemus on seda väärt.
Sõltuvalt ülesandest ja eesmärkidest saate oma äranägemise järgi seada teatud programmide ja failide käivitamise keelu.
Pärast seda tuleb reeglid käivitada ja selleks minge jaotisse "Turvatasemed" ja vajutage hiire paremat nuppu "Keelatud". Ilmuvas aknas klõpsake "Vaikimisi" ja meie reeglid rakenduvad.
Soovitame teil mitte töötada administraatorikontoga. See vähendab kahju juhusliku nakatumise korral (Luba administraatori konto - Määra parool - Võta praeguselt kasutajalt administraatoriõigused - Lisa kasutajaid gruppi).
Windowsis administraatoriõigustega töötamiseks on spetsiaalne tööriist - "Kasutajakonto kontroll", mis ise küsib toimingute tegemiseks parooli. Seadete kontrollimine: Start - Juhtpaneel - Kontod kasutajad – Muuda kasutajakonto kontrolli sätteid – Vaikimisi – teavita mind ainult siis, kui proovin oma arvutis muudatusi teha
Süsteemi taastamise kontrollpunktid
Kahjuks on aegu, mil viirused ületavad kõik kaitsetasemed. Seetõttu peaksite saama naasta süsteemi eelmisele olekule. Kontrollpunktide automaatse loomise saate seadistada järgmiselt: Minu arvuti - RMB - Atribuudid - Süsteemi kaitse - Kaitseseaded.
Tavaliselt on vaikimisi kaitse lubatud ainult süsteemikettale, kuid lunavara võib rikkuda kõigi partitsioonide sisu. Failide taastamiseks standardsed vahendid või Shadow Explorer programmi, peate lubama kõigi draivide kaitse. Kontrollpunktid võtavad teatud hulga mälu, kuid salvestavad andmeid nakatumise korral.
Lunavaraviirused on hästi tuntud ohutüüp. Need ilmusid umbes samal ajal SMS-bänneritega ja istusid viimasega tihedalt lunavaraviiruste edetabelis.
Lunavaraviiruse monetiseerimismudel on lihtne: blokeerib osa teabest või kasutaja arvuti täielikult ning andmetele juurdepääsu taastamiseks on vaja saata SMS-i, elektronraha või terminali kaudu mobiilinumbri saldot täiendada. .
Faile krüpteeriva viiruse puhul on kõik ilmselge – failide dekrüpteerimiseks tuleb maksta teatud summa. Pealegi on need viirused viimastel aastatel muutnud lähenemist oma ohvritele. Kui varem levitati neid klassikaliste skeemide järgi warezi, porno saitide, võltsimise ja massiliste rämpspostide kaudu, nakatades samal ajal tavakasutajate arvuteid, siis nüüd adresseeritakse postikirju käsitsi, "tavaliste" domeenide postkastidest - mail.ru, gmail jne. Ja nad üritavad nakatada juriidilised isikud, kus andmebaasid ja lepingud kuuluvad šifrite alla.
Need. Rünnakud on arenenud kvantiteedist kvaliteedini. Ühes firmas oli autoril võimalus kohtuda .karastatud krüptograafiga, kes tuli postiga koos CV-ga. Nakatumine leidis aset vahetult pärast toimiku avamist personaliametnike poolt, firma otsis alles personali ning toimik ei tekitanud kahtlusi. See oli docx, millesse oli manustatud AdobeReader.exe :)
Kõige huvitavam on see, et ükski Kaspersky Anti-Virus heuristlikest ja proaktiivsetest anduritest ei töötanud. Veel päev või 2 pärast nakatumist dr.web ja nod32 viirust ei tuvastanud
Mida siis selliste ähvardustega peale hakata? Kas viirusetõrje on kasutu?
Allkirjaga viirusetõrjed hakkavad otsa saama.
G Data Total Protection 2015 — parim kaitse lunavarast
sisseehitatud varumooduliga. Kliki ja osta.
Kõigile neile, keda tegevus puudutab lunavara - sooduskood koos allahindlusega G DATA ostmisel - GDTP2015. Lihtsalt sisestage see sooduskood kassas.
Lunavaraviirused on taas tõestanud viirusetõrjeprogrammide ebaõnnestumist. SMS-bännerid "liitsid" korraga kasutajad vabalt ajutise kausta ja käivitati lihtsalt kogu töölaual ning võtsid kinni kõigi teenuste kombinatsioonide vajutamise klaviatuurilt.
Viirusetõrjeprogramm töötas sel ajal suurepäraselt :) Kaspersky, nagu tavarežiimis, kuvas oma kirja “Protected by Kaspersky LAB”.
Bänner pole kaval pahavara nagu rootkitid, vaid lihtne programm, mis muudab registris 2 võtit ja peatab klaviatuuri sisendi.
Faile krüpteerivad viirused on jõudnud pettuses uuele tasemele. See on jällegi tavaline programm, mis ei ole operatsioonisüsteemi koodi sisse manustatud, ei asenda süsteemifaile ega loe teiste programmide RAM-i alasid.
See lihtsalt töötab lühikest aega, genereerib avaliku ja privaatvõtme, krüpteerib failid ja saadab ründajale privaatvõtme. Ohvri arvutisse jäetakse edasiseks tasumiseks hunnik krüpteeritud andmeid ja fail häkkerite kontaktidega.
Mõistlik mõelda: Ja milleks siis viirusetõrjet vaja, kui see suudab leida ainult talle teadaolevaid pahatahtlikke programme?
Tõepoolest, viirusetõrjeprogramm on vajalik - see kaitseb kõigi teadaolevate ohtude eest. Paljud uut tüüpi pahatahtlikud koodid on aga tema jaoks liiga karmid. Enda lunavaraviiruste eest kaitsmiseks tuleb kasutusele võtta meetmed, siin ei piisa ainult viirusetõrjest. Ja ma ütlen kohe: "Kui teie failid on juba krüptitud, olete sisse lülitatud. Neid pole lihtne tagasi saada."
:
Ärge unustage oma viirusetõrjet
Oluliste infosüsteemide ja andmete varundamine Igal teenusel on oma spetsiaalne server.
Varundage olulised andmed.
:
Mida teha viiruse endaga?
Iseseisvad toimingud krüptitud failidega
Kas teil on viirusetõrje tehnilise toega suhtlemise kogemus, mida oodata?
Politseisse pöördumine
Järgige edaspidi ettevaatusabinõusid (vt eelmist jaotist).
Kui kõik muu ei aita, siis ehk tasub maksta?
Kui te pole veel lunavaraviiruse ohvriks langenud:
*Viirustõrjetarkvara olemasolu arvutis koos uusimate uuendustega.
Ütleme otse: "Viirustetõrjed on uut tüüpi lunavaraga toimetulemisel kohutavad, kuid tuntud ohtude vastu võitlemisel on nad suurepärased." Seega on viirusetõrje olemasolu tööjaamas vajalik. Kui ohvreid juba on, väldid vähemalt epideemiat. Milline viirusetõrje valida, on teie otsustada.
Kogemuste põhjal "sööb" Kaspersky rohkem mälu- ja protsessoriaega ning 5200 kiirusega sülearvutite kõvaketaste puhul on see katastroof (sageli sektori lugemise viivitusega 500 ms ..) Nod32 on kiire, kuid püüab vähe kinni. Saate osta GDATA viirusetõrje - parim valik.
*Oluliste infosüsteemide ja andmete varundamine. Igal teenusel on oma server.
Seetõttu on väga oluline viia kõik teenused (1C, maksumaksja, konkreetsed tööjaamad) ja igasugune tarkvara, millest sõltub ettevõtte eluiga, eraldi serverisse, veelgi parem - terminali. Veelgi parem, paigutage iga teenus oma serverisse (füüsilisse või virtuaalsesse – otsustage ise).
Ärge salvestage 1c andmebaasi avalikus omandis, võrgus. Paljud inimesed teevad seda, kuid see on vale.
Kui töö 1-dega on korraldatud võrgu kaudu, millel on kõigile töötajatele jagatud lugemis-/kirjutusjuurdepääs, viige 1-d terminaliserverisse, laske kasutajatel sellega töötada RDP kaudu.
Kui kasutajaid on vähe ja serveri OS-i jaoks pole piisavalt raha, saate terminaliserverina kasutada tavalist Windows XP-d (eeldusel, et samaaegsete ühenduste arvu piirangud eemaldatakse, st peate paika panema). Kuigi sama eduga saate installida litsentsimata versiooni windowsi server. Õnneks Microsoft lubab seda kasutada, aga osta ja aktiveeri hiljem :)
Kasutajate töö alates 1-dest kuni RDP-ni ühelt poolt vähendab võrgu koormust ja kiirendab 1-de tööd, teisalt hoiab ära andmebaaside nakatumise.
Andmebaasifailide salvestamine jagatud võrku ei ole turvaline ja kui muid väljavaateid pole, hoolitsege varundamise eest (vt järgmist jaotist).
* Varundage olulised andmed.
Kui te pole veel varukoopiaid teinud (varukoopiaid) - olete loll, andke andeks. Noh, või öelge tere oma süsteemiadministraatorile. Varukoopiad ei päästa mitte ainult viiruste, vaid ka hooletute töötajate, häkkerite ja lõpuks kõvaketaste "kukkumise" eest.
Kuidas ja mida varundada - saate lugeda eraldi artiklist. Näiteks GDATA viirusetõrjel on varumoodul kahes versioonis - täielik kaitse ja lõpp-punktide turvalisus organisatsioonidele ( saate osta GDATA täielikku kaitset).
Kui leiate oma arvutist krüptitud faile:
*Mida teha viiruse endaga?
Lülitage arvuti välja ja võtke ühendust arvutiteeninduse ja viirusetõrje toega. Hea õnne korral pole viiruse keha veel eemaldatud ja seda saab kasutada failide dekrüpteerimiseks. Kui teil ei vea (nagu sageli juhtub), saadab viirus pärast andmete krüptimist ründajatele privaatvõtme ja kõik selle jäljed kustutatakse. Seda tehakse selleks, et ei oleks võimalik kindlaks teha, kuidas ja millise algoritmiga need krüpteeritakse.
Kui teil on ikka veel nakatunud failiga meil, ärge seda kustutage. Esitage populaarsed tooted viirusetõrjelaborisse. Ja ärge avage seda uuesti.
* Iseseisvad toimingud krüptitud failidega
Mida saaks teha:
Võtke ühendust viirusetõrje toega, hankige juhised ja võimalusel ka viiruse dekrüpteerija.
Kirjutage politseile avaldus.
Otsige Internetist teiste kasutajate kogemusi, kes on selle probleemiga juba kokku puutunud.
Võtke meetmed failide dekrüpteerimiseks pärast nende kopeerimist eraldi kausta.
Kui teil on Windows 7 või 8, saate taastada failide varasemad versioonid (paremklõpsake failidega kaustal). Jällegi, ärge unustage neid eelnevalt kopeerida.
Mida mitte teha:
Installige Windows uuesti
Kustutage krüptitud failid, nimetage need ümber ja muutke laiendit. Faili nimi on tulevikus dekrüpteerimisel väga oluline
*Kogemus viirusetõrje tehnilise toega suhtlemisel, mida oodata?
Kui üks meie klientidest tabas .hardended krüptoviiruse, mida veel viirusetõrje andmebaasides ei olnud, saadeti päringud dr.webile ja Kasperskyle.
Meile meeldis dr.webis tehniline tugi, tagasiside ilmus kohe ja andis isegi nõu. Ja mõne päeva pärast ütlesid nad ausalt, et nad ei saa midagi teha ja kukkusid üksikasjalikud juhised kuidas saata taotlus pädevate asutuste kaudu.
Kaspersky puhul vastas bot esmalt vastupidi, seejärel teatas bot, et uusimate andmebaasidega viirusetõrje installimine lahendaks minu probleemi (tuletan meelde, et probleemiks on sadu krüptitud faile). Nädal hiljem muutus minu päringu staatus “saadetud viirusetõrje laborisse” ja kui autor paar päeva hiljem tagasihoidlikult päringu saatuse kohta küsis, vastasid Kaspersky esindajad, et me ei saa vastust labor veel, nad ütlevad, et me ootame.
Mõne aja pärast sain teate, et minu päring suleti ettepanekuga hinnata teenuse kvaliteeti (seda kõike laborist vastust oodates) .. "Persse!" arvas autor.
NOD32, muide, hakkas seda viirust püüdma 3. päeval pärast selle ilmumist.
Põhimõte on see, et olete oma krüptitud failidega üksi. Suuremate viirusetõrjebrändide laborid aitavad teid ainult siis, kui kui teil on vastava viirusetõrjetoote võti ja kui sisse krüptoviirusel on haavatavus. Kui ründajad krüpteerisid faili mitme algoritmiga korraga ja rohkem kui üks kord, peate suure tõenäosusega maksma.
Viirusetõrje valik on teie, ärge jätke seda tähelepanuta.
*Võtke ühendust politseiga
Kui olete langenud krüptoviiruse ohvriks ja olete saanud kahju, isegi krüpteeritud isikuandmete näol, võite pöörduda politsei poole. Rakendusjuhised jne. Seal on .
*Kui kõik muu ebaõnnestub, kas tasub maksta?
Arvestades viirusetõrjete suhtelist passiivsust seoses lunavaraga, on mõnikord lihtsam ründajatele maksta. Näiteks kõvafailide eest küsivad viiruse autorid umbes 10 tuhat rubla.
Muude ohtude (gp-kood jne) puhul võib hinnasilt ulatuda 2 tuhandest rublast. Enamasti on see summa väiksem kui kaod, mida andmete puudumine võib põhjustada, ja väiksem kui summa, mida käsitöölised võivad failide käsitsi dekrüpteerimiseks küsida.
Kokkuvõtteks võib öelda, et parim kaitse lunavaraviiruste vastu on kasutajate serveritest ja tööjaamadest oluliste andmete varundamine.
Kuidas edasi minna, on teie otsustada. Edu.
Seda kirjet lugenud kasutajad loevad tavaliselt järgmist:
Kokkupuutel
Tere kallid sõbrad ja lugejad. Ruslan Miftakhov võtab ühendust, selle ajaveebi autor, kes ei tea.
Selles artiklis tahaksin arutleda selle aasta reedel, 12. mail alguse saanud sensatsioonilise viiruserünnaku teemal üle maailma. Anna ka mõned näpunäited, kuidas end lunavaraviiruse eest kaitsta ja oma olulised andmed arvutisse salvestada.
Kui loed mu blogi, siis tead, et olen arvutiparandaja. See on rohkem hobi kui töö. Nii et minu mäletamist mööda olid blokeerivad viirused levinud kuni 2013. aastani.
Kui süsteem käivitus, ilmus sõnum mis tahes ähvardava kirjaga, mõnikord koos pornopiltidega. Mul on isegi paar fotot sellistest blokeerijatest alles. Siin on üks neist.
Mitmed kliendid tunnistasid mulle, et maksid petturitele raha ja selle tulemusena kutsusid nad meistrit selle viiruse eemaldamiseks. Üks maksis erinevates terminalides lausa kolm korda 500 rubla, arvates, et ilmselt trükitakse teises lahti lukustuskood. Selle tulemusena helistas ta mulle ja ma eemaldasin selle viiruse 5-10 minutiga.
Kuskil 2013. aastal puutusin meie linnas esimest korda kokku lunavaraviirusega, kui hakkasid saabuma sellised rakendused, nagu wannacry. Näiteks siin on viirus nimega Ebola, millest ma mälestuseks pildi tegin.
Viirust ennast polnud muidugi keeruline arvutist eemaldada, aga krüpteeritud andmeid lahti krüpteerida ei saanud, siin sai abiks olla vaid sobiv dekooder.
Viiruse põhimõte
Viirus levib peamiselt meili teel. Saabub kiri teemaga Venemaa siseministeeriumist või kohtuotsusest või maksuametist, üldiselt mängitakse kasutaja uudishimu peale, et ta kirja avab. Ja selles kirjas on lisatud fail, seesama lunavaraviirus.
Pärast arvutisse tungimist hakkab viirus krüpteerima kõiki fotosid, videoid, dokumente. Arvutis on faile, kuid neid ei saa avada. See on selline õnnetus ja nende petturite dekrüpteerimiseks küsivad nad selle eest 15-20 tuhat rubla.
Muidugi, kui failidel on oma väärtus ja koopiaid pole, teeb kasutaja petturitega tehingu. Ma pole selliseid juhtumeid kuulnud, kellelegi ei meeldi öelda, et temast sai petturite ohver.
Nad helistasid isegi administratsiooni ühte majja, kus ma sellist pilti jälgisin.
Raamatupidaja sõnul sai ta administratsioonilt meili teemaga. Pärast selle avamist oli lisatud failides väidetavalt oluline dokument, mis tuleb avada ja lugeda. Noh, siis saate ise kõigest aru, selle faili avades käivitub viirus ja krüpteerib kõik, mis arvutisse ei satu.
Ja see kõik enne maksurevisjoni, kas see on juhus või oli põhjust ;)
Miks inimesed maksavad petturitele?
Siin mängib peen psühholoogia, blokeerija viiruse puhul tulid välja rõvedad pildid, millel oli kiri, et ronisite nilbetel saitidel ja salvestasite fotosid lapspornoga ning see artikkel on seadusega karistatav nii ja naa. Keegi uskus sellesse jamasse ja maksis ning keegi lihtsalt ei tahtnud, et tema sugulased seda näeksid ja maksaksid, lootes, et blokeerija kaob pärast maksmist. Naiivne jah.
Wanna cry viiruse puhul eeldavad petturid, et krüpteeritud failid on kasutajale väga vajalikud ja olulised ning ta maksab. Kuid siin pole summa enam 500-1000 rubla, nagu esimesel juhul. Ja ilmselt sihivad petturid suuremaid ulukeid.
Mõelge ise, milline keskmine kasutaja maksab kaotuse eest 500 dollarit perekonna foto videoarhiivi või kursusetöö või lõputöö jaoks.
Siin on pigem eesmärk suurettevõtted ja riigikorporatsioonid, mis juhtus Megafoni, Beeline'i ja mitmete teistega. Kas arvate, et nad maksavad oma baasi taastamise eest 500 dollarit?
Nad maksavad loomulikult, kui koopiat pole. Kui koopia on, pole küsimusi, kõik lammutatakse ja varukoopia pannakse uuesti. Nad kaotavad 2, 3 tundi, kuid kõik toimib nii, nagu töötas.
Kuidas lunavara vältida
- Esimene asi, mida vajate, on teha olulised andmed. Soovitan hoida vähemalt kolm koopiat erinevatel kandjatel. Kopeerige mälupulgale, välisele HDD, hoidke koopiat Maili pilves, Yandexi kettal või muudes pilvesalvestusteenustes.
- Värskendage regulaarselt käsitsi operatsioonisüsteem. Isegi kui Windowsi pole värskendatud, tuvastab ja blokeerib nod32 viirusetõrje WannaCry ja selle muudatused.
- Olles valvas ja kahtlasi kirju mitte avama, nõuab see muidugi kogemust, et tunnetada, milliseid kirju ei tohi avada.
- Kindlasti peab olema kehtiva litsentsiga viirusetõrje koos pidevalt uueneva andmebaasiga. Soovitan Eset Nod 32 Smart Security viirusetõrjet.
Viirusetõrje allahindlusega ostmiseks klõpsake alloleval nupul.
Pärast tasumist teile sobival viisil, teie määratud e-posti aadress saate litsentsivõtme ja viirusetõrje allalaadimise lingi.
Kui neid punkte järgite, siis te ei karda ühtegi viirust, isegi krüptograafi. Ja sa laulad nagu multikas "Kolm põrsakest": me ei karda halli hunti, kohutavat hunti, vana hunti :)
Noh, see on kõik, ma hoiatasin sind, aga ma hoiatasin sind, mis siis? Õige – relvastatud.
Jagage seda artiklit, et teie sõbrad, tuttavad ja sugulased ei satuks petturite küüsi.
Lugupidamisega Ruslan Miftakhov
