ครั้งนี้เราได้ตรวจสอบว่าเครื่องมือป้องกันไวรัสที่ซับซ้อนสามารถรับมือกับโทรจันแรนซัมแวร์ได้อย่างไร ในการทำเช่นนี้จึงมีการเลือกแรนซัมแวร์และแม้แต่โปรแกรมแยกต่างหากก็ถูกเขียนขึ้นซึ่งเลียนแบบการกระทำของโทรจันเข้ารหัสที่ไม่รู้จัก ลายเซ็นไม่อยู่ในฐานข้อมูลของผู้เข้าร่วมการทดสอบในวันนี้อย่างแน่นอน มาดูกันว่าพวกเขาสามารถทำอะไรได้บ้าง!
คำเตือน
บทความนี้เขียนขึ้นเพื่อการวิจัย ข้อมูลทั้งหมดในนั้นมีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้น ตัวอย่างทั้งหมดได้มาจากโอเพ่นซอร์สและส่งไปยังนักวิเคราะห์ไวรัส
การเยียวยาเก่าสำหรับภัยคุกคามใหม่
แอนตี้ไวรัสแบบคลาสสิกแทบไม่ทำอะไรเลยในการป้องกันโทรจันที่เข้ารหัสไฟล์และเรียกร้องค่าไถ่สำหรับการถอดรหัส ในทางเทคนิคแล้ว แรนซัมแวร์ดังกล่าวประกอบด้วยส่วนประกอบที่ถูกต้องตามกฎหมายทั้งหมดหรือเกือบทั้งหมด ซึ่งแต่ละองค์ประกอบไม่ได้ดำเนินการที่เป็นอันตรายใดๆ ด้วยตัวมันเอง มัลแวร์รวมพวกมันเข้าด้วยกันเป็นลูกโซ่ซึ่งนำไปสู่ผลลัพธ์ที่เลวร้าย - ผู้ใช้จะขาดโอกาสในการทำงานกับไฟล์ของเขาจนกว่าเขาจะถอดรหัสมัน
ใน เมื่อเร็วๆ นี้ยูทิลิตี้พิเศษหลายอย่างดูเหมือนจะป้องกันโทรจันแรนซัมแวร์ได้ พวกเขาพยายามทำการวิเคราะห์ที่ไม่ใช่ลายเซ็น (นั่นคือ ระบุเวอร์ชันใหม่ของแรนซัมแวร์ตามพฤติกรรม ชื่อเสียงของไฟล์ และสัญญาณทางอ้อมอื่นๆ) หรือเพียงห้ามไม่ให้โปรแกรมใดๆ ทำการเปลี่ยนแปลงที่จำเป็นสำหรับการทำงานของแรนซัมแวร์
เราได้เห็นแล้วว่าสาธารณูปโภคดังกล่าวไม่มีประโยชน์ในทางปฏิบัติ แม้แต่ข้อจำกัดที่เข้มงวดที่สุดที่กำหนดไว้ (ซึ่งไม่สามารถทำงานได้ตามปกติอีกต่อไป) ก็ไม่ได้ให้อุปสรรคที่เชื่อถือได้ต่อโทรจันแรนซัมแวร์ โปรแกรมเหล่านี้ป้องกันการติดไวรัสบางอย่าง แต่สิ่งนี้เพียงสร้างความรู้สึกผิด ๆ เกี่ยวกับความปลอดภัยให้กับผู้ใช้เท่านั้น เขากลายเป็นคนประมาทมากขึ้นและตกเป็นเหยื่อของแรนซัมแวร์เร็วยิ่งขึ้นไปอีก
ปัญหาหลักในการต่อสู้กับโทรจัน ransomware แบบคลาสสิกคือการกระทำทั้งหมดจะดำเนินการกับไฟล์ผู้ใช้เท่านั้นและไม่ส่งผลกระทบต่อส่วนประกอบของระบบ ผู้ใช้ไม่สามารถป้องกันการเปลี่ยนแปลงและการลบไฟล์ของตนได้ มีคุณสมบัติที่แตกต่างที่ชัดเจนน้อยมากในลักษณะการทำงานของตัวแทนแรนซัมแวร์คุณภาพสูง หรือไม่ก็ขาดหายไปโดยสิ้นเชิง ขณะนี้การเชื่อมต่อเครือข่ายรันโปรแกรมส่วนใหญ่ (อย่างน้อยก็เพื่อตรวจสอบการอัปเดต) และคุณสมบัติการเข้ารหัสก็มีอยู่ในโปรแกรมแก้ไขข้อความด้วย
ปรากฎว่าไม่มีสัญญาณที่ชัดเจนเหลืออยู่สำหรับเครื่องมือป้องกันเชิงป้องกันเพื่อช่วยแยกแยะโทรจันเข้ารหัสตัวถัดไปจากโปรแกรมที่ถูกกฎหมาย หากลายเซ็นโทรจันไม่อยู่ในฐานข้อมูล โอกาสที่โปรแกรมป้องกันไวรัสจะตรวจพบนั้นมีน้อยมาก โมดูลฮิวริสติกจะตอบสนองต่อการปรับเปลี่ยนคร่าวๆ ของแรนซัมแวร์ที่รู้จักเท่านั้น และตัววิเคราะห์พฤติกรรมมักจะตรวจไม่พบกิจกรรมที่น่าสงสัยใดๆ เลย
การสำรองข้อมูล การสำรองข้อมูลแตกต่าง!
ทุกวันนี้ คอมพิวเตอร์หลายพันเครื่องติดแรนซัมแวร์ทุกวัน และตามกฎแล้วด้วยน้ำมือของผู้ใช้เอง บริษัทต่อต้านไวรัสยอมรับแอปพลิเคชันสำหรับการถอดรหัสไฟล์ (ไม่เสียค่าใช้จ่ายจากลูกค้า) แต่นักวิเคราะห์ของพวกเขาก็ไม่ได้มีอำนาจทุกอย่างเช่นกัน บางครั้งอาจเป็นไปได้ที่จะรวบรวมข้อมูลน้อยเกินไปสำหรับการถอดรหัสที่ประสบความสำเร็จ หรืออัลกอริทึมของโทรจันนั้นมีข้อผิดพลาดที่ทำให้ไม่สามารถกู้คืนไฟล์ในรูปแบบดั้งเดิมได้ ขณะนี้แอปพลิเคชันสำหรับการถอดรหัสได้รับการประมวลผลจากสองวันถึงหกเดือนและในช่วงเวลานี้แอปพลิเคชันจำนวนมากก็สูญเสียความเกี่ยวข้องไป ยังคงมองหาวิธีการป้องกันเพิ่มเติมโดยไม่ต้องพึ่งเครื่องสแกนไวรัส
เป็นเวลานานแล้วที่สำเนาสำรองได้รับการปกป้องแบบสากลจากการโจมตีของไวรัส ในกรณีที่มีการติดมัลแวร์ใหม่ คุณสามารถกู้คืนทุกอย่างจากข้อมูลสำรอง เขียนทับไฟล์ที่เข้ารหัสด้วยเวอร์ชันดั้งเดิม และคืนค่าการเปลี่ยนแปลงที่ไม่ต้องการ อย่างไรก็ตาม โทรจันแรนซัมแวร์สมัยใหม่ได้เรียนรู้ที่จะตรวจจับและทำให้การสำรองข้อมูลเสียหายเช่นกัน หากมีการกำหนดค่าไว้ การสร้างอัตโนมัติจากนั้นพื้นที่จัดเก็บข้อมูลสำรองจะเชื่อมต่อและสามารถเขียนได้ โทรจันขั้นสูงจะสแกนไดรฟ์ในเครื่อง ภายนอก และเครือข่ายทั้งหมด กำหนดไดเรกทอรีด้วยการสำรองข้อมูล และเข้ารหัสหรือลบไดรฟ์เหล่านั้นด้วยการเขียนทับพื้นที่ว่าง
การสำรองข้อมูลด้วยตนเองนั้นน่าเบื่อเกินไปและไม่น่าเชื่อถือ การดำเนินการดังกล่าวในแต่ละวันเป็นเรื่องยาก และเมื่อเวลาผ่านไป ข้อมูลที่เกี่ยวข้องจำนวนมากจะสะสม ซึ่งจะไม่มีที่ไหนเลยที่จะกู้คืนได้ จะเป็นอย่างไร?
ทุกวันนี้ นักพัฒนาส่วนใหญ่นำเสนอโซลูชั่นความปลอดภัยที่ครอบคลุม นอกเหนือจากแอนตี้ไวรัสแบบคลาสสิก ในปัจจุบัน นอกเหนือจากไฟร์วอลล์ IDS และส่วนประกอบอื่นๆ ที่รู้จักกันดีแล้ว ยังมีส่วนประกอบใหม่ซึ่งเป็นที่จัดเก็บข้อมูลสำรองที่ปลอดภัย ต่างจากไดเร็กทอรีทั่วไปที่มีข้อมูลสำรอง มีเพียงแอนติไวรัสเท่านั้นที่สามารถเข้าถึงได้และควบคุมโดยไดรเวอร์ การจัดการไดเร็กทอรีภายนอกถูกปิดใช้งานโดยสิ้นเชิง แม้แต่ผู้ดูแลระบบก็ไม่สามารถเปิดหรือลบไดเร็กทอรีผ่านตัวจัดการไฟล์ได้ มาดูกันว่าแนวทางนี้ดีแค่ไหน
วิธีทดสอบ
สำหรับการทดลองของเรา เราได้สร้างโคลนของเครื่องเสมือนที่มี Windows 10 ใหม่และแพตช์ล่าสุด แต่ละคนมีการติดตั้งโปรแกรมป้องกันไวรัสของตัวเอง ทันทีหลังจากอัปเดตฐานข้อมูล เราได้ตรวจสอบปฏิกิริยาของแอนตี้ไวรัสต่อชุดทดสอบและโปรแกรมจำลองของเรา ชุดทดสอบประกอบด้วยตัวอย่าง 15 ตัวอย่าง ในจำนวนนี้มี 14 รายการเป็นการดัดแปลงโทรจันแรนซัมแวร์ที่รู้จักกันดี และรายการที่สิบห้าเป็นโทรจันดาวน์โหลดที่ดาวน์โหลดแรนซัมแวร์อื่นจากไซต์ระยะไกล
ตัวอย่างทั้งหมดมีนามสกุล .tst โดยไม่คำนึงถึงรูปแบบไฟล์จริง โปรแกรมที่เขียนขึ้นเป็นพิเศษสำหรับการทดสอบเหล่านี้ด้วยชื่อที่ไม่ซับซ้อน EncryptFiles เลียนแบบพฤติกรรมทั่วไปของโทรจันตัวเข้ารหัส เมื่อรันด้วยการตั้งค่าเริ่มต้น ระบบจะเข้ารหัสเนื้อหาของไฟล์จากไดเร็กทอรี My Documents ทันทีโดยไม่มีคำถามใดๆ เพื่อความชัดเจน เราได้บันทึกข้อความสะท้อนไว้ในโปรแกรมและวางไฟล์ข้อความสองสามไฟล์ในการเข้ารหัส OEM-866 ในไดเร็กทอรีพร้อมกับเอกสารของผู้ใช้ปัจจุบัน เพื่อแสดงเนื้อหาในคอนโซลโดยตรงทันที ไฟล์หนึ่งมีเครื่องหมายคำพูดจากผลงานของ Strugatskys (ข้อความธรรมดาที่ไม่ได้จัดรูปแบบ) และอีกไฟล์หนึ่งมีพารามิเตอร์เลนส์ในรูปแบบของตาราง (ข้อความที่จัดรูปแบบ)
หลังจากติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสแต่ละตัว ตัวอย่างแรนซัมแวร์จะถูกคัดลอกไปยังไดเร็กทอรีดาวน์โหลดจากโฟลเดอร์เครือข่ายที่เชื่อมต่อในโหมดอ่านอย่างเดียว จากนั้นไฟล์ที่คัดลอกจะถูกสแกนเพิ่มเติมโดยโปรแกรมป้องกันไวรัส (บังคับสแกนตามต้องการ) ในการตั้งค่าเริ่มต้น ตัวอย่างที่เหลือหลังจากการตรวจสอบได้รับการขยายเวลาจริงแล้วจึงปล่อยตัวอย่างออกมา หากไม่มีการติดเชื้อในระบบ จะมีการตรวจสอบปฏิกิริยาของโปรแกรมป้องกันไวรัสต่อโปรแกรมจำลอง ในกรณีที่การเข้ารหัสไฟล์สำเร็จ เราได้พยายามกู้คืนเวอร์ชันดั้งเดิมโดยใช้เครื่องมือป้องกันไวรัสและบันทึกผลลัพธ์
แคสเปอร์สกี้ โททัล ซีเคียวริตี้
ในเครื่องเสมือนทดสอบเครื่องหนึ่ง เราได้ติดตั้ง Kaspersky Total Security ซึ่งสัญญาว่าจะ “ป้องกันแรนซัมแวร์เพื่อป้องกันมัลแวร์ไม่ให้ไฟล์เสียหาย” KTS รับรู้ภัยคุกคามเกือบทั้งหมดเมื่อพยายามคัดลอกตัวอย่างแรนซัมแวร์จากโฟลเดอร์เครือข่าย
มีเพียงไฟล์เดียวจากสิบห้าไฟล์เท่านั้นที่อยู่ในไดเร็กทอรี "ดาวน์โหลด" - nd75150946.tst - นี่เป็นเพียง Trojan.Downloader และเป็นที่รู้จักมานานแล้ว เมื่อมีการตรวจสอบเพิ่มเติมตามคำขอของ KTS ไฟล์ก็ถือว่าปลอดภัยอีกครั้ง เครื่องสแกนไวรัสสี่สิบห้าเครื่องบน VirusTotal ไม่เห็นด้วย
เราเปิดรูปแบบนี้ด้วยโปรแกรมแก้ไข Hex เพื่อกำหนดส่วนขยายที่แท้จริง ส่วนหัวที่คุ้นเคย 50 4B 03 04 และชื่อของไฟล์อื่นภายใน - แน่นอนว่าเรามีไฟล์ ZIP มีไฟล์ที่น่าสงสัยอยู่ในไฟล์เก็บถาวร: ไอคอนของมันตรงกับเอกสาร PDF และนามสกุลคือ .scr ซึ่งเป็นโปรแกรมรักษาหน้าจอนั่นคือมันเป็นโค้ดที่ปฏิบัติการได้
เมื่อพยายามเรียกใช้ไฟล์ที่มีนามสกุล .scr จากไฟล์เก็บถาวร KTS จะบล็อกสำเนาที่แตกไฟล์โดยอัตโนมัติในไดเร็กทอรีชั่วคราวของผู้ใช้ จากผลการวิเคราะห์คลาวด์ผ่านเครือข่าย KSN เขาระบุว่าไฟล์นี้เป็นวัตถุอันตรายที่ไม่รู้จัก และแนะนำให้ลบด้วยการรีบูต ในกรณีนี้ ถือเป็นการป้องกันล่วงหน้าเป็นพิเศษ เนื่องจากโทรจันไม่ได้รับการควบคุมและสามารถลบออกได้ไม่ว่าด้วยวิธีใดก็ตาม เช่นเดียวกับไฟล์ปกติ
เป็นที่น่าสังเกตว่า Kaspersky Total Security ไม่ได้เรียนรู้จากความผิดพลาด เมื่อสแกนไฟล์เก็บถาวรอีกครั้ง พบว่าไฟล์นั้นสะอาดอีกครั้ง แม้ว่าไฟล์ที่คลายแพ็กจากไฟล์นั้นจะเพิ่งทริกเกอร์ทริกเกอร์ตามผลการวิเคราะห์ใน KSN ก็ตาม
ในช่วงเริ่มต้นของการทดสอบขั้นถัดไป เราได้ตรวจสอบสถานะเริ่มต้นของไดเร็กทอรี My Documents และแสดงเนื้อหาของไฟล์ข้อความสองสามไฟล์จากนั้นไปยังคอนโซล
หลังจากนั้นเราเปิดโมดูล "สำรองและกู้คืน" และสำรองเอกสารเหล่านี้ไปยังโฟลเดอร์สำรองข้อมูลบนพาร์ติชันระบบ ในสถานการณ์จริง คุณควรเลือกตำแหน่งอื่น (เช่น ไดรฟ์ภายนอก) แต่ไม่สำคัญสำหรับการทดสอบของเรา ไม่ว่าในกรณีใด การเข้าถึงโฟลเดอร์นี้จะถูกควบคุมโดย KTS และโทรจันไม่สามารถโต้ตอบกับโฟลเดอร์นี้ผ่านไดรเวอร์ระบบไฟล์มาตรฐานได้
การใช้เครื่องมือมาตรฐาน แม้แต่ผู้ดูแลระบบก็สามารถดูได้เฉพาะคุณสมบัติของโฟลเดอร์นี้เท่านั้น เมื่อคุณพยายามป้อนข้อมูล ตัวจัดการการสำรองข้อมูล KTS จะเริ่มทำงานโดยอัตโนมัติและขอให้คุณป้อนรหัสผ่านหากตั้งค่าไว้ก่อนหน้านี้
ตัวจัดการการสำรองข้อมูลนั้น Kaspersky ระบุไว้อย่างชัดเจน คุณสามารถเลือกไดเร็กทอรีมาตรฐาน ระบุไดเร็กทอรีของคุณเอง หรือแยกไฟล์แต่ละไฟล์ออกได้ จำนวนไฟล์ของแต่ละประเภทจะแสดงทันทีในหน้าต่างด้านซ้าย และขนาดของไฟล์จะแสดงในคุณสมบัติทางด้านขวา
นอกเหนือจากการเขียนข้อมูลสำรองไปยังไดรฟ์ในเครื่องและไดรฟ์แบบถอดได้ KTS ยังรองรับการส่งข้อมูลเหล่านั้นไปยัง Dropbox การใช้ที่เก็บข้อมูลบนคลาวด์จะสะดวกเป็นพิเศษหากมัลแวร์ป้องกันไม่ให้คอมพิวเตอร์เริ่มต้นและเชื่อมต่อสื่อภายนอก
KTS เพิกเฉยต่อโปรแกรมจำลองของเรา เธอเข้ารหัสไฟล์อย่างเงียบๆ เปลี่ยนเนื้อหาให้เป็นคำพูดที่ไม่มีความหมาย การปฏิเสธการเข้าถึงไดเร็กทอรีย่อย My Videos, My Pictures และ My Music ถือเป็นจุดบกพร่องในตัวโปรแกรมเองที่ไม่ส่งผลต่อความสามารถในการเข้ารหัสไฟล์ใน %USERPROFILE%Documents แต่อย่างใด
หากในโปรแกรมของเรา ฟังก์ชันถอดรหัสถูกดำเนินการอย่างง่ายดายเมื่อเปิดใช้งานด้วยคีย์ /decrypt ดังนั้นสำหรับโทรจัน ฟังก์ชันจะไม่ถูกเปิดใช้งานเสมอไปแม้ว่าจะเป็นไปตามความต้องการค่าไถ่แล้วก็ตาม ตัวเลือกเดียวที่เร็วพอสำหรับการกู้คืนไฟล์ที่เข้ารหัสในกรณีนี้คือการเขียนทับไฟล์เหล่านั้นจากข้อมูลสำรองที่สร้างไว้ก่อนหน้านี้ เพียงไม่กี่คลิก เราก็เลือกกู้คืนไฟล์ที่เข้ารหัสไฟล์หนึ่งไปยังตำแหน่งเดิมได้ ในทำนองเดียวกัน คุณสามารถกู้คืนไดเร็กทอรีทั้งหมดตั้งแต่หนึ่งไดเร็กทอรีขึ้นไปได้
Dr.Web Security Space
เช่นเดียวกับ KTS Dr.Web SS ตรวจพบตัวอย่าง 14 จาก 15 ตัวอย่างแล้วเมื่อพยายามคัดลอกไปยังไดเร็กทอรีดาวน์โหลด
อย่างไรก็ตาม แตกต่างจาก KTS ตรงที่ยังคงตรวจพบ Trojan.Downloader ในตัวอย่างที่เหลือ หลังจากเปลี่ยนนามสกุลเป็น ZIP และเรียกใช้การสแกนแบบบังคับ
การตั้งค่า Dr.Web SS ส่วนใหญ่จะถูกปิดใช้งานตามค่าเริ่มต้น หากต้องการเปิดใช้งาน คุณต้องคลิกไอคอนล็อคก่อนและป้อนรหัสผ่าน หากมีการตั้งค่าไว้
การสำรองข้อมูลจะถูกสร้างขึ้นใน Dr.Web SS โดยใช้เครื่องมือป้องกันข้อมูลสูญหาย การตั้งค่าที่ใช้ได้มีน้อย คุณสามารถเลือกไดเร็กทอรีแบบกำหนดเองมาตรฐานสำหรับการสำรองข้อมูล หรือระบุของคุณเอง กำหนดขีดจำกัดขนาดสำเนาที่เลือกไว้ ระบุตำแหน่งของการสำรองข้อมูล และกำหนดตารางเวลาการสำรองข้อมูล Dr.Web SS ไม่รองรับการอัปโหลดไปยังที่เก็บข้อมูลบนคลาวด์ ดังนั้นคุณต้องจำกัดตัวเองไว้ที่ไดรฟ์ในเครื่อง
การปกป้องไดเร็กทอรีด้วยการสำรองข้อมูลใน Dr.Web SS นั้นมีความเข้มงวดมากกว่าใน KTS ผู้ดูแลระบบไม่สามารถดูคุณสมบัติผ่าน explorer ได้
เราทำสำเนาสำรองของเอกสารและดำเนินการทดสอบส่วนที่สอง
โปรแกรมเลียนแบบ Dr.Web SS ไม่รู้จักและไม่รบกวนการทำงานของมันแต่อย่างใด ภายในเสี้ยววินาที ไฟล์ทั้งหมดก็ถูกเข้ารหัส
ด้วยการเรียกใช้ Data Loss Prevention อีกครั้ง เราได้กู้คืนไฟล์ต้นฉบับ อย่างไรก็ตาม พวกเขาไม่ได้มีชีวิตรอดเลยตามที่คาดไว้
เมื่อระบุโฟลเดอร์เป้าหมาย "My Documents" ไดเร็กทอรีย่อยจะถูกสร้างขึ้นโดยอัตโนมัติโดยมีวันที่และเวลาปัจจุบันเป็นชื่อ ไฟล์ที่บันทึกไว้จะถูกแตกออกจากข้อมูลสำรองแล้วและด้วยการคืนค่าเส้นทางสัมพัทธ์ทั้งหมด ส่งผลให้เกิดเส้นทางยาวที่น่าอึดอัดใจอย่างยิ่งซึ่งอาจเกินขีดจำกัด 255 อักขระทั่วไปได้อย่างง่ายดาย
นอร์ตัน ซีเคียวริตี้ พรีเมียม
เมื่อนึกถึง Norton Ghost ซึ่งกลายเป็นมาตรฐานการสำรองข้อมูลในยุค 90 จึงเป็นเรื่องง่ายที่จะคาดเดาลักษณะที่ปรากฏของฟังก์ชันดังกล่าวในโปรแกรมป้องกันไวรัสของ Symantec น่าแปลกใจที่เวลาผ่านไปสองทศวรรษก่อนที่โซลูชันที่ชัดเจนนี้จะกลายเป็นที่ต้องการ จะไม่มีความสุข แต่โชคร้ายช่วย
เมื่อพยายามคัดลอกไดเร็กทอรีตัวอย่างแรนซัมแวร์ NSP ตรวจพบและกักกันภัยคุกคาม 12 จาก 15 รายการ
ไฟล์ที่เหลือทั้งสามไฟล์ได้รับการยอมรับว่าเป็นอันตรายเมื่อทำการวิเคราะห์โดย VirusTotal รวมถึงอีกสองไฟล์โดยโปรแกรมป้องกันไวรัสของ Symantec เป็นเพียงการตั้งค่าเริ่มต้นเพื่อให้ NSP ไม่ตรวจสอบไฟล์บางไฟล์เมื่อทำการคัดลอก กำลังดำเนินการสแกนแบบบังคับ... และ NSP พบโทรจันอีกสองตัวในไดเร็กทอรีเดียวกัน
เช่นเดียวกับโปรแกรมป้องกันไวรัสรุ่นก่อนๆ NSP จะทิ้งโปรแกรมดาวน์โหลดโทรจันไว้ในไฟล์ ZIP ที่เปลี่ยนชื่อ เมื่อพยายามเรียกใช้ไฟล์ .scr จากไฟล์เก็บถาวร NSP มันจะบล็อกการเปิดตัวสำเนาโทรจันที่คลายแพ็กแล้วจากไดเร็กทอรีชั่วคราวของผู้ใช้ปัจจุบัน ในกรณีนี้ ไฟล์เก็บถาวรจะไม่ได้รับการประมวลผล แต่อย่างใด
ไฟล์เก็บถาวรถือว่าสะอาด แม้ว่าจะถูกสแกนซ้ำทันทีหลังจากตรวจพบโทรจันที่คลายแพ็กแล้วก็ตาม คำจารึกดูตลกเป็นพิเศษ: “หากในความเห็นของคุณ ยังมีภัยคุกคามอยู่ คลิกที่นี่” เมื่อคุณคลิก ฐานข้อมูลจะได้รับการอัปเดต (หรือไม่ หากเป็นฐานข้อมูลใหม่อยู่แล้ว)
น่าประหลาดใจที่ตัวอย่างแรนซัมแวร์รุ่นเก่าบางส่วนยังคงถูกตรวจพบโดย NSP โดยเครื่องวิเคราะห์พฤติกรรมและเครื่องมือสแกนบนคลาวด์เท่านั้น ดูเหมือนว่านักไวรัสวิทยาของไซแมนเทคขี้เกียจเกินกว่าจะรักษาฐานข้อมูลให้ทันสมัยอยู่เสมอ แอนติไวรัสจะบล็อกทุกสิ่งที่น่าสงสัยและรอปฏิกิริยาของผู้ใช้
ขั้นตอนที่สองของการทดสอบเป็นแบบดั้งเดิม เราสำรองไฟล์จากไดเร็กทอรี My Documents จากนั้นพยายามเข้ารหัสไฟล์เหล่านั้น
ผู้จัดการการสำรองข้อมูลใน NSP พอใจกับตรรกะของมันเป็นอันดับแรก ใช้ประโยคคลาสสิกว่า “อะไรนะ? ที่ไหน? เมื่อไหร่?” คุ้นเคยตั้งแต่สมัยก่อนโซเวียต อย่างไรก็ตามในเวอร์ชันสมัยใหม่นั้นถูกบดบังด้วยความเป็นนามธรรมมากเกินไป แทนที่จะแสดงรายการออบเจ็กต์โดยตรงด้วยเส้นทางแบบเต็มและไฟล์ตามส่วนขยาย ระบบจะใช้ตำแหน่งเสมือนและการจัดกลุ่มตามเงื่อนไขตามประเภท คงต้องรอดูกันว่าไฟล์ใดที่ NSP พิจารณาว่าเกี่ยวข้องกับข้อมูลทางการเงิน และไฟล์ใดที่วางไว้ในส่วน "อื่นๆ"
สามารถตั้งค่าเพิ่มเติมได้ (เช่น ใช้ลิงก์ "เพิ่มหรือแยกไฟล์และโฟลเดอร์") แต่การทำให้เป็นเรื่องยากมาก เพื่อประโยชน์ของไฟล์สองสามไฟล์ (แต่ละไฟล์น้อยกว่า 1 กิโลไบต์) คุณยังคงต้องสำรองข้อมูลแผนผังไดเร็กทอรีครึ่งหนึ่งและไฟล์ขยะทุกประเภท เช่น desktop.ini และวิซาร์ดการสำรองข้อมูลแนะนำให้ทำสิ่งนี้ต่อไปบนแผ่น CD-R ดูเหมือนว่าศตวรรษที่ 21 ไม่ได้มาสำหรับทุกคน
ในทางกลับกัน ผู้ใช้ NSP จะได้รับการสำรองข้อมูลขนาด 25 GB ในระบบคลาวด์ หากต้องการอัปโหลดข้อมูลสำรองที่นั่น เพียงเลือก "Secure Network Storage" เป็นปลายทาง
หลังจากสร้างการสำรองข้อมูลในเครื่องแล้ว เราได้เปิดตัวโปรแกรมที่เลียนแบบการทำงานของตัวเข้ารหัสโทรจัน NSP ไม่ได้รบกวนเธอแต่อย่างใดและอนุญาตให้เธอเข้ารหัสไฟล์ได้
การกู้คืนจากข้อมูลสำรองทำได้เร็วและสะดวกกว่าใน Dr.Web SS เพียงยืนยันการเขียนทับก็เพียงพอแล้ว และไฟล์ในรูปแบบดั้งเดิมก็ไปอยู่ที่เดิมทันที
K7 สุดยอดการรักษาความปลอดภัย
ก่อนหน้านี้ผลิตภัณฑ์นี้จากบริษัท K7 Computing ของอินเดียมีชื่อว่า Antivirus Plus ด้วยชื่อของผู้พัฒนารายนี้และตอนนี้ก็มีความสับสนเล็กน้อย ตัวอย่างเช่น การกระจาย K7 Total Security ไม่มีเครื่องมือสำรองข้อมูล นั่นเป็นเหตุผลที่เราทดสอบเวอร์ชัน Ultimate ซึ่งเป็นเวอร์ชันเดียวที่สามารถสำรองข้อมูลได้
แตกต่างจากแอนตี้ไวรัสที่รู้จักในรัสเซีย การพัฒนานี้ถือเป็นม้ามืดในการทดสอบของเรา วลี "รหัสอินเดีย" ถือเป็นคำสาปในหมู่โปรแกรมเมอร์และเราไม่ได้คาดหวังอะไรมากจากมัน ดังที่การทดสอบแสดงให้เห็น - เปล่าประโยชน์
K7 Ultimate Security เป็นแอนตี้ไวรัสตัวแรกที่ตรวจพบภัยคุกคามทั้ง 15 รายการจากตัวเลือกของเราในทันที ไม่อนุญาตให้คัดลอกตัวอย่างไปยังไดเร็กทอรี Downloads และจะลบตัวอย่างเหล่านั้นบนโฟลเดอร์เครือข่ายโดยตรงหากไม่ได้ติดตั้งในโหมดอ่านอย่างเดียว
การออกแบบโปรแกรมเป็นลายพรางเหล็ก เห็นได้ชัดว่านักพัฒนาชื่นชอบการเล่นรถถังหรือเพียงแค่พยายามสร้างความเชื่อมโยงกับสิ่งที่เชื่อถือได้ในลักษณะนี้ ตัวเลือกการสำรองข้อมูลใน K7 ได้รับการตั้งค่าในลักษณะเดียวกับใน NSP โดยรวมแล้วอินเทอร์เฟซของ K7 มีความยุ่งเหยิงน้อยกว่าและเข้าถึงรายละเอียดปลีกย่อยได้ง่ายกว่า
K7 ไม่ตอบสนองต่อการเปิดตัวโปรแกรมจำลองและการเข้ารหัสไฟล์ เช่นเคย ฉันต้องกู้คืนต้นฉบับจากข้อมูลสำรอง
สะดวกในการกู้คืน คุณสามารถเลือกไฟล์แต่ละไฟล์และเขียนลงในตำแหน่งเดิมได้ เพื่อเป็นการตอบรับคำขอให้เขียนทับไฟล์ที่มีอยู่ เราได้กู้คืน lens.txt ด้วยการคลิกเพียงไม่กี่ครั้งในตำแหน่งเดิม
ในส่วนของการทดสอบนี้ ไม่มีอะไรเพิ่มเติมเกี่ยวกับการทำงานของ K7 ความสำเร็จคือความสำเร็จ
ข้อสรุป
แม้ว่าผลการทดสอบจะดี แต่ข้อสรุปโดยรวมก็น่าผิดหวัง สม่ำเสมอ เวอร์ชันเต็มโปรแกรมป้องกันไวรัสยอดนิยมที่จ่ายเงินจะข้ามแรนซัมแวร์บางรูปแบบในการตั้งค่าเริ่มต้น การสแกนตามความต้องการแบบกำหนดเองไม่ได้รับประกันความปลอดภัยของไฟล์ที่สแกน ด้วยความช่วยเหลือของกลอุบายดั้งเดิม (เช่นการเปลี่ยนส่วนขยาย) การปรับเปลี่ยนโทรจันที่รู้จักกันดียังช่วยหลีกเลี่ยงการตรวจจับอีกด้วย มัลแวร์ใหม่ ๆ มักจะถูกตรวจสอบว่าไม่มีการตรวจจับก่อนที่จะถูกปล่อยออกสู่ธรรมชาติ
อย่าพึ่งพาเครื่องมือวิเคราะห์พฤติกรรม การตรวจสอบยืนยันบนคลาวด์ คุณลักษณะชื่อเสียงของไฟล์ และเครื่องมือวิเคราะห์อื่นๆ ที่ไม่ใช่ลายเซ็น วิธีการเหล่านี้มีเหตุผลอยู่บ้างแต่ยังน้อยมาก แม้แต่โปรแกรมจำลองแบบดั้งเดิมของเราก็ไม่มีชื่อเสียงและไม่มีเลย ลายเซ็นดิจิทัลไม่ถูกบล็อกโดยโปรแกรมป้องกันไวรัสใด ๆ เช่นเดียวกับโทรจันแรนซัมแวร์อื่นๆ มันมีข้อบกพร่องมากมาย แต่ไม่ได้ป้องกันจากการเข้ารหัสไฟล์โดยไม่มีอุปสรรคทันทีที่เปิดใช้งาน
การสำรองข้อมูลไฟล์ผู้ใช้อัตโนมัติไม่ได้เป็นผลมาจากความคืบหน้า แต่เป็นมาตรการที่จำเป็น มันจะค่อนข้างมีประสิทธิภาพก็ต่อเมื่อมีการปกป้องที่เก็บข้อมูลสำรองอย่างต่อเนื่องโดยใช้โปรแกรมป้องกันไวรัสนั่นเอง อย่างไรก็ตาม มันจะมีผลอย่างแน่นอนจนกว่าโปรแกรมป้องกันไวรัสจะถูกยกเลิกการโหลดจากหน่วยความจำหรือถอนการติดตั้งเลย ดังนั้นจึงคุ้มค่าที่จะทำสำเนาเพิ่มเติมบนสื่อที่ไม่ค่อยเชื่อมต่อหรืออัปโหลดไปยังคลาวด์ แน่นอนว่าหากคุณไว้วางใจผู้ให้บริการคลาวด์มากพอ
ปัจจุบัน หลายคนได้สัมผัสกับผลลัพธ์ของการกระทำของอาชญากรไซเบอร์ซึ่งมีอาวุธหลักคือไวรัสเข้ารหัส เป้าหมายหลักคือการรีดไถเงินจากผู้ใช้ด้วยความช่วยเหลือของพวกเขา สามารถเรียกร้อง Hryvnia นับหมื่นเพื่อปลดล็อคไฟล์ส่วนบุคคล และอีกนับล้านจากเจ้าของธุรกิจ (ตัวอย่างเช่น สำหรับฐานข้อมูล 1C ที่ถูกบล็อก)
เราหวังว่าคำแนะนำของเราจะช่วยรักษาความปลอดภัยฐานข้อมูลของคุณให้ได้มากที่สุด
การป้องกันไวรัส
แน่นอนว่าวิธีการป้องกันหลักคือโปรแกรมป้องกันไวรัส อย่าลืมตรวจสอบความเกี่ยวข้องของโปรแกรมป้องกันไวรัส เนื่องจากฐานข้อมูลไวรัสจะได้รับการอัปเดตโดยอัตโนมัติ (โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ) หลายครั้งต่อวัน คุณต้องตรวจสอบการเกิดขึ้นของโปรแกรมป้องกันไวรัสใหม่ๆ ที่เชื่อถือได้เป็นประจำ และเพิ่มลงในผลิตภัณฑ์ของคุณ
หนึ่งในโปรแกรมดังกล่าวคือบริการคลาวด์ ESET LiveGrid® ซึ่งจะบล็อกไวรัสก่อนที่จะเข้าสู่ฐานข้อมูลป้องกันไวรัส ระบบ ESET จะวิเคราะห์โปรแกรมที่น่าสงสัยทันทีและกำหนดระดับอันตราย หากสงสัยว่ามีไวรัส กระบวนการของโปรแกรมจะถูกบล็อก
คุณยังสามารถใช้โปรแกรมป้องกันไวรัส AVG ฟรีได้ ซึ่งแน่นอนว่าด้อยกว่า ESET เล็กน้อย แต่มีระดับการป้องกันไวรัสที่ดีและเพื่อการป้องกันที่สมบูรณ์ คุณสามารถซื้อใบอนุญาตสำหรับ AVG ได้
เมื่อต้นปี 2560 ผู้เชี่ยวชาญจาก MRG Effitas ทดสอบผลิตภัณฑ์ป้องกันไวรัสยอดนิยม 16 รายการสำหรับผู้ใช้ตามบ้านบนระบบปฏิบัติการ Microsoft Windows 10 แบบ 64 บิต การทดสอบความน่าเชื่อถือของแอนติไวรัสใช้ตัวอย่างมัลแวร์ที่แตกต่างกัน 386 ตัวอย่าง รวมถึงโทรจัน 172 รายการ แบ็คดอร์ 51 รายการ มัลแวร์ธนาคาร 67 รายการ แรนซัมแวร์ 69 รายการ และแอดแวร์และแอดแวร์ที่อาจเป็นอันตราย 27 รายการ
นี่คือผลการทดสอบ
จากแผนภาพนี้ คุณสามารถระบุโปรแกรมป้องกันไวรัสฟรีที่ดีที่สุดประจำปี 2560 รวมถึงโปรแกรมป้องกันไวรัสที่จ่ายเงินดีที่สุดได้ และโปรแกรมป้องกันไวรัสที่คุณติดตั้งไว้แล้วเพื่อป้องกันตัวเองบนคอมพิวเตอร์หรือแล็ปท็อปนั้นขึ้นอยู่กับคุณ
หากตัวเลือกของคุณตกเป็นโปรแกรมป้องกันไวรัสแบบชำระเงินและคุณตัดสินใจเลือก NOD32 คุณสามารถตรวจสอบได้อย่างแน่นอนว่าฟังก์ชัน ESET LiveGrid® เปิดอยู่หรือไม่ คุณสามารถทำได้: ESET NOD32 - การตั้งค่าขั้นสูง - ยูทิลิตี้ - ESET LiveGrid® - เปิดใช้งาน ESET LiveGrid ® ระบบชื่อเสียง
ผู้โจมตีหวังเสมอว่าผู้ใช้จะไม่มีเวลาติดตั้ง อัพเดทล่าสุดและพวกเขาจะสามารถใช้ประโยชน์จากช่องโหว่ต่างๆ ได้ ซอฟต์แวร์. ก่อนอื่น สิ่งนี้เกี่ยวข้องกับระบบปฏิบัติการ Windows ดังนั้นคุณต้องตรวจสอบและเปิดใช้งานการอัปเดตระบบปฏิบัติการอัตโนมัติ (เริ่ม - แผงควบคุม - Windows Update - การตั้งค่า - เลือกวิธีดาวน์โหลดและติดตั้งการอัปเดต)
หากคุณไม่ได้ใช้บริการเข้ารหัสที่มีให้ใน Windows จะเป็นการดีกว่าถ้าปิดใช้งาน เนื่องจากการแก้ไข ransomware บางอย่างใช้ฟังก์ชันนี้เพื่อวัตถุประสงค์ของตนเอง หากต้องการปิดใช้งาน ให้ทำตามขั้นตอนเหล่านี้: เริ่ม - แผงควบคุม - เครื่องมือการดูแลระบบ - บริการ - ระบบไฟล์ที่เข้ารหัส (EFS) และรีบูตระบบ
แต่ถ้าคุณได้ใช้การเข้ารหัสเพื่อปกป้องไฟล์หรือโฟลเดอร์ใดๆ แล้ว คุณจะต้องยกเลิกการเลือกช่องทำเครื่องหมายที่เกี่ยวข้อง (RMB - คุณสมบัติ - คุณสมบัติ - ขั้นสูง - เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล) หากยังไม่เสร็จสิ้น หลังจากปิดใช้งานบริการเข้ารหัสแล้ว คุณจะไม่สามารถเข้าถึงข้อมูลนี้ได้ การค้นหาว่าไฟล์ใดที่ถูกเข้ารหัสนั้นเป็นเรื่องง่าย โดยจะมีการเน้นด้วยสีเขียว
จำกัดการใช้โปรแกรม
เพื่อเพิ่มระดับความปลอดภัย คุณสามารถบล็อกการเปิดตัวโปรแกรมที่ไม่ตรงตามข้อกำหนดที่ระบุได้ ตามค่าเริ่มต้น การตั้งค่าดังกล่าวจะถูกตั้งค่าไว้สำหรับ Windows และไฟล์โปรแกรม
ตั้งค่าท้องถิ่น นโยบายกลุ่มเป็นไปได้เช่นนี้:
คลิกเรียกใช้แล้วป้อนคำสั่ง: gpedit.msc("เริ่ม - เรียกใช้ (Win + R) - secpol.msc")
เลือก:
- "การกำหนดค่าคอมพิวเตอร์"
- "การกำหนดค่า Windows"
- “ตัวเลือกความปลอดภัย”
- "นโยบายการจำกัดซอฟต์แวร์" คลิกขวาแล้วคลิก
หลังจากนั้นคุณจะต้องสร้างกฎที่ห้ามมิให้เปิดโปรแกรมจากที่อื่นนอกเหนือจากที่ได้รับอนุญาต
ไปที่ส่วน "กฎเพิ่มเติม" แล้วกดปุ่มขวา ในหน้าต่างที่ปรากฏขึ้นให้คลิกที่รายการ "สร้างกฎสำหรับเส้นทาง"
ในช่องเส้นทางให้ใส่เครื่องหมายดอกจัน "*" เช่น เส้นทางใดก็ได้และเลือกระดับความปลอดภัย: ห้าม
ดังนั้นเราจะทำงานใน "นโยบายการจำกัดซอฟต์แวร์" ต่อไป และคลิกขวาที่รายการ "แอปพลิเคชัน" และเลือก "คุณสมบัติ"
คุณสามารถปล่อยให้การตั้งค่าเหล่านี้เป็นค่าเริ่มต้นหรือเปิดใช้งานการนำไปใช้กับทุกสิ่งโดยไม่มีข้อยกเว้น และคุณยังสามารถสลับตัวเลือกเพื่อใช้นโยบายแบบจำกัดกับทุกคนยกเว้นผู้ดูแลระบบท้องถิ่น (หากคุณมีบัญชีผู้ใช้และผู้ดูแลระบบในคอมพิวเตอร์ของคุณ)
และในรายการ "ประเภทไฟล์ที่กำหนด" ให้เลือกนามสกุลของประเภทไฟล์ที่จะถูกห้ามไม่ให้เริ่ม หน้าต่างนี้แสดงรายการส่วนขยายที่ถูกบล็อกเมื่อพยายามเรียกใช้
เพิ่มส่วนขยายจะดีกว่า .js - จาวาสคริปต์.
การตั้งค่าที่มีประสิทธิภาพจะใช้เวลาสักระยะ แต่ผลลัพธ์ก็คุ้มค่า
คุณสามารถตั้งค่าการห้ามการเปิดตัวโปรแกรมและไฟล์บางรายการได้ขึ้นอยู่กับดุลยพินิจของคุณ ทั้งนี้ขึ้นอยู่กับงานและเป้าหมาย
หลังจากนั้นจะต้องเรียกใช้กฎและในการดำเนินการนี้ให้ไปที่ "ระดับความปลอดภัย" แล้วกดปุ่มเมาส์ขวาบน "ต้องห้าม" ในหน้าต่างที่ปรากฏขึ้น คลิก "ค่าเริ่มต้น" และกฎของเราจะถูกนำไปใช้
เราแนะนำให้คุณอย่าทำงานกับบัญชีผู้ดูแลระบบ วิธีนี้จะช่วยลดความเสียหายในกรณีของการติดไวรัสโดยไม่ตั้งใจ (เปิดใช้งานบัญชีผู้ดูแลระบบ - ตั้งรหัสผ่าน - กีดกันสิทธิ์ผู้ดูแลระบบของผู้ใช้ปัจจุบัน - เพิ่มผู้ใช้ในกลุ่ม)
ในการทำงานกับสิทธิ์ผู้ดูแลระบบใน Windows มีเครื่องมือพิเศษ - "การควบคุมบัญชีผู้ใช้" ซึ่งจะขอรหัสผ่านเพื่อดำเนินการเอง ตรวจสอบการตั้งค่า: เริ่ม - แผงควบคุม - บัญชีผู้ใช้ - เปลี่ยนการตั้งค่าการควบคุมบัญชีผู้ใช้ - ค่าเริ่มต้น - แจ้งให้ฉันทราบเฉพาะเมื่อฉันพยายามเปลี่ยนแปลงคอมพิวเตอร์ของฉัน
จุดตรวจสอบการคืนค่าระบบ
น่าเสียดายที่มีหลายครั้งที่ไวรัสสามารถเอาชนะการป้องกันทุกระดับได้ ดังนั้นคุณควรจะสามารถกลับสู่สถานะก่อนหน้าของระบบได้ คุณสามารถกำหนดค่าการสร้างจุดตรวจสอบอัตโนมัติได้ดังต่อไปนี้: คอมพิวเตอร์ของฉัน - RMB - คุณสมบัติ - การป้องกันระบบ - การตั้งค่าการป้องกัน
โดยปกติแล้ว ตามค่าเริ่มต้น การป้องกันจะเปิดใช้งานเฉพาะสำหรับไดรฟ์ระบบ แต่แรนซัมแวร์อาจทำให้เนื้อหาของพาร์ติชั่นทั้งหมดเสียหายได้ เพื่อเรียกคืนไฟล์ วิธีการมาตรฐานหรือโปรแกรม Shadow Explorer คุณต้องเปิดใช้งานการป้องกันสำหรับไดรฟ์ทั้งหมด จุดตรวจใช้หน่วยความจำจำนวนหนึ่ง แต่จะบันทึกข้อมูลในกรณีที่ติดไวรัส
ไวรัส Ransomware เป็นภัยคุกคามประเภทหนึ่งที่รู้จักกันดี พวกเขาปรากฏตัวในเวลาเดียวกันกับแบนเนอร์ SMS และนั่งลงอย่างแน่นหนากับอันหลังในการจัดอันดับไวรัสแรนซัมแวร์อันดับต้น ๆ
รูปแบบการสร้างรายได้ของไวรัสแรนซัมแวร์นั้นเรียบง่าย: มันจะบล็อกข้อมูลบางส่วนหรือคอมพิวเตอร์ของผู้ใช้ทั้งหมด และเพื่อที่จะเข้าถึงข้อมูลได้อีกครั้ง จะต้องส่ง SMS เงินอิเล็กทรอนิกส์ หรือการเติมยอดคงเหลือของหมายเลขโทรศัพท์มือถือผ่านเทอร์มินัล .
ในกรณีของไวรัสที่เข้ารหัสไฟล์ ทุกอย่างชัดเจน - ในการถอดรหัสไฟล์ คุณต้องจ่ายเงินจำนวนหนึ่งยิ่งไปกว่านั้น ในช่วงไม่กี่ปีที่ผ่านมา ไวรัสเหล่านี้ได้เปลี่ยนวิธีการจัดการกับเหยื่อ หากก่อนหน้านี้มีการเผยแพร่ตามรูปแบบคลาสสิกผ่าน warez ไซต์ลามก การออกการปลอมแปลงและการส่งจดหมายขยะจำนวนมาก ในขณะที่แพร่ระบาดในคอมพิวเตอร์ของผู้ใช้ทั่วไป ตอนนี้การส่งจดหมายได้รับการแก้ไขด้วยตนเองจากกล่องจดหมายในโดเมน "ปกติ" - mail.ru จีเมล ฯลฯ และพวกมันพยายามจะติดเชื้อ นิติบุคคลโดยที่ฐานข้อมูลและสัญญาอยู่ภายใต้การเข้ารหัส
เหล่านั้น. การโจมตีมีการพัฒนาจากปริมาณไปสู่คุณภาพ ที่บริษัทแห่งหนึ่ง ผู้เขียนมีโอกาสได้พบกับนักเขียนวิทยาการเข้ารหัสลับ .hardended ที่ส่งเรซูเม่ทางไปรษณีย์มาด้วย การติดเชื้อเกิดขึ้นทันทีหลังจากที่เจ้าหน้าที่บุคลากรเปิดไฟล์ บริษัทเพียงแต่ตามหาบุคลากรและไฟล์ดังกล่าวไม่ได้ก่อให้เกิดข้อสงสัยใดๆ มันเป็น docx ที่มี AdobeReader.exe ฝังอยู่ :)
สิ่งที่น่าสนใจที่สุดคือไม่มีเซ็นเซอร์ตรวจจับพฤติกรรมและเชิงรุกของ Kaspersky Anti-Virus ตัวใดทำงานเลย หลังจากการติดเชื้ออีกวันหรือ 2 วัน dr.web และ nod32 ตรวจไม่พบไวรัส
แล้วจะทำอย่างไรกับภัยคุกคามดังกล่าว? โปรแกรมป้องกันไวรัสไม่มีประโยชน์หรือไม่?
โปรแกรมป้องกันไวรัสเฉพาะลายเซ็นกำลังหมดเวลาแล้ว.
G Data Total Protection 2015 — การป้องกันที่ดีที่สุดจากแรนซัมแวร์
พร้อมโมดูลสำรองข้อมูลในตัว คลิกและซื้อ
สำหรับทุกท่านที่ได้รับผลกระทบจากการกระทำ ransomware - รหัสส่งเสริมการขายพร้อมส่วนลดสำหรับการซื้อ G DATA - จีดีทีพี2015.เพียงกรอกรหัสโปรโมชั่นนี้เมื่อชำระเงิน
ไวรัส Ransomware ได้พิสูจน์ความล้มเหลวของโปรแกรมป้องกันไวรัสอีกครั้ง ครั้งหนึ่งแบนเนอร์ SMS สามารถ "รวม" ผู้ใช้เข้ากับโฟลเดอร์ชั่วคราวได้อย่างอิสระ และเปิดใช้งานบนเดสก์ท็อปทั้งหมดและสกัดกั้นการกดการรวมบริการทั้งหมดจากแป้นพิมพ์
โปรแกรมป้องกันไวรัสใช้งานได้ดีในเวลานั้น :) Kaspersky ในโหมดปกติแสดงข้อความว่า "Protected by Kaspersky LAB"
Banner ไม่ใช่มัลแวร์ที่ฉลาดแกมโกงเช่นรูทคิท แต่เป็นโปรแกรมง่ายๆ ที่เปลี่ยนแปลง 2 คีย์ในรีจิสทรีและสกัดกั้นการป้อนข้อมูลด้วยแป้นพิมพ์
ไวรัสที่เข้ารหัสไฟล์ได้ก้าวไปสู่การฉ้อโกงในระดับใหม่ นี่เป็นโปรแกรมปกติอีกครั้งที่ไม่ได้ฝังอยู่ในรหัสระบบปฏิบัติการ ไม่ได้แทนที่ไฟล์ระบบ และไม่อ่านพื้นที่ RAM ของโปรแกรมอื่น
มันทำงานในช่วงเวลาสั้นๆ สร้างคีย์สาธารณะและคีย์ส่วนตัว เข้ารหัสไฟล์ และส่งคีย์ส่วนตัวไปยังผู้โจมตี ข้อมูลที่เข้ารหัสจำนวนมากและไฟล์ที่มีรายชื่อติดต่อของแฮ็กเกอร์จะถูกทิ้งไว้ในคอมพิวเตอร์ของเหยื่อเพื่อชำระเงินเพิ่มเติม
มีเหตุผลที่จะคิด: แล้วทำไมคุณถึงต้องใช้โปรแกรมป้องกันไวรัสหากสามารถค้นหาเฉพาะโปรแกรมที่เป็นอันตรายที่รู้จักเท่านั้น?
แน่นอนว่าจำเป็นต้องมีโปรแกรมป้องกันไวรัส - มันจะป้องกันภัยคุกคามที่ทราบทั้งหมด อย่างไรก็ตาม โค้ดที่เป็นอันตรายประเภทใหม่ๆ หลายประเภทนั้นยากเกินไปสำหรับเธอ เพื่อป้องกันตัวคุณเองจากไวรัส ransomware คุณต้องใช้มาตรการต่างๆ เนื่องจากโปรแกรมป้องกันไวรัสเพียงอย่างเดียวไม่เพียงพอ และฉันจะพูดทันที: “หากไฟล์ของคุณได้รับการเข้ารหัสแล้ว แสดงว่าคุณเข้าแล้ว” มันไม่ง่ายเลยที่จะได้พวกเขากลับมา”
:
อย่าลืมโปรแกรมป้องกันไวรัสของคุณ
การสำรองข้อมูลระบบข้อมูลและข้อมูลที่สำคัญ แต่ละบริการมีเซิร์ฟเวอร์เฉพาะของตัวเอง
สำรองข้อมูลสำคัญ
:
จะทำอย่างไรกับไวรัสเอง?
การดำเนินการอิสระกับไฟล์ที่เข้ารหัส
ประสบการณ์ในการสื่อสารกับฝ่ายสนับสนุนทางเทคนิคของแอนติไวรัส คาดหวังอะไรได้บ้าง
กำลังติดต่อกับตำรวจ
ดูแลข้อควรระวังในอนาคต (ดูหัวข้อก่อนหน้า)
หากทุกอย่างล้มเหลว มันอาจจะคุ้มค่าที่จะจ่าย?
หากคุณยังไม่ได้ตกเป็นเหยื่อของไวรัสแรนซัมแวร์:
*การมีซอฟต์แวร์ป้องกันไวรัสบนคอมพิวเตอร์ที่มีการอัพเดตล่าสุด
พูดตรงไปตรงมา: "แอนตี้ไวรัสจัดการกับแรนซัมแวร์ประเภทใหม่ๆ ได้แย่มาก แต่พวกมันก็ยอดเยี่ยมในการต่อสู้กับภัยคุกคามที่รู้จัก" ดังนั้นจึงจำเป็นต้องมีโปรแกรมป้องกันไวรัสบนเวิร์กสเตชัน หากมีเหยื่ออยู่แล้วอย่างน้อยก็หลีกเลี่ยงโรคระบาดได้ โปรแกรมป้องกันไวรัสที่จะเลือกนั้นขึ้นอยู่กับคุณ
จากประสบการณ์ Kaspersky "กิน" หน่วยความจำและเวลาโปรเซสเซอร์มากขึ้นและสำหรับฮาร์ดไดรฟ์แล็ปท็อปที่มีความเร็ว 5200 นี่เป็นหายนะ (มักมีความล่าช้าในการอ่านเซกเตอร์ 500 ms .. ) Nod32 เร็ว แต่จับได้น้อย คุณสามารถซื้อโปรแกรมป้องกันไวรัส GDATA - ตัวเลือกที่ดีที่สุด
*การสำรองระบบข้อมูลและข้อมูลที่สำคัญ แต่ละบริการมีเซิร์ฟเวอร์ของตัวเอง
ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องโอนบริการทั้งหมด (1C, ผู้เสียภาษี, เวิร์กสเตชันเฉพาะ) และซอฟต์แวร์ใด ๆ ที่ชีวิตของบริษัทขึ้นอยู่กับไปยังเซิร์ฟเวอร์ที่แยกจากกัน ดียิ่งขึ้น - เทอร์มินัลหนึ่ง ยังดีกว่า วางแต่ละบริการไว้บนเซิร์ฟเวอร์ของคุณเอง (ทางกายภาพหรือเสมือน - ตัดสินใจด้วยตัวเอง)
อย่าเก็บฐานข้อมูล 1c ไว้ในโดเมนสาธารณะบนเครือข่าย หลายคนทำเช่นนี้ แต่มันก็ผิด
หากมีการจัดระเบียบงานกับ 1s บนเครือข่ายที่มีสิทธิ์อ่าน/เขียนร่วมกันสำหรับพนักงานทุกคน ให้นำ 1s ไปยังเซิร์ฟเวอร์เทอร์มินัล และให้ผู้ใช้ทำงานกับมันผ่าน RDP
หากมีผู้ใช้จำนวนน้อยและมีเงินไม่เพียงพอสำหรับระบบปฏิบัติการเซิร์ฟเวอร์ คุณสามารถใช้ Windows XP ปกติเป็นเซิร์ฟเวอร์เทอร์มินัลได้ (ขึ้นอยู่กับการลบข้อ จำกัด เกี่ยวกับจำนวนการเชื่อมต่อพร้อมกัน เช่น คุณต้องแพตช์) แม้ว่าจะประสบความสำเร็จเช่นเดียวกัน แต่คุณสามารถติดตั้งเวอร์ชันที่ไม่มีลิขสิทธิ์ได้ เซิร์ฟเวอร์ windows. โชคดีที่ Microsoft อนุญาตให้คุณใช้งานได้ แต่ซื้อและเปิดใช้งานในภายหลัง :)
การทำงานของผู้ใช้ตั้งแต่ 1 วินาทีถึง RDP จะช่วยลดภาระบนเครือข่ายและเพิ่มความเร็วในการทำงาน 1 วินาที ในทางกลับกัน จะป้องกันไม่ให้ฐานข้อมูลติดไวรัส
การเก็บไฟล์ฐานข้อมูลบนเครือข่ายที่ใช้ร่วมกันนั้นไม่ปลอดภัย และหากไม่มีโอกาสอื่นใด ให้ดูแลการสำรองข้อมูล (ดูหัวข้อถัดไป)
*สำรองข้อมูลสำคัญ
หากคุณยังไม่ได้สำรองข้อมูล (สำรองข้อมูล) - คุณเป็นคนโง่ขออภัยด้วย หรือทักทายผู้ดูแลระบบของคุณ การสำรองข้อมูลไม่เพียงแต่ช่วยประหยัดจากไวรัสเท่านั้น แต่ยังช่วยประหยัดจากพนักงานที่ประมาทเลินเล่อ แฮกเกอร์ และในที่สุดฮาร์ดไดรฟ์ที่ "พัง" อีกด้วย
จะสำรองข้อมูลอย่างไรและสิ่งใดบ้าง - คุณสามารถอ่านได้ในบทความแยกต่างหากเกี่ยวกับ ตัวอย่างเช่นโปรแกรมป้องกันไวรัส GDATA มีโมดูลสำรองในสองเวอร์ชัน - การป้องกันแบบรวมและความปลอดภัยปลายทางสำหรับองค์กร ( คุณสามารถซื้อการป้องกันโดยรวมของ GDATA ได้).
หากคุณพบไฟล์ที่เข้ารหัสในคอมพิวเตอร์ของคุณ:
*จะทำอย่างไรกับตัวไวรัสเอง?
ปิดคอมพิวเตอร์ของคุณและติดต่อฝ่ายบริการคอมพิวเตอร์ + การสนับสนุนโปรแกรมป้องกันไวรัสของคุณ หากคุณโชคดี เนื้อความของไวรัสยังไม่ถูกลบออกและสามารถใช้เพื่อถอดรหัสไฟล์ได้ หากคุณโชคไม่ดี (ซึ่งมักจะเป็นเช่นนั้น) หลังจากการเข้ารหัสข้อมูล ไวรัสจะส่งรหัสส่วนตัวไปยังผู้โจมตีและร่องรอยทั้งหมดจะถูกลบ การทำเช่นนี้ทำให้ไม่สามารถระบุได้ว่าจะเข้ารหัสอย่างไรและด้วยอัลกอริธึมใด
หากคุณยังคงมีอีเมลที่มีไฟล์ที่ติดไวรัส อย่าลบทิ้ง ส่งไปยังห้องปฏิบัติการป้องกันไวรัสสำหรับผลิตภัณฑ์ยอดนิยม และอย่าเปิดมันอีก
*การดำเนินการอิสระกับไฟล์ที่เข้ารหัส
สิ่งที่สามารถทำได้:
ติดต่อฝ่ายสนับสนุนโปรแกรมป้องกันไวรัส รับคำแนะนำ และอาจรวมถึงตัวถอดรหัสสำหรับไวรัสของคุณ
เขียนคำให้การต่อตำรวจ.
ค้นหาประสบการณ์ของผู้ใช้รายอื่นที่ประสบปัญหานี้ทางอินเทอร์เน็ต
ใช้มาตรการในการถอดรหัสไฟล์หลังจากคัดลอกไปยังโฟลเดอร์อื่น
หากคุณมี Windows 7 หรือ 8 คุณสามารถกู้คืนไฟล์เวอร์ชันก่อนหน้าได้ (คลิกขวาที่โฟลเดอร์ที่มีไฟล์) อีกครั้งอย่าลืมคัดลอกไว้ล่วงหน้า
สิ่งที่ไม่ควรทำ:
ติดตั้ง Windows ใหม่
ลบไฟล์ที่เข้ารหัส เปลี่ยนชื่อและเปลี่ยนนามสกุล ชื่อไฟล์มีความสำคัญมากเมื่อทำการถอดรหัสในอนาคต
*ประสบการณ์ในการสื่อสารกับฝ่ายสนับสนุนทางเทคนิคของแอนติไวรัส จะคาดหวังอะไรได้บ้าง
เมื่อลูกค้าของเรารายหนึ่งติดไวรัสเข้ารหัส .hardended ซึ่งยังไม่มีอยู่ในฐานข้อมูลแอนตี้ไวรัส คำขอก็ถูกส่งไปยัง dr.web และ Kaspersky
เราชอบการสนับสนุนด้านเทคนิคใน dr.web ข้อเสนอแนะปรากฏขึ้นทันทีและยังให้คำแนะนำอีกด้วย และหลังจากนั้นไม่กี่วันพวกเขาก็พูดตามตรงว่าทำอะไรไม่ได้แล้วจึงล้มลง คำแนะนำโดยละเอียดวิธีการส่งคำขอผ่านเจ้าหน้าที่ผู้มีอำนาจ
ในทางกลับกันใน Kaspersky บอทจะตอบก่อน จากนั้นบอทก็รายงานว่าการติดตั้งโปรแกรมป้องกันไวรัสด้วยฐานข้อมูลล่าสุดจะช่วยแก้ปัญหาของฉันได้ (ฉันเตือนคุณว่าปัญหาคือไฟล์ที่เข้ารหัสหลายร้อยไฟล์) หนึ่งสัปดาห์ต่อมา สถานะคำขอของฉันเปลี่ยนเป็น "ส่งไปยังห้องปฏิบัติการป้องกันไวรัส" และเมื่อผู้เขียนถามอย่างสุภาพเกี่ยวกับชะตากรรมของคำขอในอีกสองสามวันต่อมา ตัวแทนของ Kaspersky ตอบว่าเราจะไม่ได้รับการตอบกลับจาก ในห้องทดลองพวกเขาบอกว่าเรากำลังรออยู่
ต่อมาฉันได้รับข้อความว่าคำขอของฉันถูกปิดพร้อมข้อเสนอในการประเมินคุณภาพการบริการ (ทั้งหมดนี้ระหว่างรอคำตอบจากห้องปฏิบัติการ) .. “ให้ตายเถอะ!” คิดว่าผู้เขียน
อย่างไรก็ตาม NOD32 เริ่มติดไวรัสนี้ในวันที่ 3 หลังจากปรากฏตัว
หลักการคือคุณต้องอยู่คนเดียวด้วยไฟล์ที่เข้ารหัสของคุณ ห้องปฏิบัติการของแบรนด์แอนตี้ไวรัสชั้นนำจะช่วยคุณได้ก็ต่อเมื่อ หากคุณมีรหัสสำหรับผลิตภัณฑ์ป้องกันไวรัสที่เกี่ยวข้องและถ้าเข้า crypto-virus มีช่องโหว่หากผู้โจมตีเข้ารหัสไฟล์ด้วยอัลกอริธึมหลายตัวพร้อมกันและมากกว่าหนึ่งครั้ง คุณจะต้องจ่ายเงิน
ทางเลือกของโปรแกรมป้องกันไวรัสเป็นของคุณอย่าละเลย
*ติดต่อเจ้าหน้าที่ตำรวจ
หากคุณตกเป็นเหยื่อของไวรัสเข้ารหัสลับ และคุณได้รับความเสียหายใดๆ แม้แต่ในรูปแบบของข้อมูลส่วนบุคคลที่เข้ารหัส คุณสามารถติดต่อกับตำรวจได้ คำแนะนำในการสมัคร ฯลฯ มี.
*หากล้มเหลว คุ้มค่าที่จะจ่ายหรือไม่?
เมื่อพิจารณาถึงการไม่มีการใช้งานของโปรแกรมป้องกันไวรัสที่เกี่ยวข้องกับแรนซัมแวร์ บางครั้งการจ่ายเงินให้กับผู้โจมตีจึงง่ายกว่า ตัวอย่างเช่นสำหรับไฟล์ที่มีการชุบแข็งผู้เขียนไวรัสจะขอเงินประมาณ 10,000 รูเบิล
สำหรับภัยคุกคามอื่น ๆ (gpcode ฯลฯ ) ป้ายราคาอาจมีตั้งแต่ 2,000 รูเบิล โดยส่วนใหญ่แล้ว จำนวนนี้จะต่ำกว่าการสูญเสียที่เกิดจากการขาดข้อมูล และต่ำกว่าจำนวนที่ช่างฝีมือสามารถขอให้คุณถอดรหัสไฟล์ด้วยตนเอง
โดยสรุป การป้องกันไวรัสแรนซัมแวร์ที่ดีที่สุดคือการสำรองข้อมูลสำคัญจากเซิร์ฟเวอร์และเวิร์กสเตชันของผู้ใช้
วิธีดำเนินการขึ้นอยู่กับคุณ ขอให้โชคดี.
ผู้ใช้ที่อ่านรายการนี้มักจะอ่าน:
ติดต่อกับ
สวัสดีเพื่อนรักและผู้อ่าน Ruslan Miftakhov ติดต่อผู้เขียนบล็อกนี้ซึ่งไม่รู้จัก
ในบทความนี้ ผมอยากจะพูดถึงหัวข้อสะเทือนใจเกี่ยวกับการโจมตีของไวรัสทั่วโลก ซึ่งเริ่มตั้งแต่วันศุกร์ที่ 12 พฤษภาคมปีนี้ ให้คำแนะนำเกี่ยวกับวิธีการป้องกันตนเองจากไวรัสแรนซัมแวร์และบันทึกข้อมูลสำคัญของคุณลงในคอมพิวเตอร์ของคุณ
ถ้าคุณอ่านบล็อกของฉัน คุณจะรู้ว่าฉันเป็นช่างซ่อมคอมพิวเตอร์ นี่เป็นงานอดิเรกมากกว่างาน เท่าที่ฉันจำได้ ไวรัสตัวบล็อกเป็นเรื่องปกติจนถึงปี 2013
เมื่อระบบบูทขึ้น ข้อความก็ปรากฏขึ้นพร้อมกับคำจารึกข่มขู่ ซึ่งบางครั้งก็มีภาพอนาจารด้วย ฉันยังมีรูปถ่ายของตัวบล็อกดังกล่าวเหลืออยู่สองสามรูป นี่คือหนึ่งในนั้น
ลูกค้าหลายรายสารภาพกับฉันว่าพวกเขาจ่ายเงินให้กับนักหลอกลวง และด้วยเหตุนี้พวกเขาจึงโทรหาผู้เชี่ยวชาญเพื่อกำจัดไวรัสนี้ คนหนึ่งจ่ายเงิน 500 รูเบิลสามครั้งในเทอร์มินัลที่แตกต่างกันโดยคิดว่ารหัสปลดล็อคอาจจะพิมพ์อยู่ในอีกเครื่องหนึ่ง เป็นผลให้เธอโทรหาฉัน และฉันก็กำจัดไวรัสนี้ภายใน 5-10 นาที
ที่ไหนสักแห่งในปี 2013 ฉันพบไวรัสแรนซัมแวร์เป็นครั้งแรกในเมืองของเรา เมื่อแอปพลิเคชันประเภทนี้ เช่น Wannacry เริ่มเข้ามา ตัวอย่างเช่น นี่คือไวรัสชื่ออีโบลา ซึ่งฉันถ่ายรูปไว้เป็นของที่ระลึก
แน่นอนว่าการลบไวรัสออกจากคอมพิวเตอร์นั้นไม่ใช่เรื่องยาก แต่ข้อมูลที่เข้ารหัสไม่สามารถถอดรหัสได้มีเพียงตัวถอดรหัสที่เหมาะสมเท่านั้นที่สามารถช่วยได้ที่นี่
หลักการของไวรัส
ไวรัสแพร่กระจายผ่านอีเมลเป็นหลัก จดหมายส่งถึงโดยมีเรื่องจากกระทรวงกิจการภายในของรัสเซีย หรือคำตัดสินของศาล หรือจากหน่วยงานด้านภาษี โดยทั่วไป พวกเขาเล่นกับความอยากรู้อยากเห็นของผู้ใช้จึงเปิดจดหมาย และในจดหมายนั้นมีไฟล์แนบมาด้วย ซึ่งเป็นไวรัสแรนซัมแวร์ตัวเดียวกัน
หลังจากเจาะพีซี ไวรัสจะเริ่มเข้ารหัสรูปภาพ วิดีโอ เอกสารทั้งหมด มีไฟล์อยู่ในคอมพิวเตอร์ แต่ไม่สามารถเปิดได้ นี่เป็นโชคร้ายและเพื่อถอดรหัสนักหลอกลวงเหล่านี้พวกเขาขอเงิน 15-20,000 รูเบิลสำหรับสิ่งนี้
แน่นอนว่าหากไฟล์มีมูลค่าในตัวเองและไม่มีสำเนา ผู้ใช้ก็จะจัดการกับสแกมเมอร์ ฉันไม่เคยได้ยินกรณีเช่นนี้มาก่อน ไม่มีใครชอบพูดว่าเขาตกเป็นเหยื่อของการหลอกลวง
พวกเขาถึงกับเรียกฝ่ายบริหารไปบ้านหลังหนึ่งซึ่งฉันสังเกตเห็นภาพเช่นนี้
ตามที่นักบัญชีระบุ เขาได้รับอีเมลพร้อมหัวเรื่องจากฝ่ายบริหาร เมื่อเปิดมันขึ้นมาแล้ว ในไฟล์แนบก็มีเอกสารสำคัญที่ต้องเปิดและอ่าน ถ้าอย่างนั้นคุณเองก็เข้าใจทุกอย่างด้วยการเปิดไฟล์นี้ไวรัสจะเริ่มต้นและเข้ารหัสทุกสิ่งที่ไม่ได้รับบนคอมพิวเตอร์
และนี่คือทั้งหมดก่อนการตรวจสอบภาษี เป็นเรื่องบังเอิญ หรือ มีเหตุผล ;)
ทำไมผู้คนถึงจ่ายเงินให้กับนักหลอกลวง?
จิตวิทยาที่ละเอียดอ่อนเล่นที่นี่ ในกรณีของไวรัสตัวบล็อก รูปภาพลามกอนาจารออกมาพร้อมคำจารึกว่าคุณปีนไซต์ลามกอนาจารและเก็บรูปภาพที่มีภาพอนาจารของเด็ก และบทความนี้มีโทษตามกฎหมายเช่นนั้น มีคนเชื่อเรื่องไร้สาระนี้และจ่ายเงินและมีคนไม่อยากให้ญาติของเขาเห็นและจ่ายเงินโดยหวังว่าตัวบล็อกจะหายไปหลังจากชำระเงิน ใช่ไร้เดียงสา
ในกรณีของไวรัส Wanna Cry นักหลอกลวงคาดหวังว่าไฟล์ที่เข้ารหัสจะมีความจำเป็นและสำคัญต่อผู้ใช้มากและเขาจะจ่ายเงิน แต่ที่นี่จำนวนเงินไม่ใช่ 500-1,000 รูเบิลอีกต่อไปเหมือนในกรณีแรก และบางทีพวกหลอกลวงอาจมุ่งเป้าไปที่เกมที่ใหญ่กว่า
คิดด้วยตัวเองว่าผู้ใช้โดยเฉลี่ยคนไหนจะจ่ายเงิน 500 ดอลลาร์สำหรับการสูญเสีย ภาพถ่ายครอบครัวคลังวิดีโอหรือสำหรับภาคเรียนหรือวิทยานิพนธ์
แต่เป้าหมายคือบริษัทขนาดใหญ่และองค์กรของรัฐซึ่งเกิดขึ้นกับ Megafon, Beeline และอีกหลายคน คุณคิดว่าพวกเขาจะจ่ายเงิน 500 เหรียญเพื่อฟื้นฟูฐานของพวกเขาหรือไม่ เพราะเหตุใด
พวกเขาจะจ่ายเงินหากไม่มีสำเนาแน่นอน หากมีสำเนาไม่มีคำถาม รื้อทุกอย่าง และสำเนาสำรองจะใส่ใหม่ พวกเขาจะเสียเวลา 2, 3 ชั่วโมง แต่ทุกอย่างจะทำงานเหมือนเดิม
วิธีหลีกเลี่ยงแรนซัมแวร์
- สิ่งแรกที่คุณต้องทำคือทำข้อมูลสำคัญ ฉันแนะนำให้มีสำเนาอย่างน้อยสามชุดในสื่อต่างๆ คัดลอกไปยังแฟลชไดรฟ์ไปยังภายนอก ฮาร์ดดิสเก็บสำเนาไว้ใน Mail cloud, Yandex disk หรือบริการจัดเก็บข้อมูลบนคลาวด์อื่น ๆ
- อัปเดตด้วยตนเองเป็นประจำ ระบบปฏิบัติการ. แม้ว่า Windows จะไม่ได้รับการอัพเดต แต่โปรแกรมป้องกันไวรัส nod32 จะตรวจจับและบล็อก WannaCry และการแก้ไข
- ด้วยความรอบคอบและไม่เปิดอีเมลที่น่าสงสัย แน่นอนว่าสิ่งนี้ต้องอาศัยประสบการณ์จึงจะรู้สึกว่าไม่ควรเปิดจดหมายฉบับใด
- ต้องแน่ใจว่ามีโปรแกรมป้องกันไวรัสที่มีใบอนุญาตที่ถูกต้องพร้อมฐานข้อมูลที่อัปเดตอยู่ตลอดเวลา ฉันแนะนำโปรแกรมป้องกันไวรัส Eset Nod 32 Smart Security
หากต้องการซื้อโปรแกรมป้องกันไวรัสพร้อมส่วนลด ให้คลิกที่ปุ่มด้านล่าง
หลังจากชำระเงินตามวิธีที่คุณสะดวกตามที่คุณระบุ ที่อยู่อีเมลคุณจะได้รับรหัสลิขสิทธิ์และลิงค์สำหรับดาวน์โหลดโปรแกรมป้องกันไวรัส
หากคุณปฏิบัติตามประเด็นเหล่านี้ คุณก็จะไม่กลัวไวรัสใดๆ แม้แต่ผู้เข้ารหัสก็ตาม แล้วคุณจะร้องเพลงเหมือนในการ์ตูนเรื่อง Three Little Pigs: เราไม่กลัวหมาป่าสีเทา หมาป่าที่น่ากลัว หมาป่าแก่ :)
ก็แค่นั้นแหละ ฉันเตือนคุณแล้ว แต่ฉันเตือนคุณแล้วไงล่ะ? ถูกต้อง - ติดอาวุธ
แบ่งปันบทความนี้เพื่อไม่ให้เพื่อน คนรู้จัก และญาติของคุณตกอยู่ในเงื้อมมือของผู้หลอกลวง
ขอแสดงความนับถือ Ruslan Miftakhov
