Tentokrát sme skontrolovali, ako si zložité nástroje antivírusovej ochrany poradia s ransomvérovými trójskymi koňmi. Na tento účel bol urobený výber ransomvéru a dokonca bol napísaný samostatný program, ktorý napodobňuje akcie neznámeho šifrovacieho trójskeho koňa. Jeho podpis sa rozhodne nenachádza v databázach žiadneho účastníka dnešného testovania. Pozrime sa, čo dokážu!
POZOR
Článok je napísaný na výskumné účely. Všetky informácie v ňom uvedené slúžia len na informačné účely. Všetky vzorky sa získavajú z otvorených zdrojov a posielajú sa vírusovým analytikom.
Staré prostriedky na nové hrozby
Klasické antivírusy málo chránia pred trójskymi koňmi, ktoré šifrujú súbory a za ich dešifrovanie požadujú výkupné. Technicky takýto ransomvér pozostáva úplne alebo takmer výlučne z legitímnych komponentov, z ktorých každý sám o sebe nevykonáva žiadne škodlivé akcie. Malvér ich jednoducho spojí do reťazca, čo vedie ku katastrofálnemu výsledku – používateľ je zbavený možnosti pracovať so svojimi súbormi, kým ich nedešifruje.
IN V poslednej dobe Na ochranu pred ransomwarovými trójskymi koňmi sa objavilo mnoho špecializovaných nástrojov. Buď sa pokúšajú vykonať analýzu bez podpisu (t. j. identifikovať nové verzie ransomvéru podľa ich správania, reputácie súboru a iných nepriamych znakov), alebo jednoducho zakážu akýmkoľvek programom vykonávať zmeny potrebné pre akcie ransomvéru.
Videli sme, že takéto nástroje sú prakticky zbytočné. Ani tie najprísnejšie obmedzenia v nich nastavené (pod ktorými už nie je možné normálne pracovať) neposkytujú spoľahlivú bariéru proti ransomvérovým trójskym koňom. Tieto programy zabraňujú niektorým infekciám, ale to vytvára iba falošný pocit bezpečia pre používateľa. Stáva sa neopatrnejším a ešte rýchlejšie sa stáva obeťou ransomvéru.
Hlavným problémom v boji proti klasickým ransomware trójskym koňom je, že všetky ich akcie sa vykonávajú iba s používateľskými súbormi a neovplyvňujú systémové komponenty. Používateľovi nemožno zabrániť v zmene a odstraňovaní svojich súborov. V správaní kvalitných predstaviteľov ransomvéru je veľmi málo zjavných rozlišovacích znakov alebo úplne chýbajú. Pri sieťovom pripojení teraz beží väčšina programov (aspoň na kontrolu aktualizácií) a dokonca aj v textových editoroch sú zabudované funkcie šifrovania.
Ukazuje sa, že po nástrojoch preventívnej ochrany nezostali žiadne zjavné znaky, ktoré by pomohli rozlíšiť nasledujúceho šifrujúceho trójskeho koňa od legitímneho programu. Ak sa podpis trójskeho koňa nenachádza v databázach, šanca, že ho antivírus zaznamená, je veľmi malá. Heuristický modul reaguje len na hrubé úpravy známeho ransomvéru a analyzátor správania zvyčajne nezaznamená vôbec žiadnu podozrivú aktivitu.
Zálohy Zálohy sú rôzne!
V súčasnosti sú ransomvérom infikované tisíce počítačov denne a spravidla rukami samotných používateľov. Antivírusové spoločnosti akceptujú aplikácie na dešifrovanie súborov (bezplatne od svojich klientov), ale ani ich analytici nie sú všemocní. Niekedy je možné zhromaždiť príliš málo údajov na úspešné dešifrovanie alebo samotný algoritmus trójskych koní obsahuje chyby, ktoré znemožňujú obnovenie súborov v ich pôvodnej podobe. Teraz sa žiadosti o dešifrovanie spracovávajú od dvoch dní do šiestich mesiacov a počas tejto doby mnohé z nich jednoducho stratia svoj význam. Zostáva hľadať ďalšie prostriedky ochrany, nespoliehať sa na antivírusový skener.
Záložné kópie boli po dlhú dobu univerzálnou ochranou proti akýmkoľvek vírusovým útokom. V prípade novej infekcie malvérom bolo možné jednoducho všetko obnoviť zo zálohy, prepísať zašifrované súbory ich pôvodnými verziami a vrátiť všetky nechcené zmeny. Moderné ransomvérové trójske kone sa však naučili detekovať a poškodzovať aj zálohy. Ak sú nakonfigurované automatické vytváranie, potom je záložné úložisko pripojené a zapisovateľné. Pokročilý trójsky kôň skontroluje všetky lokálne, externé a sieťové disky, určí adresár so zálohami a zašifruje ich alebo odstráni s prepísaním voľného miesta.
Manuálne zálohovanie je príliš únavné a nespoľahlivé. Je ťažké vykonávať takúto operáciu denne a počas dlhšieho obdobia sa nahromadí množstvo relevantných údajov, ktoré sa už nebudú dať obnoviť. Ako byť?
Väčšina vývojárov dnes ponúka okrem klasických antivírusov aj komplexné bezpečnostné riešenia. Teraz okrem firewallu, IDS a ďalších známych komponentov obsahujú novinku – bezpečné zálohovacie úložisko. Na rozdiel od bežného adresára so zálohami má k nemu prístup iba samotný antivírus a riadi ho jeho ovládač. Externá správa adresára je úplne zakázaná - ani správca ho nemôže otvoriť alebo odstrániť cez správcu súborov. Pozrime sa, aký dobrý je tento prístup.
Metodika testovania
Pre naše experimenty sme vytvorili klony virtuálneho stroja s čistým Windowsom 10 a najnovšími záplatami. Každý z nich mal nainštalovaný vlastný antivírus. Hneď po aktualizácii databáz sme skontrolovali reakciu antivírusu na testovaciu zostavu a náš simulátorový program. Testovacia sada obsahovala 15 vzoriek. Z toho bolo 14 rôznych modifikácií známych ransomvérových trójskych koní a pätnástym bol sťahovací trójsky kôň, ktorý stiahol ďalší ransomvér zo vzdialenej stránky.
Všetky vzorky mali príponu .tst bez ohľadu na skutočný formát súboru. Program špeciálne napísaný pre tieto testy s nekomplikovaným názvom EncryptFiles napodobňoval typické správanie šifrovacieho trójskeho koňa. Pri spustení s predvolenými nastaveniami okamžite bez akýchkoľvek otázok zašifroval obsah súborov z adresára Moje dokumenty. Pre prehľadnosť sme uložili echo správy v programe a umiestnili niekoľko textových súborov v kódovaní OEM-866 do adresára s dokumentmi aktuálneho používateľa, aby sa ich obsah okamžite zobrazil priamo v konzole. Jeden súbor obsahoval citáty z diel Strugackých (obyčajný neformátovaný text) a druhý súbor obsahoval parametre objektívu vo forme tabuľky (formátovaný text).
Po inštalácii a aktualizácii každého antivírusu boli vzorky ransomvéru skopírované do adresára Downloads zo sieťového priečinka pripojeného v režime Iba na čítanie. Potom boli skopírované súbory dodatočne skontrolované antivírusom (vynútená kontrola na požiadanie) v predvolenom nastavení. Zvyšným vzorkám po kontrole bolo pridelené ich skutočné rozšírenie, po ktorom boli spustené. Ak nedošlo k infekcii systému, skontrolovala sa reakcia antivírusu na program simulátora. V prípade úspešného zašifrovania súborov sme sa pokúsili obnoviť ich pôvodné verzie pomocou antivírusových nástrojov a výsledok sme zaprotokolovali.
Kaspersky Total Security
V jednom z testovacích virtuálnych počítačov sme nainštalovali Kaspersky Total Security, ktorý prisľúbil „ochranu pred ransomwarom, aby malvér nepoškodil súbory“. KTS rozpoznal takmer všetky hrozby pri pokuse skopírovať vzorky ransomvéru zo sieťového priečinka.
Len jeden súbor z pätnástich sa dostal do adresára "Downloads" - nd75150946.tst - toto je len Trojan.Downloader a je už dlho známy. Po jeho dodatočnom overení na žiadosť KTS bol súbor opäť považovaný za bezpečný. Štyridsaťpäť vírusových skenerov na VirusTotal nesúhlasilo.
Tento vzor sme otvorili pomocou Hex editora, aby sme určili jeho skutočné rozšírenie. Známy nadpis 50 4B 03 04 a názov ďalšieho súboru vo vnútri - samozrejme, máme ZIP archív. V archíve sa nachádzal podozrivý súbor: jeho ikona zodpovedala dokumentu PDF a prípona bola .scr - šetrič obrazovky, to znamená, že je to spustiteľný kód.
Pri pokuse o spustenie súboru s príponou .scr z archívu KTS zablokoval jeho automaticky rozbalenú kópiu v dočasnom adresári používateľa. Na základe výsledkov cloudovej analýzy cez sieť KSN identifikoval tento súbor ako neznámy škodlivý objekt a navrhol ho vymazať reštartom. V tomto prípade išlo o mimoriadne opatrenie, pretože trójsky kôň nezískal kontrolu a mohol byť akýmkoľvek spôsobom vymazaný, ako normálny súbor.
Je pozoruhodné, že Kaspersky Total Security sa nepoučí zo svojich chýb. Keď bol archív znova skontrolovaný, opäť sa zistilo, že je čistý, hoci súbor z neho rozbalený práve spustil spúšť na základe výsledkov analýzy v KSN.
Na začiatku ďalšej fázy testovania sme skontrolovali počiatočný stav adresára Moje dokumenty a zobrazili z neho do konzoly obsah niekoľkých textových súborov.
Potom sme otvorili modul „Zálohovanie a obnovenie“ a zálohovali tieto dokumenty do priečinka Zálohovanie priamo na systémovom oddiele. V reálnej situácii by ste si mali zvoliť iné umiestnenie (napríklad externý disk), no pre náš test je to jedno. V každom prípade je prístup k tomuto priečinku riadený pomocou KTS a trójske kone s ním nemôžu interagovať prostredníctvom štandardného ovládača súborového systému.
Pomocou štandardných nástrojov môže aj správca zobraziť iba vlastnosti tohto priečinka. Keď sa ho pokúsite zadať, automaticky sa spustí správca zálohovania KTS a požiada vás o zadanie hesla, ak bolo nastavené skôr.
Samotný správca záloh je od Kaspersky veľmi jasný. Môžete si vybrať štandardné adresáre, zadať svoje vlastné alebo vylúčiť jednotlivé súbory. Počet súborov každého typu sa okamžite zobrazí v okne vľavo a ich veľkosť - vo vlastnostiach vpravo.
Okrem zapisovania záloh na lokálne a vymeniteľné disky KTS podporuje ich odosielanie do Dropboxu. Používanie cloudového úložiska je výhodné najmä vtedy, ak malvér bráni spusteniu počítača a pripájaniu externých médií.
KTS ignoroval náš simulátorový program. Potichu zašifrovala súbory a zmenila ich obsah na nezmysel. Odmietnutie prístupu k podadresárom Moje videá, Obrázky a Hudba je chybou v samotnom programe, ktorá žiadnym spôsobom neovplyvňuje jeho schopnosť šifrovať súbory v %USERPROFILE%Documents.
Ak sa v našom programe funkcia dešifrovania vykoná jednoducho pri spustení kľúčom /decrypt, potom v prípade trójskych koní nie je vždy spustená ani po splnení požiadaviek na výkupné. Jedinou dostatočne rýchlou možnosťou na obnovenie zašifrovaných súborov je v tomto prípade ich prepísanie z predtým vytvorenej zálohy. Len niekoľkými kliknutiami sme selektívne obnovili jeden zo zašifrovaných súborov na pôvodné miesto. Podobne môžete obnoviť jeden alebo viac celých adresárov.
Dr.Web Security Space
Podobne ako KTS, Dr.Web SS zistil 14 z 15 vzoriek už pri pokuse o ich skopírovanie do adresára Downloads.
Na rozdiel od KTS však vo zvyšnej vzorke stále detekoval Trojan.Downloader po zmene jeho rozšírenia na ZIP a spustení nútenej kontroly.
Väčšina nastavení Dr.Web SS je predvolene vypnutá. Ak ju chcete aktivovať, musíte najskôr kliknúť na ikonu zámku a zadať heslo, ak je nastavené.
Zálohy sa vytvárajú v Dr.Web SS pomocou nástroja Data Loss Prevention. Dostupné nastavenia sú minimálne. Môžete si vybrať štandardné vlastné adresáre na zálohovanie alebo zadať svoje vlastné, nastaviť jeden z vybratých limitov veľkosti kópií, určiť umiestnenie záloh a nastaviť plán zálohovania. Nahrávanie na cloudové úložiská nepodporuje Dr.Web SS, takže sa musíte obmedziť na lokálne disky.
Ochrana adresára so zálohami v Dr.Web SS je agresívnejšia ako v KTS. Správca nemôže ani zobraziť jeho vlastnosti cez prieskumníka.
Urobili sme záložné kópie dokumentov a pristúpili k druhej časti testu.
Imitátor Dr.Web SS ho nepoznal a nijako nezasahoval do jeho chodu. V zlomku sekundy boli všetky súbory zašifrované.
Opätovným spustením Data Loss Prevention sme obnovili pôvodné súbory. Vôbec však neprežili tam, kde očakávali.
Pri zadaní cieľového priečinka „Moje dokumenty“ sa v ňom automaticky vytvorí podadresár s aktuálnym dátumom a časom ako názvom. Uložené súbory sú už rozbalené zo zálohy do nej a s obnovením všetkých relatívnych ciest. Výsledkom je extrémne nepohodlná dlhá cesta, ktorá by mohla ľahko prekročiť bežný limit 255 znakov.
Norton Security Premium
Keď si spomenuli na Norton Ghost, ktorý sa stal štandardom zálohovania v deväťdesiatych rokoch, bolo ľahké predpovedať výskyt takejto funkcie v antivírusoch Symantec. Je prekvapujúce, že prešli dve desaťročia, kým sa toto samozrejmé riešenie stalo žiadaným. Nebolo by šťastia, ale pomohlo nešťastie.
Pri pokuse o skopírovanie adresára vzoriek ransomvéru NSP zistilo a umiestnilo do karantény 12 z 15 hrozieb.
Všetky tri zostávajúce súbory sú pri analýze VirusTotal rozpoznané ako škodlivé, vrátane dvoch z nich antivírusom Symantec. Ide len o to, že predvolené nastavenia sú urobené tak, aby NSP pri kopírovaní nekontrolovalo niektoré súbory. Prebieha vynútená kontrola... a NSP nájde ďalšie dva trójske kone v rovnakom adresári.
Rovnako ako predchádzajúce antivírusy, aj NSP ponecháva sťahovanie trójskych koní v premenovanom archíve ZIP. Pri pokuse o spustenie súboru .scr z archívu NSP zablokuje spustenie rozbalenej kópie trójskeho koňa z dočasného adresára aktuálneho používateľa. Samotný archív nie je v tomto prípade nijako spracovaný.
Archív sa považuje za čistý aj v prípade, že je opätovne skontrolovaný ihneď po zistení trójskeho koňa, ktorý bol z neho vybalený. Nápis vyzerá obzvlášť vtipne: „Ak podľa vás stále existujú hrozby, kliknite sem.“ Keď naň kliknete, databázy sa aktualizujú (alebo nie, ak sú už čerstvé).
Prekvapivo, niektoré staršie vzorky ransomvéru stále zisťuje NSP iba pomocou heuristického analyzátora a cloudových skenovacích nástrojov. Zdá sa, že virológovia Symantecu sú príliš leniví na to, aby udržiavali databázy aktuálne. Ich antivírus len blokuje všetko podozrivé a čaká na reakciu používateľa.
Druhá etapa testovania bola tradičná. Zálohovali sme súbory z adresára Moje dokumenty a potom sme sa ich pokúsili zašifrovať.
Správca záloh v NSP najskôr potešil svojou logikou. Používa klasické „Čo? Kde? Kedy?", známy z predsovietskych čias. V modernej verzii je však zatienená nadmernou abstraktnosťou. Namiesto priameho výpisu objektov s úplnými cestami a súbormi podľa prípon sa používa ich virtuálne umiestnenie a podmienené zoskupenie podľa typov. Zostáva zistiť, ktoré súbory NSP považuje za súvisiace s finančnými informáciami a ktoré jednoducho umiestni do sekcie „Iné“.
Ďalšie nastavenia sú možné (napríklad pomocou odkazu „Pridať alebo vylúčiť súbory a priečinky“), ale je veľmi ťažké ich vykonať. Kvôli niekoľkým súborom (každý má menej ako kilobajt) stále musíte zálohovať polovicu adresárového stromu a všelijaké svinstvá ako desktop.ini a sprievodca zálohovaním navrhuje zachovať to na CD-R. Zdá sa, že 21. storočie neprišlo pre každého.
Na druhej strane majú používatelia NSP k dispozícii 25 GB zálohy v cloude. Ak tam chcete nahrať zálohy, stačí ako cieľ vybrať „Zabezpečené sieťové úložisko“.
Po vytvorení lokálnej zálohy sme spustili program, ktorý napodobňuje činnosť trojského šifrovacieho zariadenia. NSP jej nijako nezasahovala a umožnila jej šifrovanie súborov.
Ich obnovenie zo zálohy bolo rýchlejšie a pohodlnejšie ako v Dr.Web SS. Stačilo potvrdiť prepísanie a súbory v pôvodnej podobe okamžite skončili na pôvodných miestach.
K7 Ultimate Security
Predtým sa tento produkt od indickej spoločnosti K7 Computing nazýval Antivirus Plus. S menami tohto vývojára a teraz je trochu zmätok. Napríklad distribúcia K7 Total Security nemá nástroje na zálohovanie. Preto sme testovali verziu Ultimate – jedinú, ktorá dokáže zálohovať.
Na rozdiel od antivírusov známych v Rusku bol tento vývoj v našich testoch čiernym koňom. Slovné spojenie „indický kód“ je medzi programátormi považované za prekliatie a veľa sme od toho nečakali. Ako ukázali testy - márne.
K7 Ultimate Security je prvý antivírus, ktorý okamžite rozpoznal všetkých 15 hrozieb z nášho výberu. Neumožňoval ani skopírovanie vzoriek do adresára Downloads a zmazal by ich priamo v sieťovom priečinku, ak by nebol pripojený v režime Iba na čítanie.
Dizajn programu je maskáčovo-oceľový. Zdá sa, že vývojári radi hrajú tanky alebo sa týmto spôsobom jednoducho snažia vyvolať asociácie s niečím spoľahlivým. Možnosti zálohovania v K7 sú nastavené v podstate rovnakým spôsobom ako v NSP. Celkovo je však rozhranie K7 menej preplnené a ľahšie sa dostanete k jemnejším detailom.
K7 nereagoval na spustenie programu simulátora a šifrovanie súborov. Ako vždy som musel obnoviť originály zo zálohy.
Pohodlne si pri obnove môžete vybrať jednotlivé súbory a zapísať ich na pôvodné miesto. V kladnej odpovedi na žiadosť o prepísanie existujúceho súboru sme lenses.txt obnovili niekoľkými kliknutiami na jeho pôvodné miesto.
V rámci tohto testu už k práci K7 nie je čo dodať. Úspech je úspech.
závery
Napriek dobrým výsledkom testov boli celkové závery sklamaním. Dokonca plné verzie Populárne platené antivírusy preskočia niektoré varianty ransomvéru v predvolených nastaveniach. Vlastné skenovanie na požiadanie tiež nezaručuje bezpečnosť skenovaných súborov. Pomocou primitívnych trikov (ako je zmena rozšírenia) sa odhaleniu vyhýbajú aj známe modifikácie trójskych koní. Nový malvér sa pred vypustením do voľnej prírody takmer vždy skontroluje, či nie je detekovaný.
Nespoliehajte sa na analyzátor správania, cloudové overenie, charakteristiky reputácie súborov a iné nástroje na analýzu bez podpisu. Z týchto metód existuje určitý zmysel, ale veľmi malý. Dokonca aj náš primitívny simulátorový program s nulovou reputáciou a bez nej digitálny podpis nie je blokovaný žiadnym antivírusom. Rovnako ako mnoho ransomvérových trójskych koní obsahuje veľa nedostatkov, ale to mu nebráni v šifrovaní súborov bez prekážok ihneď po spustení.
Automatické zálohovanie používateľských súborov nie je dôsledkom pokroku, ale nevyhnutným opatrením. Docela efektívne to môže byť len s neustálou ochranou záložného úložiska pomocou samotného antivírusu. Bude však účinný presne dovtedy, kým sa antivírus nevytiahne z pamäte alebo sa vôbec neodinštaluje. Preto sa vždy oplatí vytvoriť ďalšie kópie na niektorých zriedkavo pripojených médiách alebo ich nahrať do cloudu. Samozrejme, ak dostatočne dôverujete poskytovateľovi cloudu.
Dnes už mnohí zažili výsledky konania kyberzločincov, ktorých hlavnou zbraňou sú šifrovacie vírusy. Hlavným cieľom je s ich pomocou vymámiť peniaze od používateľov. Za odomknutie osobných súborov možno žiadať desiatky tisíc hrivien a milióny od majiteľov firiem (napríklad za zablokovanú databázu 1C).
Dúfame, že naše rady pomôžu čo najlepšie zabezpečiť vašu databázu.
Antivírusová ochrana
Samozrejme, hlavným prostriedkom ochrany je antivírus. Nezabudnite sledovať relevantnosť antivírusového programu, pretože vírusové databázy sa automaticky (bez zásahu používateľa) aktualizujú niekoľkokrát denne. Musíte pravidelne sledovať vznik nových spoľahlivých antivírusových programov a pridávať ich do svojich produktov.
Jedným z takýchto programov je cloudová služba ESET LiveGrid®, ktorá blokuje vírus ešte pred jeho vstupom do antivírusovej databázy. Systém ESET okamžite analyzuje podozrivý program a určí stupeň jeho nebezpečnosti, v prípade podozrenia na vírus sú procesy programu zablokované.
Môžete tiež použiť bezplatný antivírus AVG, je samozrejme o niečo horší ako ESET, ale má dobrý stupeň ochrany pred vírusmi a pre úplnú ochranu si môžete kúpiť licenciu na AVG
Začiatkom roka 2017 otestovali odborníci z MRG Effitas 16 obľúbených antivírusových produktov pre domácich používateľov na 64-bitovom operačnom systéme Microsoft Windows 10. Testy spoľahlivosti antivírusov použili 386 rôznych vzoriek malvéru vrátane 172 trójskych koní, 51 zadných vrátok, 67 bankového malvéru, 69 ransomvéru a 27 potenciálne nebezpečných a adware.
Tu sú výsledky testov
Podľa tohto diagramu môžete určiť najlepší bezplatný antivírus roku 2017, ako aj najlepší platený antivírus, a ktorý si už nainštalujete, aby ste sa chránili na počítači alebo notebooku, je len na vás.
Ak vaša voľba padla na platený antivírus a vy ste sa rozhodli pre NOD32, určite si môžete skontrolovať, či je povolená funkcia ESET LiveGrid®, môžete to urobiť takto: ESET NOD32 - Pokročilé nastavenia - Pomôcky - ESET LiveGrid® - Povoliť ESET LiveGrid ® reputačný systém.
Útočníci vždy dúfajú, že používatelia nemali čas na inštaláciu Najnovšie aktualizácie a budú môcť zneužiť zraniteľné miesta v softvér. V prvom rade ide o operačný systém Windows, preto je potrebné skontrolovať a aktivovať automatické aktualizácie OS (Štart - Ovládací panel - Windows Update - Nastavenia - Vyberte spôsob sťahovania a inštalácie aktualizácií).
Ak nepoužívate službu šifrovania, ktorá je poskytovaná v systéme Windows, je lepšie ju zakázať, pretože niektoré úpravy ransomvéru používajú túto funkciu na svoje vlastné účely. Ak ho chcete zakázať, postupujte podľa týchto krokov: Štart - Ovládací panel - Nástroje na správu - Služby - Systém šifrovaných súborov (EFS) a reštartujte systém.
Ak ste však už použili šifrovanie na ochranu akýchkoľvek súborov alebo priečinkov, musíte zrušiť začiarknutie príslušných políčok (RMB - Vlastnosti - Atribúty - Pokročilé - Šifrovať obsah na ochranu údajov). Ak tak neurobíte, po deaktivácii šifrovacej služby stratíte prístup k týmto informáciám. Zistenie, ktoré súbory boli zašifrované, je jednoduché – sú zvýraznené zelenou farbou.
Obmedzené používanie programov
Ak chcete zvýšiť úroveň zabezpečenia, môžete zablokovať spustenie programov, ktoré nespĺňajú zadané požiadavky. Takéto nastavenia sú štandardne nastavené pre Windows a Program Files.
Nastaviť miestne skupinové pravidlá je to možné takto:
Kliknite na Spustiť a zadajte príkaz: gpedit.msc("Štart - Spustiť (Win + R) - secpol.msc")
Vyberte si:
- "Konfigurácia počítača"
- "Konfigurácia systému Windows"
- "Možnosti zabezpečenia"
- „Zásady obmedzenia softvéru“ kliknite pravým tlačidlom myši a kliknite
Potom musíte vytvoriť pravidlo, ktoré zakáže spúšťanie programov z iných než povolených miest.
Prejdeme do sekcie "Dodatočné pravidlá" a stlačíme pravé tlačidlo. V zobrazenom okne kliknite na položku „Vytvoriť pravidlo pre cestu“
Do poľa cesta vložte hviezdičku „*“, t.j. ľubovoľnú cestu a vyberte úroveň zabezpečenia: Zakázané.
A tak budeme pokračovať v práci v „Zásadách obmedzenia softvéru“ a klikneme pravým tlačidlom myši na položku „Aplikácia“ a vyberieme „Vlastnosti“.
Tieto nastavenia môžete ponechať tak, ako sú v predvolenom nastavení, alebo povoliť použitie na všetko bez výnimiek a tiež môžete prepnúť možnosť aplikovať obmedzenú politiku na všetkých okrem lokálnych správcov (ak máte na počítači používateľské a správcovské účty).
A v položke "Priradené typy súborov" vyberte príponu, ktorej typy súborov budú zakázané. Toto okno obsahuje zoznam rozšírení, ktoré sú blokované pri pokuse o spustenie.
Je lepšie pridať rozšírenie .js – javascript.
Efektívne nastavenie bude chvíľu trvať, ale výsledok stojí za to.
Môžete nastaviť zákaz spúšťania určitých programov a súborov podľa vlastného uváženia v závislosti od úlohy a cieľov.
Potom je potrebné spustiť pravidlá a za týmto účelom prejdite na „Úrovne zabezpečenia“ a stlačte pravé tlačidlo myši na „Zakázané“. V zobrazenom okne kliknite na „Predvolené“ a použijú sa naše pravidlá.
Odporúčame vám nepracovať s účtom správcu. Tým sa zníži poškodenie v prípade náhodnej infekcie (Povoliť účet správcu - Nastaviť heslo - Zbaviť aktuálneho používateľa práv správcu - Pridať používateľov do skupiny).
Na prácu s právami správcu v systéme Windows existuje špeciálny nástroj - "Kontrola používateľských účtov", ktorý sám požiada o heslo na vykonávanie operácií. Kontrola nastavení: Štart - Ovládací panel - účty používatelia - Zmeniť nastavenia kontroly používateľských kont - Predvolené - Upozorniť ma iba vtedy, keď sa pokúsim vykonať zmeny v počítači
Kontrolné body obnovenia systému
Bohužiaľ, sú chvíle, keď vírusy prekonávajú všetky úrovne ochrany. Preto by ste mali byť schopní vrátiť sa do predchádzajúceho stavu systému. Automatické vytváranie kontrolných bodov môžete nakonfigurovať nasledovne: Tento počítač - RMB - Vlastnosti - Ochrana systému - Nastavenia ochrany.
Zvyčajne je v predvolenom nastavení ochrana povolená iba pre systémový disk, ale ransomvér môže poškodiť obsah všetkých oddielov. Ak chcete obnoviť súbory štandardné prostriedky alebo programu Shadow Explorer, musíte povoliť ochranu pre všetky jednotky. Kontrolné body zaberajú určité množstvo pamäte, ale v prípade infekcie uložia dáta.
Ransomvérové vírusy sú známym typom hrozby. Objavili sa približne v rovnakom čase ako SMS bannery a pevne sa posadili na prvé miesto v rebríčku ransomware vírusov.
Model speňaženia vírusu ransomware je jednoduchý: blokuje časť informácií alebo úplne blokuje počítač používateľa a na opätovné získanie prístupu k údajom vyžaduje odoslanie SMS, elektronických peňazí alebo doplnenie zostatku mobilného čísla cez terminál. .
V prípade vírusu, ktorý šifruje súbory, je všetko zrejmé - na dešifrovanie súborov musíte zaplatiť určitú sumu. Navyše za posledných pár rokov tieto vírusy zmenili prístup k svojim obetiam. Ak sa predtým distribuovali podľa klasických schém prostredníctvom warezu, porno stránok, vydávania spoofingov a hromadných spamových správ, pričom infikovali počítače bežných používateľov, teraz sa korešpondenčné listy adresujú manuálne z poštových schránok na „normálnych“ doménach - mail.ru, gmail atď. A snažia sa infikovať právnických osôb, kde databázy a zmluvy spadajú pod šifry.
Tie. Útoky sa vyvinuli od kvantity ku kvalite. V jednej z firiem mal autor možnosť stretnúť sa s .hardended cryptographer, ktorý prišiel poštou so životopisom. K nákaze došlo hneď po otvorení spisu personalistami, firma len hľadala personál a spis nevzbudzoval žiadne podozrenia. Bol to docx s vloženým AdobeReader.exe :)
Najzaujímavejšie je, že žiadny z heuristických a proaktívnych senzorov Kaspersky Anti-Virus nefungoval. Ďalší deň alebo 2 po infekcii vírus nezistili dr.web a nod32
Čo teda robiť s takýmito vyhrážkami? Je antivírus zbytočný?
Antivírusom určeným len na podpis sa kráti čas.
G Data Total Protection 2015 — najlepšia obrana z ransomvéru
so vstavaným záložným modulom. Kliknite a kúpte.
Pre všetkých, ktorých sa akcia týka ransomware - propagačný kód so zľavou na nákup G DATA - GDTP2015. Stačí zadať tento promo kód pri pokladni.
Ransomware vírusy opäť dokázali zlyhanie antivírusových programov. SMS bannery naraz voľne „zlúčili“ používateľov do dočasného priečinka a jednoducho sa spustili na celej ploche a zachytili stláčanie všetkých kombinácií služieb z klávesnice.
Antivírusový program v tom čase fungoval skvele :) Kaspersky, rovnako ako v normálnom režime, zobrazoval svoj nápis „Protected by Kaspersky LAB“.
Banner nie je prefíkaný malvér ako rootkity, ale jednoduchý program, ktorý zmení 2 kľúče v registri a zachytí vstup z klávesnice.
Vírusy, ktoré šifrujú súbory, dosiahli novú úroveň podvodu. Ide opäť o bežný program, ktorý nie je vložený do kódu operačného systému, nenahrádza systémové súbory a nečíta oblasti pamäte RAM iných programov.
Jednoducho beží na krátky čas, vygeneruje verejný a súkromný kľúč, zašifruje súbory a odošle súkromný kľúč útočníkovi. V počítači obete je ponechaná kopa zašifrovaných údajov a súbor s kontaktmi hackerov na ďalšiu platbu.
Je rozumné myslieť si: A prečo potom potrebujete antivírus, ak je schopný nájsť iba škodlivé programy, ktoré pozná?
Antivírusový program je skutočne potrebný - ochráni pred všetkými známymi hrozbami. Mnohé nové typy škodlivého kódu sú však pre ňu príliš tvrdé. Aby ste sa ochránili pred ransomvérovými vírusmi, musíte prijať opatrenia, samotný antivírus tu nestačí. A hneď poviem: „Ak sú vaše súbory už zašifrované, ste tam. Nie je ľahké ich získať späť.“
:
Nezabudnite na svoj antivírus
Zálohovanie dôležitých informačných systémov a dát Každá služba má svoj dedikovaný server.
Zálohujte dôležité dáta.
:
Čo robiť so samotným vírusom?
Nezávislé akcie so zašifrovanými súbormi
Skúsenosti s komunikáciou s antivírusovou technickou podporou, čo očakávať?
Kontaktovanie polície
Dodržujte preventívne opatrenia v budúcnosti (pozri predchádzajúcu časť).
Ak všetko ostatné zlyhá, možno sa oplatí zaplatiť?
Ak ste sa ešte nestali obeťou vírusu ransomware:
*Prítomnosť antivírusového softvéru v počítači s najnovšími aktualizáciami.
Povedzme si to na rovinu: "Antivírusy sú hrozné v boji s novými typmi ransomvéru, ale sú vynikajúce v boji so známymi hrozbami." Prítomnosť antivírusu na pracovnej stanici je teda nevyhnutná. Ak sú už obete, aspoň sa vyhnete epidémii. Ktorý antivírus si vyberiete, je len na vás.
Zo skúseností Kaspersky „žerie“ viac pamäte a procesorového času a pre notebookové pevné disky s rýchlosťou 5200 je to katastrofa (často s oneskorením čítania sektorov 500 ms..) Nod32 je rýchly, ale málo chytá. Môžete si kúpiť antivírus GDATA - najlepšia možnosť.
*Zálohovanie dôležitých informačných systémov a dát. Každá služba má svoj vlastný server.
Preto je veľmi dôležité preniesť všetky služby (1C, daňovník, konkrétne pracovné stanice) a akýkoľvek softvér, od ktorého závisí život spoločnosti, na samostatný server, ešte lepšie - terminálový. Ešte lepšie je umiestniť každú službu na svoj vlastný server (fyzický alebo virtuálny - rozhodnite sa sami).
Neuchovávajte databázu 1c vo verejnej doméne, v sieti. Mnoho ľudí to robí, ale je to nesprávne.
Ak je práca s 1s organizovaná cez sieť so zdieľaným prístupom na čítanie/zápis pre všetkých zamestnancov, vezmite 1s na terminálový server a umožnite používateľom pracovať s nimi cez RDP.
Ak je používateľov málo a na serverový OS nie je dostatok peňazí, môžete ako terminálový server použiť bežný Windows XP (s výhradou odstránenia obmedzení počtu súčasných pripojení, t. j. je potrebné vykonať opravu). Aj keď s rovnakým úspechom môžete nainštalovať nelicencovanú verziu Windows server. Našťastie vám to Microsoft umožňuje používať, ale kúpte si a aktivujte si ho neskôr :)
Práca používateľov od 1s cez RDP na jednej strane zníži zaťaženie siete a zrýchli prácu 1s, na druhej strane zabráni infikovaniu databáz.
Nie je bezpečné ukladať databázové súbory v zdieľanej sieti a ak neexistujú žiadne iné vyhliadky, postarajte sa o zálohovanie (pozri nasledujúcu časť.)
* Zálohujte dôležité údaje.
Ak si ešte neurobil zálohy (zálohovanie) - si hlupák, odpusť mi. Alebo pozdravte správcu systému. Zálohy zachraňujú nielen pred vírusmi, ale aj pred nedbalými zamestnancami, hackermi a nakoniec aj „padajúcimi“ pevnými diskami.
Ako a čo zálohovať - o tom si môžete prečítať v samostatnom článku. Antivírus GDATA má napríklad záložný modul v dvoch verziách – celková ochrana a zabezpečenie koncových bodov pre organizácie ( môžete si kúpiť úplnú ochranu GDATA).
Ak v počítači nájdete zašifrované súbory:
*Čo robiť so samotným vírusom?
Vypnite počítač a kontaktujte počítačový servis + podporu pre váš antivírus. Ak máte šťastie, telo vírusu ešte nebolo odstránené a možno ho použiť na dešifrovanie súborov. Ak nemáte šťastie (ako to často býva), vírus po zašifrovaní dát odošle súkromný kľúč útočníkom a všetky jeho stopy sú vymazané. Deje sa tak preto, aby nebolo možné určiť, ako a akým algoritmom sú šifrované.
Ak stále máte e-mail s infikovaným súborom, neodstraňujte ho. Odošlite do antivírusového laboratória obľúbené produkty. A už ho neotvárajte.
* Nezávislé akcie so šifrovanými súbormi
Čo sa dá urobiť:
Kontaktujte antivírusovú podporu, získajte pokyny a prípadne aj dešifrovač pre váš vírus.
Napíšte vyhlásenie na polícii.
Vyhľadajte na internete skúsenosti iných používateľov, ktorí sa s týmto problémom už stretli.
Vykonajte opatrenia na dešifrovanie súborov po ich skopírovaní do samostatného priečinka.
Ak máte Windows 7 alebo 8, môžete obnoviť predchádzajúce verzie súborov (kliknite pravým tlačidlom myši na priečinok so súbormi). Opäť si ich nezabudnite vopred skopírovať.
Čo nerobiť:
Preinštalujte systém Windows
Odstráňte zašifrované súbory, premenujte ich a zmeňte príponu. Názov súboru je veľmi dôležitý pri dešifrovaní v budúcnosti
* Skúsenosti s komunikáciou s antivírusovou technickou podporou, čo očakávať?
Keď jeden z našich klientov zachytil .hardended crypto-virus, ktorý ešte nebol v antivírusových databázach, požiadavky boli odoslané spoločnostiam dr.web a Kaspersky.
Technická podpora v dr.web sa nám páčila, spätná väzba sa objavila okamžite a dokonca aj poradila. A po niekoľkých dňoch úprimne povedali, že nemôžu nič urobiť a spadli podrobné pokyny ako poslať žiadosť prostredníctvom príslušných orgánov.
Naopak, v Kaspersky bot najprv odpovedal, potom bot zahlásil, že môj problém vyrieši inštalácia antivírusu s najnovšími databázami (pripomínam, že problémom sú stovky zašifrovaných súborov). O týždeň neskôr sa stav mojej žiadosti zmenil na „odoslané do antivírusového laboratória“ a keď sa autor o pár dní skromne spýtal na osud žiadosti, zástupcovia Kaspersky odpovedali, že nedostaneme odpoveď od laboratórium ešte, hovoria, čakáme.
Po nejakom čase som dostal správu, že moja požiadavka bola uzavretá s návrhom na vyhodnotenie kvality služby (to všetko počas čakania na odpoveď z laboratória) .. „Do prdele!“ pomyslel si autor.
NOD32, mimochodom, začal chytať tento vírus na 3. deň po jeho objavení.
Princípom je, že ste na svoje zašifrované súbory sami. Laboratóriá veľkých antivírusových značiek vám pomôžu, len ak ak máte kľúč k príslušnému antivírusovému produktu a ak v kryptovírus má zraniteľnosť. Ak útočníci zašifrovali súbor niekoľkými algoritmami naraz a viackrát, pravdepodobne budete musieť zaplatiť.
Výber antivírusu je na vás, nezanedbávajte ho.
*Obráťte sa na políciu
Ak ste sa stali obeťou kryptovírusu a vznikla vám akákoľvek škoda, aj vo forme zašifrovaných osobných údajov, môžete sa obrátiť na políciu. Návod na aplikáciu atď. Existuje .
*Ak všetko ostatné zlyhá, oplatí sa platiť?
Vzhľadom na relatívnu nečinnosť antivírusov vo vzťahu k ransomvéru je niekedy jednoduchšie zaplatiť útočníkom. Napríklad za spevnené súbory si autori vírusu pýtajú okolo 10 tisíc rubľov.
Pri iných hrozbách (gpcode atď.) sa cenovka môže pohybovať od 2 000 rubľov. Najčastejšie je táto suma nižšia ako straty, ktoré môže spôsobiť nedostatok dát, a nižšia ako suma, ktorú od vás môžu remeselníci žiadať za manuálne dešifrovanie súborov.
Stručne povedané, najlepšou ochranou pred vírusmi ransomware je zálohovanie dôležitých údajov zo serverov a pracovných staníc používateľov.
Ako budete postupovať, je len na vás. Veľa štastia.
Používatelia, ktorí čítajú tento záznam, zvyčajne čítajú:
V kontakte s
Dobrý deň milí priatelia a čitatelia. Ruslan Miftakhov je v kontakte, autor tohto blogu, ktorý nevie.
V tomto článku by som sa rád venoval senzačnej téme vírusového útoku na celom svete, ktorý sa začal v piatok 12. mája tohto roku. Poskytnite tiež niekoľko tipov, ako sa chrániť pred vírusom ransomware a uložiť dôležité údaje do počítača.
Ak čítate môj blog, tak viete, že som počítačový opravár. Toto je skôr koníček ako práca. Takže, pokiaľ si pamätám, blokovacie vírusy boli bežné až do roku 2013.
Po spustení systému sa objavila správa s akýmkoľvek výhražným nápisom, niekedy s porno obrázkami. Dokonca mi zostalo pár fotiek takýchto blokátorov. Tu je jeden z nich.
Niekoľko klientov sa mi priznalo, že zaplatili peniaze podvodníkom, a preto zavolali majstra, aby tento vírus odstránil. Jeden dokonca zaplatil 500 rubľov trikrát v rôznych termináloch, mysliac si, že odblokovací kód bude pravdepodobne vytlačený v druhom. V dôsledku toho mi zavolala a tento vírus som odstránil za 5-10 minút.
Niekde v roku 2013 som sa prvýkrát stretol s ransomvérovým vírusom v našom meste, keď začali prichádzať aplikácie tohto druhu, ako napríklad wantcry. Tu je napríklad vírus s názvom Ebola, ktorý som odfotil na pamiatku.
Samotný vírus samozrejme nebolo ťažké z počítača odstrániť, no zašifrované dáta sa dešifrovať nepodarilo, tu by mohol pomôcť len vhodný dekodér.
Princíp vírusu
Vírus sa šíri najmä prostredníctvom e-mailu. Prichádza list s predmetom z Ministerstva vnútra Ruska, alebo rozhodnutie súdu alebo daňových úradov, vo všeobecnosti hrajú na zvedavosť používateľa tak, že list otvorí. A v tom liste je priložený súbor, ten istý ransomware vírus.
Po preniknutí do PC vírus začne šifrovať všetky fotografie, videá, dokumenty. V počítači sú súbory, ale nedajú sa otvoriť. Je to také nešťastie a na dešifrovanie týchto podvodníkov za to žiadajú 15 - 20 000 rubľov.
Samozrejme, ak majú súbory svoju vlastnú hodnotu a neexistujú žiadne kópie, používateľ uzavrie dohodu s podvodníkmi. Takéto prípady som nepočul, nikto nerád hovorí, že sa stal obeťou podvodníkov.
Dokonca zavolali správu do jedného domu, kde som pozoroval takýto obraz.
Podľa účtovníka dostal z administratívy email s predmetom. Po otvorení sa v priložených súboroch údajne nachádzal dôležitý dokument, ktorý je potrebné otvoriť a prečítať. No, potom sami rozumiete všetkému, otvorením tohto súboru sa vírus spustí a zašifruje všetko, čo sa nedostane do počítača.
A to je všetko pred daňovou kontrolou, je to náhoda, alebo bol dôvod ;)
Prečo ľudia platia podvodníkom?
Hrá tu jemná psychológia, v prípade vírusu blocker vyšli obscénne obrázky s nápisom, že ste liezli na obscénne stránky a skladovali fotky s detskou pornografiou a tento článok je podľa zákona trestaný takým a takým. Niekto týmto nezmyslom veril a zaplatil a niekto jednoducho nechcel, aby to jeho príbuzní videli a zaplatili, dúfajúc, že blokátor po zaplatení zmizne. Áno naivné.
V prípade vírusu want cry, podvodníci očakávajú, že zašifrované súbory budú pre používateľa veľmi potrebné a dôležité a on za to zaplatí. Ale tu už suma nie je 500 - 1 000 rubľov, ako v prvom prípade. A pravdepodobne sa podvodníci zameriavajú na väčšiu zver.
Premýšľajte sami, ktorý priemerný používateľ zaplatí 500 dolárov za stratu rodinná fotografia videoarchív alebo na semestrálnu prácu či diplomovú prácu.
Tu sú cieľom skôr veľké spoločnosti a štátne korporácie, čo sa stalo s Megafonom, Beeline a mnohými ďalšími. Myslíte si, že zaplatia 500 dolárov za obnovenie svojej základne?
Samozrejme zaplatia, ak neexistuje žiadna kópia. Ak existuje kópia, nie sú žiadne otázky, všetko sa zbúra a nanovo sa vloží záložná kópia. Stratia 2, 3 hodiny, ale všetko bude fungovať ako doteraz.
Ako sa vyhnúť ransomvéru
- Prvá vec, ktorú potrebujete, je urobiť dôležité údaje. Odporúčam mať aspoň tri kópie na rôznych médiách. Skopírujte na flash disk, na externý HDD, ponechajte si kópiu v cloude Mail, disku Yandex alebo iných službách cloudového úložiska.
- Pravidelne ručne aktualizujte operačný systém. Aj keď Windows nebol aktualizovaný, antivírus nod32 zistí a zablokuje WannaCry a jeho modifikácie.
- Byť ostražitý a neotvárať podozrivé e-maily, to si samozrejme vyžaduje skúsenosti, aby ste pochopili, ktoré listy by sa nemali otvárať.
- Uistite sa, že máte antivírus s platnou licenciou s neustále aktualizovanou databázou. Odporúčam antivírus Eset Nod 32 Smart Security.
Ak chcete kúpiť antivírus so zľavou, kliknite na tlačidlo nižšie.
Po zaplatení spôsobom, ktorý vám vyhovuje, na vami špecifikované emailová adresa dostanete licenčný kľúč a odkaz na stiahnutie antivírusu.
Ak sa budete riadiť týmito bodmi, potom sa nebojíte žiadneho vírusu, dokonca ani kryptografa. A budete spievať ako v kreslenom filme "Tri prasiatka": nebojíme sa šedého vlka, hrozného vlka, starého vlka :)
No, to je všetko, varoval som ťa, ale varoval som ťa, no a čo? Správne - ozbrojený.
Zdieľajte tento článok, aby sa vaši priatelia, známi a príbuzní nedostali do pazúrov podvodníkov.
S pozdravom Ruslan Miftakhov
