Ovaj put provjerili smo kako se složeni antivirusni alati nose s enkripcijskim trojancima. U tu svrhu napravljen je odabir ransomwarea i čak je napisan poseban program koji simulira radnje nepoznatog enkripcijskog Trojana. Njenog potpisa definitivno nema u bazama niti jednog sudionika današnjeg testiranja. Da vidimo što mogu!
UPOZORENJE
Članak je napisan u istraživačke svrhe. Sve informacije u njemu su samo u informativne svrhe. Svi su uzorci dobiveni iz otvorenih izvora i poslani analitičarima virusa.
Stari lijekovi za nove prijetnje
Klasični antivirusi slabo pomažu u zaštiti od trojanskih programa koji kriptiraju datoteke i traže otkupninu za njihovo dekriptiranje. Tehnički, takav se ransomware u potpunosti ili gotovo u potpunosti sastoji od legitimnih komponenti, od kojih svaka sama za sebe ne izvodi nikakve zlonamjerne radnje. Malware ih jednostavno kombinira u lanac, što dovodi do katastrofalnog rezultata - korisnik je lišen mogućnosti rada sa svojim datotekama dok ih ne dekriptira.
U U zadnje vrijeme Pojavili su se mnogi specijalizirani uslužni programi za zaštitu od ransomware trojanaca. Oni ili pokušavaju izvršiti analizu bez potpisa (to jest, identificiraju nove verzije ransomwarea prema njihovom ponašanju, reputaciji datoteke i drugim neizravnim znakovima) ili jednostavno zabranjuju svim programima da vrše promjene potrebne za djelovanje ransomwarea.
Uvjereni smo da su takvi alati praktički beskorisni. Čak ni najstroža ograničenja postavljena u njima (pod kojima više nije moguće normalno raditi) ne predstavljaju pouzdanu barijeru protiv ransomware trojanaca. Ovi programi sprječavaju neke infekcije, ali time samo stvaraju lažan osjećaj sigurnosti kod korisnika. Postaje neoprezniji i još brže postaje žrtva ransomwarea.
Glavni problem u borbi protiv klasičnih enkripcijskih trojanaca je taj što se sve njihove radnje izvode samo na korisničkim datotekama i ne utječu na komponente sustava. Korisniku se ne može zabraniti mijenjanje i brisanje njegovih datoteka. Visokokvalitetni predstavnici ransomwarea imaju vrlo malo ili nimalo očitih razlikovnih karakteristika ponašanja. Mrežna veza sada pokreće većinu programa (barem za provjeru ažuriranja), a funkcije šifriranja ugrađene su čak iu uređivače teksta.
Ispostavilo se da više nema očitih znakova za alate za preventivnu zaštitu koji bi pomogli razlikovati još jednog ransomware trojanca od legitimnog programa. Ako trojanskog potpisa nema u bazama podataka, vjerojatnost da će ga antivirus otkriti vrlo je mala. Heuristički modul reagira samo na grube izmjene poznatog ransomwarea, a analizator ponašanja obično uopće ne otkriva nikakvu sumnjivu aktivnost.
Sigurnosne kopije se razlikuju od sigurnosnih kopija!
Danas se tisuće računala svakodnevno zarazi ransomwareom i to, u pravilu, rukama samih korisnika. Antivirusne tvrtke prihvaćaju zahtjeve za dekriptiranje datoteka (besplatno od svojih klijenata), međutim, njihovi analitičari nisu svemogući. Ponekad je moguće prikupiti premalo podataka za uspješno dešifriranje ili sam trojanski algoritam sadrži pogreške koje onemogućuju vraćanje datoteka u izvorni oblik. Sada se zahtjevi za dešifriranje obrađuju od dva dana do šest mjeseci, a tijekom tog vremena mnogi od njih jednostavno gube svoju važnost. Ostaje tražiti dodatna sredstva zaštite bez oslanjanja na antivirusni skener.
Dugo su vremena sigurnosne kopije bile univerzalna zaštita od napada virusa. U slučaju infekcije novim zlonamjernim softverom, možete jednostavno vratiti sve iz sigurnosne kopije, prebrisati šifrirane datoteke njihovim izvornim verzijama i poništiti sve neželjene promjene. Međutim, moderni trojanci za šifriranje također su naučili identificirati i pokvariti sigurnosne kopije. Ako je konfigurirano automatsko stvaranje, tada je sigurnosna pohrana povezana i dostupna za pisanje. Napredni trojanac skenira sve lokalne, vanjske i mrežne diskove, određuje direktorij sa sigurnosnim kopijama i šifrira ih ili briše, brišući slobodan prostor.
Ručno pravljenje sigurnosnih kopija je previše zamorno i nepouzdano. Teško je obavljati takvu operaciju svaki dan, a tijekom duljeg vremenskog razdoblja nakupit će se puno relevantnih podataka koji se neće imati kamo vratiti. Kako biti?
Danas većina programera uz klasične antiviruse nudi i cjelovita sigurnosna rješenja. Sada uz vatrozid, IDS i ostale dobro poznate komponente sadrže i jednu novu - sigurnu pričuvnu pohranu. Za razliku od običnog imenika sa sigurnosnim kopijama, samo antivirusni program ima pristup njemu i njime upravlja njegov upravljački program. Upravljanje vanjskim imenikom potpuno je onemogućeno - čak ga ni administrator ne može otvoriti ili izbrisati putem upravitelja datotekama. Da vidimo koliko je ovaj pristup dobar.
Metodologija ispitivanja
Za naše eksperimente napravili smo klonove virtualnog stroja s čistim Windows 10 i najnovijim setovima zakrpa. Svaki od njih je imao instaliran svoj antivirus. Odmah nakon ažuriranja baza podataka, provjerili smo antivirusni odgovor na testni odabir i naš simulatorski program. Testni set je uključivao 15 uzoraka. Od toga, 14 su bile različite modifikacije poznatih ransomware trojanaca, a petnaesti je bio downloader trojanac koji je preuzeo drugi ransomware s udaljene stranice.
Svi uzorci imali su nastavak .tst, bez obzira na stvarni format datoteke. Program posebno napisan za ove testove, jednostavno nazvan EncryptFiles, oponašao je tipično ponašanje trojanca koji šifrira. Kada se pokrene sa zadanim parametrima, odmah je kriptirao sadržaj datoteka iz direktorija "Moji dokumenti" bez ikakvih pitanja. Radi jasnoće, spremili smo echo poruke u program i smjestili nekoliko tekstualnih datoteka u OEM-866 kodiranju u direktorij s dokumentima trenutnog korisnika kako bismo odmah prikazali njihov sadržaj izravno u konzoli. Jedna je datoteka sadržavala citate iz djela Strugackih (jednostavni neformatirani tekst), a druga je sadržavala parametre leće u obliku tablice (formatirani tekst).
Nakon instaliranja i ažuriranja svakog antivirusa, uzorci ransomwarea kopirani su u direktorij Preuzimanja iz mrežne mape povezane u načinu rada samo za čitanje. Zatim su kopirane datoteke dodatno skenirane antivirusom (prisilno skeniranje na zahtjev) u zadanim postavkama. Uzorcima preostalim nakon verifikacije dodijeljena je stvarna ekstenzija, nakon čega su lansirani. Ako sustav nije bio zaražen, tada je provjeravan antivirusni odgovor na program simulatora. Ako su datoteke bile uspješno šifrirane, pokušali smo vratiti njihove izvorne verzije pomoću antivirusnog softvera i zabilježili rezultat.
Kaspersky Total Security
Instalirali smo Kaspersky Total Security u jedan od naših testnih virtualnih strojeva, koji je obećao "zaštitu od ransomwarea koja sprječava da datoteke budu oštećene zlonamjernim softverom." KTS je prepoznao gotovo sve prijetnje pri pokušaju kopiranja uzoraka ransomwarea iz mrežne mape.
Samo jedna datoteka od petnaest bila je uključena u direktorij "Preuzimanja" - nd75150946.tst - to je Trojan.Downloader, a poznat je već duže vrijeme. Dodatnom provjerom na zahtjev KTS-a spis se ponovno smatra sigurnim. Četrdeset pet skenera virusa na VirusTotalu nije se složilo.
Otvorili smo ovaj uzorak pomoću Hex uređivača kako bismo utvrdili njegovu pravu ekstenziju. Poznato zaglavlje 50 4B 03 04 i naziv druge datoteke unutra - očito, ovo je ZIP arhiva. U arhivi se nalazila sumnjiva datoteka: njena ikona odgovarala je PDF dokumentu, a ekstenzija je bila .scr - čuvar zaslona, odnosno izvršni kod.
Prilikom pokušaja pokretanja datoteke s ekstenzijom .scr iz arhive, KTS je blokirao njezinu automatski raspakiranu kopiju u korisničkom privremenom direktoriju. Na temelju rezultata analize oblaka putem mreže KSN identificirao je ovu datoteku kao nepoznati maliciozni objekt i predložio brisanje ponovnim pokretanjem. U ovom slučaju to je bila pretjerana mjera opreza, budući da trojanac nije preuzeo kontrolu i mogao se izbrisati na bilo koji način, poput obične datoteke.
Važno je napomenuti da Kaspersky Total Security ne uči na svojim pogreškama. Kad je arhiva ponovno provjerena, ponovno je utvrđeno da je čista, iako je datoteka iz nje otpakirana upravo izazvala okidač prema rezultatima analize u KSN-u.
Na početku sljedeće faze testiranja provjerili smo početno stanje direktorija “Moji dokumenti” i ispisali sadržaj nekoliko tekstualnih datoteka iz njega na konzolu.
Nakon toga otvorili smo modul “Backup and Restore” i sigurnosno kopirali te dokumente u mapu Backup izravno na sistemskoj particiji. U stvarnoj situaciji trebali biste odabrati drugu lokaciju (na primjer, vanjski disk), ali za naš test to nije važno. U svakom slučaju, pristup ovoj mapi kontroliraju KTS alati, a trojanci ne mogu komunicirati s njom putem standardnog upravljačkog programa datotečnog sustava.
Koristeći obične alate, čak i administrator može vidjeti samo svojstva ove mape. Kada se pokušate prijaviti, KTS backup manager se automatski pokreće i traži da unesete lozinku, ako je prethodno postavljena.
Sam Kasperskyjev backup manager je vrlo jasan. Možete odabrati standardne direktorije, odrediti vlastite ili isključiti pojedinačne datoteke. Broj datoteka svake vrste odmah se prikazuje u prozoru s lijeve strane, a njihova veličina prikazana je u svojstvima s desne strane.
Osim snimanja sigurnosnih kopija na lokalne i prijenosne diskove, KTS podržava njihovo slanje u Dropbox. Korištenje pohrane u oblaku posebno je zgodno ako zlonamjerni softver sprječava pokretanje računala i povezivanje vanjskih medija.
KTS je ignorirao naš simulatorski program. Smireno je kriptirala datoteke, pretvarajući njihov sadržaj u gobbledygook. Uskraćivanje pristupa poddirektorijima “My Videos”, “My Pictures” i “My Music” je greška u samom programu, koja ni na koji način ne utječe na njegovu sposobnost šifriranja datoteka u %USERPROFILE%Documents.
Ako se u našem programu funkcija dešifriranja izvodi jednostavno kada se pokrene s ključem /decrypt, onda se u Trojancima ne pokreće uvijek čak ni nakon što se ispune zahtjevi za otkupninom. Jedina dovoljno brza opcija za vraćanje šifriranih datoteka u ovom slučaju je njihovo prepisivanje iz prethodno stvorene sigurnosne kopije. U samo nekoliko klikova, selektivno smo vratili jednu od šifriranih datoteka na izvornu lokaciju. Na isti način možete vratiti jedan ili više cijelih direktorija.
Dr.Web Sigurnosni prostor
Kao i KTS, Dr.Web SS identificirao je 14 od 15 uzoraka čak i kada ih je pokušao kopirati u direktorij "Preuzimanja".
Međutim, za razliku od KTS-a, još uvijek je otkrio Trojan.Downloader u preostalom uzorku nakon što je promijenio svoje proširenje u ZIP i pokrenuo prisilno skeniranje.
Većina Dr.Web SS postavki zaključana je prema zadanim postavkama. Da biste ga aktivirali, prvo morate kliknuti na ikonu lokota i unijeti lozinku, ako je postavljena.
Sigurnosne kopije se izrađuju u Dr.Web SS pomoću alata “Data Loss Prevention”. Dostupne postavke su minimalne. Možete odabrati standardne korisničke direktorije za sigurnosno kopiranje ili odrediti vlastite, postaviti jedno od odabranih ograničenja količine kopija, odrediti lokaciju sigurnosnih kopija i konfigurirati raspored sigurnosnog kopiranja. Dr.Web SS ne podržava prijenos u pohranu u oblaku, pa se morate ograničiti na lokalne diskove.
Dr.Web SS zaštita sigurnosnog imenika je agresivnija od KTS-ove. Administrator ne može ni vidjeti njegova svojstva kroz Explorer.
Napravili smo sigurnosne kopije dokumenata i krenuli u drugi dio testa.
Dr.Web SS simulator nije prepoznao program i ni na koji način nije ometao njegov rad. U djeliću sekunde sve su datoteke bile šifrirane.
Ponovnim pokretanjem Data Loss Prevention vratili smo izvorne datoteke. Međutim, nisu sačuvani tamo gdje se očekivalo.
Kada navedete ciljnu mapu "Moji dokumenti", unutar nje se automatski stvara poddirektorij s trenutnim datumom i vremenom kao nazivom. Spremljene datoteke iz sigurnosne kopije već su raspakirane u nju, a sve relativne staze su vraćene. To stvara izuzetno nezgodno dug put koji bi lako mogao premašiti uobičajeno ograničenje od 255 znakova.
Norton Security Premium
Sjećajući se Norton Ghosta, koji je postao rezervni standard još u devedesetima, bilo je lako predvidjeti pojavu slične funkcionalnosti u antivirusu iz Symanteca. Iznenađujuće je da su prošla dva desetljeća prije nego što je ovo očito rješenje postalo popularno. Ne bi bilo sreće, ali bi nesreća pomogla.
Prilikom pokušaja kopiranja direktorija s uzorcima ransomwarea, NSP je identificirao i stavio u karantenu 12 od 15 prijetnji.
Sve tri preostale datoteke prepoznaje kao zlonamjerne kada ih analizira VirusTotal, uključujući dvije od njih Symantec antivirus. Samo što su zadane postavke napravljene tako da NSP ne provjerava neke datoteke prilikom kopiranja. Izvodimo prisilno skeniranje... i NSP otkriva još dva trojanca u istom direktoriju.
Kao i prethodni antivirusi, NSP ostavlja trojanski downloader u preimenovanoj ZIP arhivi. Kada pokušate pokrenuti .scr datoteku iz arhive, NSP blokira pokretanje neraspakirane kopije Trojanaca iz privremenog direktorija trenutnog korisnika. U tom slučaju sama arhiva se ni na koji način ne obrađuje.
Arhiva se smatra čistom čak i ako se ponovno skenira odmah nakon otkrivanja trojanca izdvojenog iz nje. Posebno je smiješan natpis: “Ako mislite da još uvijek postoje prijetnje, kliknite ovdje.” Kada kliknete na njega, baze podataka se ažuriraju (ili ne ako su već svježe).
Iznenađujuće je da NSP još uvijek otkriva neke od starih uzoraka ransomwarea samo heurističkim analizatorom i alatima za provjeru oblaka. Čini se da su Symantecovi virolozi previše lijeni da ažuriraju baze podataka. Njihov antivirus jednostavno blokira sve sumnjivo i čeka reakciju korisnika.
Druga faza testiranja odvijala se tradicionalno. Napravili smo sigurnosnu kopiju datoteka iz direktorija My Documents i zatim ih pokušali šifrirati.
Backup manager u NSP-u u početku me zadovoljio svojom logikom. On koristi klasični “Što? Gdje? Kada?”, poznato iz predsovjetskog vremena. Međutim, u modernoj verziji to je zasjenjeno pretjeranom apstrakcijom. Umjesto izravnog popisa objekata s punim stazama i datotekama prema ekstenziji, koristi se njihova virtualna lokacija i uvjetno grupiranje prema vrsti. Ostaje za vidjeti koje će datoteke NSP smatrati relevantnima za financijske podatke, a koje će jednostavno staviti u odjeljak "Ostalo".
Moguće su dodatne postavke (na primjer, pomoću veze "Dodaj ili izuzmi datoteke i mape"), ali ih je vrlo teško učiniti. Radi par datoteka (svaka manja od kilobajta) još morate sigurnosno kopirati pola stabla imenika i kojekakvo smeće tipa desktop.ini, a čarobnjak za backup nudi da to ovjekovječi na CD-R. Čini se da 21. stoljeće nije stiglo za sve.
S druge strane, korisnicima NSP-a omogućeno je 25 GB backupa u oblaku. Da biste tamo prenijeli sigurnosne kopije, samo odaberite "Sigurna mrežna pohrana" kao odredišnu lokaciju.
Nakon što smo izradili lokalnu sigurnosnu kopiju, pokrenuli smo program koji simulira radnje ransomware trojanaca. NSP je nije spriječio ni na koji način i dopustio joj je šifriranje datoteka.
Vraćanje iz sigurnosne kopije bilo je brže i praktičnije nego u Dr.Web SS. Bilo je dovoljno potvrditi prepisivanje i datoteke u izvornom obliku odmah su se pojavile na svojim izvornim mjestima.
K7 Ultimate Security
Prethodno se ovaj proizvod indijske tvrtke K7 Computing zvao Antivirus Plus. Još uvijek postoji mala zabuna s imenima ovog programera. Na primjer, distribucija K7 Total Security nema alate za sigurnosno kopiranje. Zato smo testirali Ultimate verziju - jedinu sposobnu za izradu sigurnosnih kopija.
Za razliku od antivirusa poznatih u Rusiji, ovaj je razvoj bio mračan konj u našim testovima. Fraza "indijski kod" među programerima se smatra prljavom riječi i nismo puno očekivali od nje. Kako su testovi pokazali, bilo je uzalud.
K7 Ultimate Security je prvi antivirus koji je odmah otkrio svih 15 prijetnji iz našeg izbora. Ne bi mi čak dopustio da završim kopiranje uzoraka u direktorij Preuzimanja i izbrisao bi ih izravno u mrežnoj mapi ako nije povezan u načinu rada samo za čitanje.
Dizajn programa je kamuflažni i čelični. Očigledno, programeri su oduševljeni igranjem tenkova ili jednostavno na ovaj način pokušavaju izazvati asocijacije na nešto pouzdano. Sigurnosni parametri u K7 postavljeni su približno na isti način kao u NSP-u. Sveukupno, međutim, sučelje K7 manje je pretrpano i olakšava pristup finom podešavanju.
K7 nije reagirao ni na koji način na pokretanje programa simulatora i šifriranje datoteka. Kao i uvijek, morao sam vratiti izvornike iz sigurnosne kopije.
Zgodno je da prilikom vraćanja možete odabrati pojedinačne datoteke i zapisati ih na njihovo izvorno mjesto. Nakon što smo potvrdno odgovorili na zahtjev za brisanjem postojeće datoteke, lenses.txt smo u nekoliko klikova vratili na izvornu lokaciju.
Nema se više što dodati o performansama K7 u ovom testu. Uspjeh je uspjeh.
zaključke
Unatoč dobrim rezultatima testa, opći zaključci bili su razočaravajući. Čak pune verzije Popularni antivirusni programi koji se plaćaju dopuštaju pojavljivanje nekih varijanti ransomwarea u njihovim zadanim postavkama. Selektivno skeniranje na zahtjev također ne jamči sigurnost skeniranih datoteka. Dugo poznate modifikacije trojanaca također izbjegavaju otkrivanje pomoću primitivnih trikova (kao što je promjena ekstenzije). Novi se zlonamjerni softver gotovo uvijek provjerava radi otkrivanja prije nego što se pusti u prirodu.
Ne biste se trebali oslanjati na analizator ponašanja, provjeru oblaka, karakteristike reputacije datoteka i druge alate za analizu bez potpisa. Ima neke koristi od ovih metoda, ali vrlo male. Čak i naš primitivni simulatorski program s nultom reputacijom i br digitalni potpis Nije blokiran niti jednim antivirusom. Poput mnogih ransomware trojanaca, sadrži puno nedostataka, ali to ga ne sprječava da lako šifrira datoteke odmah po pokretanju.
Automatski backup korisničkih datoteka nije posljedica napretka, već nužna mjera. To može biti vrlo učinkovito samo uz stalnu zaštitu sigurnosne pohrane pomoću samog antivirusa. Međutim, bit će učinkovit točno dok se antivirusni program ne učita iz memorije ili potpuno deinstalira. Stoga se uvijek isplati napraviti dodatne kopije na nekim rijetko povezanim medijima ili ih prenijeti u oblak. Naravno, ako dovoljno vjerujete cloud provideru.
Danas su mnogi već iskusili rezultate djelovanja kibernetičkih kriminalaca, čije su glavno oružje enkripcijski virusi. Glavni cilj je pomoću njih iznuditi novac od korisnika. Za otključavanje osobnih datoteka mogu se tražiti deseci tisuća grivna, a od vlasnika tvrtki milijuni (na primjer, za blokiranu bazu podataka 1C).
Nadamo se da će vam naši savjeti pomoći da vaša baza podataka bude što sigurnija.
Antivirusna zaštita
Naravno, glavno sredstvo zaštite je antivirus. Neophodno je osigurati da vaš antivirusni program bude ažuran jer se virusne baze ažuriraju automatski (bez intervencije korisnika) nekoliko puta dnevno. Morate redovito pratiti pojavu novih pouzdanih antivirusnih programa i dodavati ih svojim proizvodima.
Jedan takav program je usluga u oblaku ESET LiveGrid® koja blokira virus prije nego što uđe u antivirusnu bazu podataka. Sustav ESET odmah analizira sumnjivi program i utvrđuje stupanj njegove opasnosti; ako se sumnja na virus, procesi programa se blokiraju.
Također možete koristiti besplatni AVG antivirus, on je naravno malo inferioran u odnosu na ESET ali ima dobar stupanj zaštite od virusa, a za potpunu zaštitu možete kupiti licencu za AVG
Početkom 2017. godine stručnjaci iz MRG Effitasa testirali su 16 popularnih antivirusnih proizvoda za kućne korisnike na Microsoft Windows 10 64-bit operativnom sustavu. U testovima pouzdanosti antivirusnih programa korišteno je 386 uzoraka različitih malicioznih kodova, uključujući 172 trojanaca, 51 backdoor, 67 bankovnih zlonamjernih programa, 69 kriptora i 27 riskwarea i adwarea.
Evo rezultata testa
Pomoću ovog dijagrama možete odrediti najbolji besplatni antivirus 2017. kao i najbolje plaćeni antivirus, a na vama je da odlučite koji ćete instalirati za zaštitu na svom računalu ili laptopu.
Ako ste odabrali antivirus koji se plaća, a odlučili ste se za NOD32, važno je provjeriti je li uključena funkcija ESET LiveGrid®, na sljedeći način: ESET NOD32 - Dodatne postavke - Uslužni programi - ESET LiveGrid® - Omogućite sustav reputacije ESET LiveGrid® .
Napadači se uvijek nadaju da korisnici nisu imali vremena za instalaciju Najnovija ažuriranja, te će moći iskoristiti ranjivosti u softver. Prije svega, to se odnosi na operativni sustav Windows, pa je potrebno provjeriti i aktivirati automatsko ažuriranje OS-a (Start - Upravljačka ploča - Windows Update - Postavke - Odabir načina preuzimanja i instaliranja ažuriranja).
Ako ne koristite uslugu enkripcije koju nudi Windows, bolje je onemogućiti je jer neke izmjene ransomwarea koriste ovu funkciju za vlastite potrebe. Da biste ga onemogućili, trebate slijediti ove korake: Start - Upravljačka ploča - Administrativni alati - Usluge - Encrypting File System (EFS) i ponovno pokrenite sustav.
No, ako ste već koristili enkripciju za zaštitu bilo koje datoteke ili mape, tada trebate poništiti odgovarajuće potvrdne okvire (RMB - Svojstva - Atributi - Napredno - Šifriraj sadržaj radi zaštite podataka). Ako to ne učinite, nakon onemogućavanja usluge šifriranja izgubit ćete pristup tim informacijama. Lako je saznati koje su datoteke šifrirane - označene su zelenom bojom.
Ograničeno korištenje programa
Kako biste poboljšali sigurnost, možete blokirati pokretanje programa koji ne ispunjavaju navedene zahtjeve. Ove su postavke instalirane prema zadanim postavkama za Windows i programske datoteke.
Postavite lokalno pravila grupe možeš ti to:
Pritisnite Izvrši i unesite naredbu: gpedit.msc(“Start – Pokreni (Win+R) – secpol.msc”)
Odaberite:
- "Konfiguracija računala"
- "Konfiguracija sustava Windows"
- "Sigurnosne postavke"
- Desnom tipkom miša kliknite “Politika ograničenja softvera” i kliknite
Nakon toga trebate stvoriti pravilo koje zabranjuje pokretanje programa s bilo kojeg mjesta osim onih koji su dopušteni
Idite na odjeljak "Dodatna pravila" i pritisnite desnu tipku. U prozoru koji se pojavi kliknite na stavku "Stvori pravilo putanje"
U polje staze stavljamo zvjezdicu “*”, tj. bilo koji put i odaberite razinu sigurnosti: Zabranjeno.
I tako ćemo nastaviti raditi u "Politici ograničenja softvera" i desnom tipkom miša kliknuti na stavku "Aplikacija" i odabrati "Svojstva".
Ove postavke možete ostaviti kao zadane ili omogućiti da se primjenjuju na sve bez iznimke, a također možete prebaciti opciju za primjenu ograničene politike na sve osim na lokalne administratore (ako imate korisničke i administratorske račune na svom računalu).
A u stavci "Dodijeljene vrste datoteka" odaberite ekstenziju čije će vrste datoteka biti zabranjeno pokretanje. Ovaj prozor navodi proširenja koja su blokirana kada ih pokušate pokrenuti.
Bolje je dodati još jedno proširenje .js - java skripta.
Za učinkovito postavljanje trebat će neko vrijeme, ali rezultati su vrijedni toga.
Možete konfigurirati zabranu pokretanja određenih programa preko milja datoteka prema vlastitom nahođenju, ovisno o vašem zadatku i ciljevima.
Nakon toga je potrebno pokrenuti pravila, a za to idite na “Sigurnosne razine” i desnom tipkom miša kliknite na “Zabranjeno”. U prozoru koji se pojavi kliknite na “Default” i naša se pravila primjenjuju.
Savjetujemo vam da ne radite s administratorskim računom. To će smanjiti štetu uzrokovanu slučajnom infekcijom (Omogući administratorski račun - Postavi lozinku - Oduzmi administratorska prava trenutnom korisniku - Dodaj u grupu korisnika).
Za rad s administratorskim pravima u sustavu Windows postoji poseban alat - "Kontrola korisničkog računa", koji će sam tražiti lozinku za obavljanje operacija. Provjera postavki: Start - Upravljačka ploča - Računi korisnici - Promjena postavki kontrole korisničkog računa - Zadano - Obavijesti samo kada se pokušaju napraviti promjene na računalu
Kontrolne točke vraćanja sustava
Nažalost, ponekad virusi prevladaju sve razine zaštite. Stoga se morate moći vratiti u prethodno stanje sustava. Automatsko stvaranje kontrolnih točaka možete postaviti ovako: Moje računalo - RMB - Svojstva - Zaštita sustava - Postavke zaštite.
Obično je prema zadanim postavkama zaštita omogućena samo za pogon sustava, ali ransomware može oštetiti sadržaj svih particija. Za oporavak datoteka standardnim sredstvima ili Shadow Explorer, morate omogućiti zaštitu za sve diskove. Kontrolne točke zauzimaju nešto memorije, ali će spremiti podatke u slučaju infekcije.
Ransomware virusi odavno su poznata vrsta prijetnje. Pojavili su se otprilike u isto vrijeme kad i SMS banneri, te su čvrsto ukorijenjeni s potonjim na vrhu ljestvice ransomware virusa.
Model monetizacije ransomware virusa je jednostavan: blokira dio informacija ili cijelo računalo korisnika, a da bi se povratio pristup podacima potrebno je poslati SMS, elektronički novac ili nadopuniti stanje mobilnog broja putem terminal.
U slučaju virusa koji šifrira datoteke, sve je očito - za dešifriranje datoteka morate platiti određeni iznos.Štoviše, tijekom posljednjih nekoliko godina ti su virusi promijenili pristup svojim žrtvama. Ako su se ranije distribuirala prema klasičnim shemama putem Vareza, porno stranica, zamjene rezultata pretraživanja i masovne spam pošte, dok su zarazili računala običnih korisnika, sada se pisma šalju izravno, ručno, iz poštanskih sandučića na "normalnim" domenama - mail. ru, gmail itd. I pokušavaju zaraziti pravne osobe, gdje baze podataka i ugovori potpadaju pod šifre.
Oni. napadi su iz kvantitete prerasli u kvalitetu. U jednoj od tvrtki autor je slučajno naišao na okorjelog kriptografa koji je poštom stigao sa životopisom. Infekcija se dogodila odmah nakon otvaranja dosjea od strane kadrovskih službenika, tvrtka je samo tražila osoblje i dosje nije izazvao nikakvu sumnju. Bio je to docx s priloženim AdobeReader.exe :)
Najzanimljivije je da niti jedan heuristički i proaktivni senzor Kaspersky Anti-Virusa nije radio. Još dan ili 2 nakon infekcije dr.web i nod32 nisu otkrili virus
Pa što učiniti s takvim prijetnjama? Je li antivirus stvarno beskoristan?
Dani antivirusnih programa koji koriste samo potpis bliže se kraju..
G Data Total Protection 2015 — najbolja zaštita od ransomwarea
s ugrađenim backup modulom. Kliknite i kupite.
Za sve one koji su pogođeni akcijama ransomware - promotivni kod s popustom na kupnju G DATA - GDTP2015. Jednostavno unesite ovaj promotivni kod na blagajni.
Ransomware virusi ponovno su dokazali neuspjeh antivirusnih programa. SMS banneri su se svojedobno slobodno “stopili” u temp folder za korisnike i jednostavno lansirali na cijeli desktop i presretali pritiskanje svih servisnih kombinacija s tipkovnice.
Antivirusni program je u ovom trenutku radio izvrsno :) Kaspersky je, kao iu normalnom načinu rada, prikazao svoj natpis “Protected by Kaspersky LAB”.
Banner nije sofisticirani malware poput rootkita, već jednostavan program koji mijenja 2 ključa u registru i presreće unos s tipkovnice.
Virusi koji šifriraju datoteke dosegnuli su novu razinu prijevare. Ovo je opet običan program koji nije ugrađen u kod operativnog sustava, ne zamjenjuje sistemske datoteke i ne čita područja RAM-a drugih programa.
Jednostavno radi kratko vrijeme, generira javne i privatne ključeve, šifrira datoteke i šalje privatni ključ napadaču. Hrpa šifriranih podataka i datoteka s kontaktima hakera ostavljaju se na računalu žrtve za daljnje plaćanje.
Razumno je misliti: " Zašto vam je onda potreban antivirus ako može pronaći samo njemu poznate zlonamjerne programe?
Doista, antivirusni program je neophodan - on će zaštititi od svih poznatih prijetnji. Međutim, mnoge nove vrste zlonamjernog koda previše su teške za to. Kako biste se zaštitili od ransomware virusa, morate poduzeti mjere; sam antivirus nije dovoljan. I odmah ću reći: “Ako su vaše datoteke već šifrirane, u nevolji ste. Neće ih biti lako vratiti.”
:
Ne zaboravite na antivirus
Sigurnosno kopiranje važnih informacijskih sustava i podataka, svaka usluga ima svoj namjenski poslužitelj.
Sigurnosno kopirajte važne podatke.
:
Što učiniti sa samim virusom?
Neovisne radnje s šifriranim datotekama
Iskustvo komunikacije s antivirusnom tehničkom podrškom, što očekivati?
Kontaktirati policiju
Ubuduće poduzmite mjere opreza (vidi prethodni odjeljak).
Ako ništa drugo ne uspije, možda se isplati platiti?
Ako još niste postali žrtva ransomware virusa:
*Imajte antivirusni softver na svom računalu s najnovijim ažuriranjima.
Recimo otvoreno: "Antivirusi su loši u novim vrstama ransomwarea, ali rade izvrstan posao protiv poznatih prijetnji." Stoga je neophodno imati antivirusni program na radnoj stanici. Ako već ima žrtava, barem ćete izbjeći epidemiju. Koji antivirusni program odabrati ovisi o vama.
Iz iskustva, Kaspersky "jede" više memorije i procesorskog vremena, a za tvrde diskove prijenosnika s 5200 okretaja u minuti to je katastrofa (često s kašnjenjem čitanja sektora od 500 ms..) Nod32 je brz, ali malo hvata. Možete kupiti GDATA antivirus - najbolja opcija.
*Sigurnosno kopiranje važnih informacijskih sustava i podataka. Svaki servis ima svoj server.
Stoga je vrlo važno sve usluge (1C, porezni obveznik, određene automatizirane radne stanice) i sav softver o kojem ovisi život tvrtke premjestiti na zaseban server, ili još bolje, na terminal. Još bolje, postavite svaku uslugu na vlastiti poslužitelj (fizički ili virtualni - odlučite sami).
Ne pohranjujte 1C bazu podataka javno na mreži. Mnogi ljudi to rade, ali to je pogrešno.
Ako je rad s 1c organiziran preko mreže sa zajedničkim pristupom čitanja/pisanja za sve zaposlenike, premjestite 1c na terminalski poslužitelj i pustite korisnike da rade s njim preko RDP-a.
Ako ima malo korisnika i nema dovoljno novca za poslužiteljski OS, možete koristiti obični Windows XP kao terminalski poslužitelj (pod uvjetom da se ukinu ograničenja broja istovremenih veza, tj. trebate zakrpati). Iako, jednako lako možete instalirati nelicenciranu verziju Windows poslužitelj. Srećom, Microsoft vam omogućuje da ga koristite, a kupite i aktivirate kasnije :)
Rad korisnika s 1c putem RDP-a, s jedne strane, smanjit će opterećenje mreže i ubrzati rad 1c, s druge strane, spriječit će zarazu baza podataka.
Pohranjivanje datoteka baze podataka na mreži sa zajedničkim pristupom nije sigurno, ali ako nema drugih izgleda, pobrinite se za sigurnosno kopiranje (pogledajte sljedeći odjeljak.)
*Izradite sigurnosnu kopiju važnih podataka.
Ako još niste napravili sigurnosne kopije, budala ste, oprostite mi. Ili pozdravite svog administratora sustava. Sigurnosne kopije vas spašavaju ne samo od virusa, već i od neopreznih zaposlenika, hakera i na kraju oštećenih tvrdih diskova.
Kako i što sigurnosno kopirati možete pročitati u zasebnom članku o . GDATA antivirus, na primjer, ima rezervni modul u dvije verzije - potpuna zaštita i sigurnost krajnje točke za organizacije ( možete kupiti GDATA potpunu zaštitu).
Ako pronađete šifrirane datoteke na svom računalu:
*Što učiniti sa samim virusom?
Isključite računalo i kontaktirajte računalni servis + podršku za vaš antivirus. Ako imate sreće, tijelo virusa još nije izbrisano i može se koristiti za dešifriranje datoteka. Ako nemate sreće (što je čest slučaj), virus nakon šifriranja podataka šalje privatni ključ napadačima i uklanja sve tragove o sebi. To je učinjeno kako se ne bi moglo utvrditi kako i kojim algoritmom su šifrirani.
Ako još uvijek imate pismo sa zaraženom datotekom, nemojte ga brisati. Pošaljite ga u Antivirusni laboratorij popularnih proizvoda. I nemoj ga više otvarati.
*Neovisne radnje s šifriranim datotekama
Što možeš učiniti:
Obratite se antivirusnoj podršci, dobijte upute i, eventualno, dekriptor za svoj virus.
Napišite izjavu policiji.
Potražite na internetu iskustva drugih korisnika koji su se već susreli s ovim problemom.
Poduzmite mjere za dešifriranje datoteka, prvo ih kopirajte u zasebnu mapu.
Ako imate Windows 7 ili 8, možete vratiti prethodne verzije datoteka (desni klik na mapu s datotekama). Opet, ne zaboravite ih prvo kopirati.
Što ne raditi:
Ponovno instalirajte Windows
Izbrišite šifrirane datoteke, preimenujte ih i promijenite ekstenziju. Naziv datoteke vrlo je važan pri dešifriranju u budućnosti
*Iskustvo u komunikaciji s antivirusnom tehničkom podrškom, što očekivati?
Kada je jedan od naših klijenata uhvatio crypto-virus.hardended, koji još nije bio u antivirusnim bazama podataka, zahtjevi su poslani na dr.web i Kaspersky.
Svidjela nam se tehnička podrška u dr.webu, odmah su se pojavile povratne informacije i čak su dali savjete. Štoviše, nakon nekoliko dana iskreno su rekli da ne mogu ništa i odustali detaljne upute o načinu slanja zahtjeva putem nadležnih tijela.
U Kaspersky, naprotiv, bot je prvi odgovorio, a zatim je bot izvijestio da bi instalacija antivirusa s najnovijim bazama podataka riješila moj problem (da vas podsjetim, problem su stotine šifriranih datoteka). Tjedan dana kasnije status mog zahtjeva promijenio se u "poslan antivirusnom laboratoriju", a kada se autor nekoliko dana kasnije skromno raspitao o sudbini zahtjeva, predstavnici Kasperskog su odgovorili da nećemo dobiti odgovor od laboratorija. ipak smo, kažu, čekali.
Nakon nekog vremena stiže mi poruka da je moj zahtjev zatvoren s ponudom za ocjenu kvalitete usluge (sve to dok se još čeka odgovor iz laboratorija).. “Jebi se!” - pomislio je autor.
NOD32 je, inače, počeo hvatati ovaj virus treći dan nakon pojave.
Princip je sljedeći: sami ste sa svojim šifriranim datotekama. Laboratoriji velikih antivirusnih marki pomoći će vam samo ako imate ključ za odgovarajući antivirusni proizvod a ako u kripto virus ima ranjivost. Ako su napadači šifrirali datoteku pomoću nekoliko algoritama odjednom i više puta, najvjerojatnije ćete morati platiti.
Izbor antivirusa je vaš, nemojte ga zanemariti.
*Obratite se policiji
Ako ste postali žrtva kripto virusa i pretrpjeli ste bilo kakvu štetu, čak iu obliku šifriranih osobnih podataka, možete se obratiti policiji. Upute za primjenu itd. Tamo je .
*Ako ništa drugo ne uspije, bi li se isplatilo platiti?
S obzirom na relativnu neaktivnost antivirusa u odnosu na ransomware, ponekad je lakše platiti napadače. Za učvršćene datoteke, na primjer, autori virusa traže oko 10 tisuća rubalja.
Za druge prijetnje (gpcode, itd.) cijena se može kretati od 2 tisuće rubalja. Najčešće se taj iznos pokaže manjim od gubitaka koje nedostatak podataka može prouzročiti i nižim od iznosa koji vam majstori mogu tražiti za ručno dekriptiranje datoteka.
Ukratko, najbolja zaštita od ransomware virusa je sigurnosno kopiranje važnih podataka s poslužitelja i korisničkih radnih stanica.
Na vama je da odlučite što ćete učiniti. Sretno.
Korisnici koji čitaju ovaj post obično čitaju:
U kontaktu s
Pozdrav svima, dragi prijatelji i čitatelji. Ruslan Miftakhov, autor ovog bloga, javlja se za one koji ne znaju.
U ovom članku želim raspravljati o senzacionalnoj temi napada virusa diljem svijeta koji je započeo u petak, 12. svibnja ove godine. Dajte i nekoliko savjeta o tome kako se zaštititi od ransomwarea i sačuvati važne podatke na računalu.
Ako čitate moj blog, znate da se bavim popravkom računala. Ovo mi je više hobi nego posao. Dakle, koliko se sjećam, do 2013. blokiranje virusa je bilo uobičajeno.
Prilikom učitavanja sustava iskočila je poruka s raznoraznim prijetećim natpisima, ponekad s pornografskim slikama. Ostalo mi je čak nekoliko fotografija takvih blokera. Evo jednog od njih.
Nekoliko mi je klijenata priznalo da su uplaćivali novac prevarantima i na kraju pozvali stručnjaka da ukloni ovaj virus. Jedan je čak tri puta platio 500 rubalja na različitim terminalima, misleći da će kod za otključavanje vjerojatno biti ispisan u drugom. Kao rezultat toga, nazvala me i uklonio sam ovaj virus za 5-10 minuta.
Negdje 2013. prvi put sam se susreo s virusom šifriranja u našem gradu, kada su počele stizati aplikacije ovakve vrste poput wannacry. Na primjer, evo virusa ebole kojeg sam slikao za uspomenu.
Naravno, sam virus nije bilo teško ukloniti s računala, ali šifrirane podatke nije bilo moguće dešifrirati, već je tu mogao pomoći samo odgovarajući dekriptor.
Kako virus djeluje
Virus se uglavnom širi putem e-pošte. Stiže pismo s predmetom ruskog Ministarstva unutarnjih poslova ili sudska odluka ili porezna uprava, općenito se igra na radoznalosti korisnika pa on otvori pismo. A u tom pismu je priložena datoteka, taj isti ransomware virus.
Nakon što prodre u računalo, virus počinje kriptirati sve fotografije, videozapise i dokumente. Čini se da su datoteke na računalu, ali se ne mogu otvoriti. To je problem, a kako bi dešifrirali podatke, prevaranti traže 15-20 tisuća rubalja.
Naravno, ako datoteke imaju svoju vrijednost, a nema kopija, korisnik sklapa dogovor s prevarantima. Nisam čuo takve slučajeve, nitko ne voli reći da je postao žrtva prevaranata.
Čak su zvali upravu u jednu kuću, gdje sam vidio takvu sliku.
Prema riječima računovođe, primljena je e-pošta s predmetom od uprave. Nakon otvaranja, u priloženim datotekama nalazio se navodno važan dokument koji je trebalo otvoriti i pročitati. Pa, onda sve sami razumijete: otvaranjem ove datoteke virus se pokreće i šifrira sve što ne stigne na računalo.
I to sve prije porezne kontrole, da li je to slučajnost ili je postojao razlog;)
Zašto ljudi plaćaju prevarantima?
Ovdje je u igri suptilna psihologija, u slučaju virusa blocker puštane su bezobrazne slike s natpisom da ste se penjali po nepristojnim stranicama i pohranjivali fotografije s dječjom pornografijom, a to je kažnjivo zakonom po članku takav i takav. Neki ljudi su povjerovali u tu glupost i platili, ali drugi jednostavno nisu htjeli da to vide njihovi rođaci i platili su, nadajući se da će bloker nestati nakon plaćanja. Da, naivno.
U slučaju virusa wanna cry, prevaranti očekuju da će šifrirane datoteke biti vrlo potrebne i važne za korisnika te da će on platiti. Ali ovdje iznos više nije 500-1000 rubalja, kao u prvom slučaju. A prevaranti vjerojatno ciljaju veću igru.
Razmislite samo o prosječnom korisniku koji bi platio 500 dolara za izgubljeni predmet. obiteljska fotografija video arhivu ili za rad na tečaju ili disertaciji.
Ovdje su cilj prilično velike tvrtke i državne korporacije, što se dogodilo s Megafonom, Beelineom i nizom drugih. Mislite li da će platiti 500 dolara da obnove svoju bazu?
Oni će platiti ako nema kopije naravno. Ako postoji kopija, nema pitanja, sve se ruši i ponovno se instalira sigurnosna kopija. Izgubiće 2, 3 sata, ali će sve raditi kako je radilo.
Kako se zaštititi od ransomwarea
- Prvo što trebate učiniti je prikupiti važne podatke. Preporučam imati barem tri primjerka na različitim medijima. Kopiraj na flash pogon, na vanjski HDD, čuvajte kopiju u Mail oblaku, Yandex disku ili drugim uslugama za pohranu u oblaku.
- Ažurirajte redovito ručno operacijski sustav. Čak i ako Windows nije ažuriran, Nod32 antivirus će otkriti i blokirati WannaCry i njegove izmjene.
- Biti na oprezu i ne otvarati sumnjiva pisma, za to je naravno potrebno iskustvo kako bi se osjetilo koja pisma ne treba otvarati.
- Mora biti instaliran antivirusni program s valjanom licencom i stalno ažuriranom bazom podataka. Preporučam antivirus Eset Nod 32 Smart Security.
Da biste kupili antivirusni program uz popust, kliknite na gumb ispod.
Nakon uplate na vama prikladan način, na Vašu naznaku email adresa Dobit ćete licencni ključ i poveznicu za preuzimanje antivirusnog programa.
Ako slijedite ove točke, tada se nećete bojati nikakvog virusa, čak ni ransomwarea. A ti ćeš pjevati kao u crtiću “Tri praščića”: ne bojimo se vuka sivog, vuka strašnog, vuka starog :)
Eto, to je sve, upozorio sam te, ali sam upozoren, pa što? Tako je - naoružani.
Podijelite ovaj članak kako vaši prijatelji, poznanici i rodbina ne bi upali u ralje prevaranata.
Srdačan pozdrav, Ruslan Miftakhov
