Sa pagkakataong ito, sinuri namin kung paano nakayanan ng kumplikadong mga tool sa proteksyon ng anti-virus ang pag-encrypt ng mga Trojan. Para sa layuning ito, ang isang seleksyon ng ransomware ay ginawa at ang isang hiwalay na programa ay isinulat pa na ginagaya ang mga aksyon ng isang hindi kilalang encryption na Trojan. Ang kanyang lagda ay tiyak na wala sa mga database ng sinumang kalahok sa pagsubok ngayon. Tingnan natin kung ano ang magagawa nila!
BABALA
Ang artikulo ay isinulat para sa mga layunin ng pananaliksik. Ang lahat ng impormasyon sa loob nito ay para sa mga layuning pang-impormasyon lamang. Ang lahat ng mga sample ay nakuha mula sa mga bukas na mapagkukunan at ipinadala sa mga analyst ng virus.
Mga lumang remedyo para sa mga bagong banta
Ang mga klasikong antivirus ay kaunting tulong sa pagprotekta laban sa mga Trojan program na nag-e-encrypt ng mga file at humihingi ng ransom para sa pag-decryption sa kanila. Sa teknikal, ang naturang ransomware ay binubuo ng buo o halos kabuuan ng mga lehitimong bahagi, na ang bawat isa ay hindi nagsasagawa ng anumang malisyosong pagkilos sa sarili nitong. Pinagsasama-sama lang ng malware ang mga ito sa isang chain, na humahantong sa isang mapaminsalang resulta - ang user ay pinagkaitan ng pagkakataon na magtrabaho kasama ang kanyang mga file hanggang sa i-decrypt niya ang mga ito.
SA Kamakailan lamang Maraming mga espesyal na kagamitan ang lumitaw upang maprotektahan laban sa ransomware Trojans. Sinusubukan nilang magsagawa ng non-signature analysis (iyon ay, tukuyin ang mga bagong bersyon ng ransomware sa pamamagitan ng kanilang pag-uugali, reputasyon ng file at iba pang hindi direktang mga palatandaan), o ipagbawal lamang ang anumang mga programa sa paggawa ng mga pagbabagong kinakailangan para sa mga aksyon ng ransomware.
Kami ay kumbinsido na ang mga naturang kagamitan ay halos walang silbi. Kahit na ang pinakamahigpit na paghihigpit na itinakda sa kanila (kung saan hindi na posible na gumana nang normal) ay hindi nagbibigay ng maaasahang hadlang laban sa ransomware Trojans. Pinipigilan ng mga program na ito ang ilang mga impeksyon, ngunit lumilikha lamang ito ng maling pakiramdam ng seguridad sa gumagamit. Nagiging mas pabaya siya at mas mabilis siyang nabiktima ng ransomware.
Ang pangunahing problema kapag nakikipaglaban sa mga klasikong pag-encrypt na Trojan ay ang lahat ng kanilang mga aksyon ay ginagawa lamang sa mga file ng gumagamit at hindi nakakaapekto sa mga bahagi ng system. Hindi maaaring pagbawalan ang user na baguhin at tanggalin ang kanyang mga file. Ang mga kinatawan ng mataas na kalidad na ransomware ay may napakakaunting o walang halatang natatanging tampok sa pag-uugali. Ang isang koneksyon sa network ay nagpapagana na ngayon sa karamihan ng mga programa (kahit man lang para tingnan ang mga update), at ang mga function ng pag-encrypt ay binuo sa kahit na mga text editor.
Lumalabas na walang natitira pang malinaw na mga palatandaan para sa preventive protection tool upang makatulong na makilala ang isa pang ransomware Trojan mula sa isang lehitimong programa. Kung ang Trojan signature ay wala sa mga database, napakaliit ng pagkakataon na matukoy ito ng antivirus. Ang heuristic module ay tumutugon lamang sa mga magaspang na pagbabago ng kilalang ransomware, at ang behavioral analyzer ay karaniwang hindi nakakakita ng anumang kahina-hinalang aktibidad.
Iba ang mga backup sa mga backup!
Ngayon, libu-libong mga computer ang nahawaan ng ransomware araw-araw at, bilang panuntunan, sa pamamagitan ng mga kamay ng mga gumagamit mismo. Ang mga kumpanya ng antivirus ay tumatanggap ng mga kahilingan upang i-decrypt ang mga file (nang libre mula sa kanilang mga kliyente), gayunpaman, ang kanilang mga analyst ay hindi makapangyarihan. Minsan posible na mangolekta ng masyadong maliit na data para sa matagumpay na pag-decryption, o ang Trojan algorithm mismo ay naglalaman ng mga error na ginagawang imposibleng ibalik ang mga file sa kanilang orihinal na anyo. Ngayon ang mga aplikasyon para sa pag-decryption ay pinoproseso mula dalawang araw hanggang anim na buwan, at sa panahong ito marami sa kanila ang nawawalan na lamang ng kaugnayan. Ito ay nananatiling naghahanap ng karagdagang paraan ng proteksyon nang hindi umaasa sa isang anti-virus scanner.
Sa mahabang panahon, ang mga backup na kopya ay ang unibersal na proteksyon laban sa anumang pag-atake ng virus. Sa kaso ng impeksyon sa bagong malware, maaari mo lamang ibalik ang lahat mula sa backup, i-overwrite ang mga naka-encrypt na file sa kanilang mga orihinal na bersyon at i-undo ang anumang hindi gustong mga pagbabago. Gayunpaman, natutunan ng mga modernong pag-encrypt na Trojan na kilalanin at sirain din ang mga backup. Kung naka-configure awtomatikong paglikha, pagkatapos ay ang backup na imbakan ay konektado at magagamit para sa pagsusulat. Ang isang advanced na Trojan ay ini-scan ang lahat ng lokal, panlabas at network drive, tinutukoy ang direktoryo na may mga backup na kopya at ine-encrypt ang mga ito o tinatanggal ang mga ito, binubura ang libreng espasyo.
Ang manu-manong paggawa ng mga backup ay masyadong nakakapagod at hindi mapagkakatiwalaan. Mahirap gawin ang ganoong operasyon araw-araw, at sa loob ng mas mahabang panahon ay maiipon ang maraming nauugnay na data, na wala nang maibabalik pa. Paano maging?
Ngayon, karamihan sa mga developer ay nag-aalok, bilang karagdagan sa mga klasikong antivirus, mga komprehensibong solusyon sa seguridad. Ngayon, bilang karagdagan sa firewall, IDS at iba pang mga kilalang bahagi, naglalaman ang mga ito ng bago - secure na backup na imbakan. Hindi tulad ng isang regular na direktoryo na may mga backup, ang antivirus lamang mismo ang may access dito at kinokontrol ng driver nito. Ang panlabas na pamamahala ng direktoryo ay ganap na hindi pinagana - kahit na ang isang administrator ay hindi maaaring magbukas o magtanggal nito sa pamamagitan ng file manager. Tingnan natin kung gaano kahusay ang diskarteng ito.
Pamamaraan ng pagsubok
Para sa aming mga eksperimento, gumawa kami ng mga clone ng isang virtual machine na may malinis na Windows 10 at ang pinakabagong mga patch set. Ang bawat isa sa kanila ay may sariling antivirus na naka-install. Kaagad pagkatapos i-update ang mga database, sinuri namin ang tugon ng antivirus sa pagpili ng pagsubok at ang aming simulator program. Kasama sa set ng pagsubok ang 15 sample. Sa mga ito, 14 ay iba't ibang mga pagbabago ng mga kilalang ransomware Trojan, at ang ikalabinlima ay isang downloader Trojan na nag-download ng isa pang ransomware mula sa isang malayong site.
Ang lahat ng mga sample ay may extension na .tst, anuman ang aktwal na format ng file. Ang isang programa na espesyal na isinulat para sa mga pagsubok na ito, na pinangalanang EncryptFiles, ay ginaya ang karaniwang pag-uugali ng isang naka-encrypt na Trojan. Kapag inilunsad gamit ang mga default na parameter, agad nitong na-encrypt ang mga nilalaman ng mga file mula sa direktoryo ng "Aking Mga Dokumento" nang walang anumang mga tanong. Para sa kalinawan, nag-save kami ng mga echo message sa program at naglagay ng ilang text file sa OEM-866 encoding sa direktoryo kasama ang mga dokumento ng kasalukuyang user upang agad na maipakita ang kanilang mga nilalaman nang direkta sa console. Ang isang file ay naglalaman ng mga quote mula sa mga gawa ng Strugatskys (simpleng hindi naka-format na teksto), at ang isa ay naglalaman ng mga parameter ng lens sa anyo ng talahanayan (naka-format na teksto).
Pagkatapos i-install at i-update ang bawat antivirus, ang mga sample ng ransomware ay kinopya sa direktoryo ng Mga Download mula sa isang folder ng network na nakakonekta sa Read-Only na mode. Pagkatapos ang mga nakopyang file ay karagdagang na-scan ng antivirus (sapilitang pag-scan kapag hiniling) sa mga default na setting. Ang mga sample na natitira pagkatapos ng pag-verify ay itinalaga ng kanilang tunay na extension, pagkatapos ay inilunsad ang mga ito. Kung ang system ay hindi nahawahan, pagkatapos ay ang tugon ng antivirus sa programa ng simulator ay nasuri. Kung matagumpay na na-encrypt ang mga file, sinubukan naming ibalik ang kanilang mga orihinal na bersyon gamit ang antivirus software at nai-log ang resulta.
Kaspersky Total Security
Nag-install kami ng Kaspersky Total Security sa isa sa aming mga pagsubok na virtual machine, na nangako ng "proteksyon laban sa ransomware na pumipigil sa mga file na masira ng malware." Nakilala ng KTS ang halos lahat ng mga banta kapag sinusubukang kopyahin ang mga sample ng ransomware mula sa isang folder ng network.
Isang file lamang sa labinlimang file ang kasama sa direktoryo ng "Mga Download" - nd75150946.tst - ito ay Trojan.Downloader, at ito ay kilala sa mahabang panahon. Sa karagdagang pag-verify sa kahilingan ng KTS, muling itinuring na ligtas ang file. Apatnapu't limang virus scanner sa VirusTotal ang hindi sumang-ayon.
Binuksan namin ang sample na ito gamit ang isang Hex editor upang matukoy ang totoong extension nito. Ang pamilyar na header 50 4B 03 04 at ang pangalan ng isa pang file sa loob - malinaw naman, ito ay isang ZIP archive. Sa loob ng archive ay mayroong isang kahina-hinalang file: ang icon nito ay tumutugma sa isang PDF na dokumento, at ang extension ay .scr - isang screen saver, iyon ay, ito ay executable code.
Kapag sinusubukang magpatakbo ng file na may extension na .scr mula sa isang archive, hinarangan ng KTS ang awtomatikong na-unpack na kopya nito sa pansamantalang direktoryo ng user. Batay sa mga resulta ng pagtatasa ng ulap sa pamamagitan ng network ng KSN, tinukoy niya ang file na ito bilang isang hindi kilalang malisyosong bagay at iminungkahi na tanggalin ito sa pamamagitan ng pag-reboot. Sa kasong ito, ito ay isang labis na pag-iingat, dahil ang Trojan ay hindi nakakuha ng kontrol at maaaring tanggalin sa anumang paraan, tulad ng isang regular na file.
Kapansin-pansin na ang Kaspersky Total Security ay hindi natututo mula sa mga pagkakamali nito. Nang muling suriin ang archive, muli itong nakitang malinis, bagama't nagdulot lamang ng trigger ang file na na-unpack mula dito ayon sa mga resulta ng pagsusuri sa KSN.
Sa simula ng susunod na yugto ng pagsubok, sinuri namin ang paunang estado ng direktoryo ng "Aking Mga Dokumento" at i-output ang mga nilalaman ng ilang mga text file mula dito patungo sa console.
Pagkatapos nito, binuksan namin ang module na "Backup and Restore" at i-back up ang mga dokumentong ito sa folder ng Backup nang direkta sa partition ng system. Sa totoong sitwasyon, dapat kang pumili ng ibang lokasyon (halimbawa, isang panlabas na drive), ngunit para sa aming pagsubok ay hindi mahalaga. Sa anumang kaso, ang pag-access sa folder na ito ay kinokontrol ng mga tool ng KTS, at ang mga Trojan ay hindi maaaring makipag-ugnayan dito sa pamamagitan ng karaniwang driver ng file system.
Gamit ang mga regular na tool, kahit na ang isang administrator ay maaari lamang tingnan ang mga katangian ng folder na ito. Kapag sinubukan mong mag-log in, awtomatikong magsisimula ang backup manager ng KTS at hihilingin sa iyo na magpasok ng isang password, kung ang isa ay naitakda dati.
Ang backup manager mismo ng Kaspersky ay napakalinaw. Maaari kang pumili ng mga karaniwang direktoryo, tukuyin ang iyong sarili, o ibukod ang mga indibidwal na file. Ang bilang ng mga file ng bawat uri ay agad na ipinapakita sa window sa kaliwa, at ang kanilang laki ay ipinapakita sa mga katangian sa kanan.
Bilang karagdagan sa pag-record ng mga backup sa mga lokal at naaalis na drive, sinusuportahan ng KTS ang pagpapadala sa kanila sa Dropbox. Ang paggamit ng cloud storage ay lalong maginhawa kung pinipigilan ng malware ang computer sa pagsisimula at pagkonekta sa external na media.
Hindi pinansin ng KTS ang aming simulator program. Mahinahon niyang na-encrypt ang mga file, na ginawang gobbledygook ang mga nilalaman nito. Ang pagtanggi sa pag-access sa mga subdirectory na "Aking Mga Video", "Aking Mga Larawan" at "Aking Musika" ay isang depekto sa mismong programa, na hindi sa anumang paraan ay nakakaapekto sa kakayahang mag-encrypt ng mga file sa %USERPROFILE%Documents.
Kung sa aming programa ang function ng decryption ay ginanap lamang kapag inilunsad gamit ang /decrypt key, sa Trojans hindi ito palaging magsisimula kahit na matapos matupad ang mga hinihingi ng ransom. Ang tanging sapat na mabilis na opsyon para sa pagpapanumbalik ng mga naka-encrypt na file sa kasong ito ay i-overwrite ang mga ito mula sa isang naunang ginawang backup na kopya. Sa ilang pag-click lang, pinili naming ibinalik ang isa sa mga naka-encrypt na file sa orihinal nitong lokasyon. Sa parehong paraan, maaari mong ibalik ang isa o higit pang buong mga direktoryo.
Dr.Web Security Space
Tulad ng KTS, tinukoy ng Dr.Web SS ang 14 sa 15 sample kahit na sinusubukang kopyahin ang mga ito sa direktoryo ng "Mga Download".
Gayunpaman, hindi tulad ng KTS, nakita pa rin nito ang Trojan.Downloader sa natitirang sample pagkatapos na baguhin ang extension nito sa ZIP at magpatakbo ng sapilitang pag-scan.
Karamihan sa mga setting ng Dr.Web SS ay naka-lock bilang default. Upang maisaaktibo ito, kailangan mo munang mag-click sa icon ng lock at ipasok ang password, kung ang isa ay naitakda.
Ginagawa ang mga backup sa Dr.Web SS gamit ang tool na "Data Loss Prevention". Ang mga setting na magagamit ay minimal. Maaari kang pumili ng mga karaniwang direktoryo ng user para sa backup o tukuyin ang iyong sarili, itakda ang isa sa mga napiling paghihigpit sa dami ng mga kopya, tukuyin ang lokasyon ng mga backup na kopya at i-configure ang backup na iskedyul. Hindi sinusuportahan ng Dr.Web SS ang pag-upload sa cloud storage, kaya kailangan mong limitahan ang iyong sarili sa mga lokal na drive.
Ang proteksyon ng backup na direktoryo ng Dr.Web SS ay mas agresibo kaysa sa KTS. Hindi man lang matingnan ng administrator ang mga katangian nito sa pamamagitan ng Explorer.
Gumawa kami ng mga backup na kopya ng mga dokumento at sinimulan ang ikalawang bahagi ng pagsusulit.
Ang Dr.Web SS simulator ay hindi nakilala ang programa at hindi nakagambala sa operasyon nito sa anumang paraan. Sa isang segundo, ang lahat ng mga file ay na-encrypt.
Sa pamamagitan ng pagpapatakbong muli ng Data Loss Prevention, naibalik namin ang mga orihinal na file. Gayunpaman, hindi sila napanatili kung saan inaasahan.
Kapag tinukoy mo ang target na folder na "Aking Mga Dokumento", ang isang subdirectory ay awtomatikong nagagawa sa loob nito na may kasalukuyang petsa at oras bilang ang pangalan. Ang mga naka-save na file mula sa backup ay na-unpack na dito, at lahat ng mga kamag-anak na landas ay naibalik. Lumilikha ito ng isang napaka-inconvenient na mahabang landas na madaling lumampas sa karaniwang 255 na limitasyon ng character.
Norton Security Premium
Inaalala ang Norton Ghost, na naging backup na pamantayan noong dekada nobenta, madaling hulaan ang hitsura ng katulad na pag-andar sa antivirus mula sa Symantec. Nakapagtataka na lumipas ang dalawang dekada bago naging popular ang halatang solusyong ito. Walang kaligayahan, ngunit ang kasawian ay makakatulong.
Kapag sinusubukang kopyahin ang isang direktoryo na may mga sample ng ransomware, natukoy at na-quarantine ng NSP ang 12 sa 15 na banta.
Ang lahat ng tatlong natitirang mga file ay kinikilala bilang nakakahamak kapag sinuri ng VirusTotal, kabilang ang dalawa sa kanila ng Symantec antivirus. Ginagawa lang ang mga default na setting upang hindi masuri ng NSP ang ilang mga file kapag kinokopya. Nagsasagawa kami ng sapilitang pag-scan... at nakita ng NSP ang dalawa pang Trojan sa parehong direktoryo.
Tulad ng mga nakaraang antivirus, iniiwan ng NSP ang Trojan downloader sa isang pinalitan ng pangalan na ZIP archive. Kapag sinubukan mong patakbuhin ang .scr file mula sa archive, hinaharangan ng NSP ang paglunsad ng hindi naka-pack na kopya ng Trojan mula sa pansamantalang direktoryo ng kasalukuyang user. Sa kasong ito, ang archive mismo ay hindi pinoproseso sa anumang paraan.
Ang archive ay itinuturing na malinis kahit na ito ay muling ini-scan kaagad pagkatapos na ang Trojan na kinuha mula dito ay nakita. Ang inskripsiyon ay lalong nakakatawa: "Kung sa tingin mo ay may mga banta pa rin, mag-click dito." Kapag nag-click ka dito, ang mga database ay ina-update (o hindi kung sariwa na sila).
Nakapagtataka na ang ilan sa mga lumang sample ng ransomware ay na-detect pa rin ng NSP sa pamamagitan lamang ng heuristic analyzer at cloud checking tool. Mukhang tamad ang mga Symantec virologist na panatilihing napapanahon ang mga database. Hinaharang lang ng kanilang antivirus ang lahat ng kahina-hinala at naghihintay ng reaksyon ng user.
Ang ikalawang yugto ng pagsubok ay naganap ayon sa kaugalian. Nag-back up kami ng mga file mula sa direktoryo ng My Documents at pagkatapos ay sinubukan naming i-encrypt ang mga ito.
Ang backup manager sa NSP sa simula ay nasiyahan ako sa lohika nito. Ginagamit niya ang klasikong “Ano? saan? Kailan?”, pamilyar noong panahon ng pre-Soviet. Gayunpaman, sa modernong bersyon ito ay natatabunan ng labis na abstraction. Sa halip na direktang ilista ang mga bagay na may mga buong path at file ayon sa extension, ginagamit ang kanilang virtual na lokasyon at conditional grouping ayon sa uri. Ito ay nananatiling makita kung aling mga file ang isasaalang-alang ng NSP na may kaugnayan sa impormasyon sa pananalapi, at kung alin ang ilalagay lamang sa seksyong "Iba".
Posible ang mga karagdagang setting (halimbawa, gamit ang link na "Magdagdag o magbukod ng mga file at folder"), ngunit napakahirap gawin ang mga ito. Para sa kapakanan ng ilang mga file (bawat isa ay mas mababa sa isang kilobyte), kailangan mo pa ring i-backup ang kalahating puno ng direktoryo at lahat ng uri ng basura tulad ng desktop.ini, at nag-aalok ang backup wizard na i-immortalize ito sa isang CD-R. Tila ang ika-21 siglo ay hindi pa dumating para sa lahat.
Sa kabilang banda, ang mga gumagamit ng NSP ay binibigyan ng 25 GB ng mga backup sa cloud. Upang mag-upload ng mga backup doon, piliin lamang ang "Secure Network Storage" bilang lokasyon ng patutunguhan.
Sa pagkakaroon ng paglikha ng isang lokal na backup, naglunsad kami ng isang programa na ginagaya ang mga aksyon ng isang ransomware Trojan. Hindi siya pinigilan ng NSP sa anumang paraan at pinahintulutan siyang i-encrypt ang mga file.
Ang pagpapanumbalik sa kanila mula sa isang backup ay mas mabilis at mas maginhawa kaysa sa Dr.Web SS. Ito ay sapat na upang kumpirmahin ang overwriting, at ang mga file sa kanilang orihinal na anyo ay agad na lumitaw sa kanilang orihinal na mga lugar.
K7 Ultimate Security
Dati, ang produktong ito mula sa kumpanyang Indian na K7 Computing ay tinatawag na Antivirus Plus. Mayroon pa ring kaunting kalituhan sa mga pangalan ng developer na ito. Halimbawa, ang pamamahagi ng K7 Total Security ay walang mga backup na tool. Kaya naman sinubukan namin ang Ultimate na bersyon - ang tanging may kakayahang gumawa ng mga backup.
Hindi tulad ng mga antivirus na kilala sa Russia, ang pag-unlad na ito ay isang maitim na kabayo sa aming mga pagsubok. Ang pariralang "Indian code" ay itinuturing na isang maruming salita sa mga programmer, at hindi namin inaasahan ang marami mula dito. Tulad ng ipinakita ng mga pagsubok, ito ay walang kabuluhan.
Ang K7 Ultimate Security ay ang unang antivirus na agad na nakakita ng lahat ng 15 banta mula sa aming napili. Hindi man lang nito ako hahayaan na tapusin ang pagkopya ng mga sample sa direktoryo ng Mga Download at direktang tatanggalin ang mga ito sa folder ng network kung hindi ito nakakonekta sa Read-Only na mode.
Ang disenyo ng programa ay camouflage at bakal. Tila, ang mga developer ay masigasig sa paglalaro ng mga tangke o sinusubukan lamang na pukawin ang mga asosasyon sa isang bagay na maaasahan sa ganitong paraan. Ang mga backup na parameter sa K7 ay nakatakda sa halos parehong paraan tulad ng sa NSP. Sa pangkalahatan, gayunpaman, ang interface ng K7 ay hindi gaanong kalat at ginagawang mas madaling ma-access ang fine-tuning.
Ang K7 ay hindi tumugon sa anumang paraan sa paglulunsad ng programa ng simulator at pag-encrypt ng mga file. Gaya ng dati, kailangan kong ibalik ang mga orihinal mula sa isang backup.
Maginhawa na kapag nagpapanumbalik, maaari kang pumili ng mga indibidwal na file at isulat ang mga ito sa kanilang orihinal na lokasyon. Nang masagot ang sang-ayon sa kahilingang i-overwrite ang umiiral na file, ibinalik namin ang lenses.txt sa ilang pag-click sa orihinal nitong lokasyon.
Wala nang maidaragdag pa tungkol sa pagganap ng K7 sa pagsusulit na ito. Ang tagumpay ay tagumpay.
mga konklusyon
Sa kabila ng magagandang resulta ng pagsubok, ang mga pangkalahatang konklusyon ay nakakabigo. Kahit na buong bersyon Pinapayagan ng mga sikat na bayad na antivirus na lumabas ang ilang variant ng ransomware sa kanilang mga default na setting. Hindi rin ginagarantiyahan ng selective on-demand na pag-scan ang seguridad ng mga na-scan na file. Ang mga matagal nang kilalang pagbabago ng mga Trojan ay iniiwasan din ang pagtuklas gamit ang mga primitive na trick (tulad ng pagpapalit ng extension). Ang bagong malware ay halos palaging sinusuri para sa pagtuklas bago ilabas sa ligaw.
Hindi ka dapat umasa sa isang behavioral analyzer, cloud checking, mga katangian ng reputasyon ng mga file at iba pang tool sa pagsusuri na hindi pirma. Mayroong ilang mga benepisyo mula sa mga pamamaraang ito, ngunit napakaliit. Kahit na ang aming primitive simulator program na walang reputasyon at hindi digital na lagda Hindi na-block ng anumang antivirus. Tulad ng maraming ransomware Trojans, naglalaman ito ng maraming mga bahid, ngunit hindi nito pinipigilan ang madaling pag-encrypt ng mga file kaagad sa paglunsad.
Ang awtomatikong pag-backup ng mga file ng user ay hindi bunga ng pag-unlad, ngunit isang kinakailangang hakbang. Maaari itong maging epektibo lamang sa patuloy na proteksyon ng backup na imbakan gamit ang antivirus mismo. Gayunpaman, magiging epektibo ito nang eksakto hanggang sa ma-unload ang antivirus mula sa memorya o ma-uninstall nang buo. Samakatuwid, palaging sulit na gumawa ng mga karagdagang kopya sa ilang bihirang konektadong media o i-upload ang mga ito sa cloud. Siyempre, kung may sapat kang tiwala sa cloud provider.
Ngayon, marami na ang nakaranas ng mga resulta ng mga aksyon ng mga cybercriminal, na ang pangunahing sandata ay mga virus ng pag-encrypt. Ang pangunahing layunin ay gamitin ang mga ito upang mangikil ng pera mula sa mga gumagamit. Sampu-sampung libong hryvnia ang maaaring hilingin para sa pag-unlock ng mga personal na file, at milyun-milyon mula sa mga may-ari ng negosyo (halimbawa, para sa isang naka-block na database ng 1C).
Umaasa kami na ang aming payo ay makakatulong na panatilihing secure ang iyong database hangga't maaari.
Proteksyon ng antivirus
Siyempre, ang pangunahing paraan ng proteksyon ay isang antivirus. Kinakailangang tiyakin na ang iyong antivirus program ay napapanahon, dahil ang mga database ng virus ay awtomatikong ina-update (nang walang interbensyon ng user) ilang beses sa isang araw. Kailangan mong regular na subaybayan ang paglitaw ng mga bagong maaasahang antivirus program at idagdag ang mga ito sa iyong mga produkto.
Ang isang naturang programa ay ang ESET LiveGrid® cloud service, na humaharang sa virus bago ito makapasok sa anti-virus database. Agad na sinusuri ng ESET system ang isang kahina-hinalang programa at tinutukoy ang antas ng panganib nito; kung ang isang virus ay pinaghihinalaang, ang mga proseso ng programa ay naharang.
Maaari mo ring gamitin ang libreng AVG antivirus, siyempre mas mababa ito sa ESET ngunit may mahusay na antas ng proteksyon laban sa mga virus, at para sa kumpletong proteksyon maaari kang bumili ng lisensya para sa AVG
Sa simula ng 2017, sinubukan ng mga eksperto mula sa MRG Effitas ang 16 na sikat na antivirus na produkto para gamitin ng mga user sa bahay sa Microsoft Windows 10 64-bit na operating system. Ang mga pagsubok sa pagiging maaasahan ng antivirus ay gumamit ng 386 na sample ng iba't ibang malisyosong code, kabilang ang 172 Trojans, 51 backdoors, 67 banking malware, 69 encryptors at 27 riskware at adware.
Narito ang mga resulta ng pagsusulit
Gamit ang diagram na ito, matutukoy mo ang pinakamahusay na libreng antivirus ng 2017 pati na rin ang pinakamahusay na bayad na antivirus, at nasa iyo ang pagpapasya kung alin ang i-install para sa proteksyon sa iyong computer o laptop.
Kung pinili mo ang isang bayad na antivirus, at nanirahan ka sa NOD32, mahalagang suriin kung pinagana ang function ng ESET LiveGrid®, tulad ng sumusunod: ESET NOD32 - Mga karagdagang setting - Mga Utility - ESET LiveGrid® - Paganahin ang sistema ng reputasyon ng ESET LiveGrid® .
Palaging umaasa ang mga umaatake na walang oras ang mga user para mag-install Mga pinakabagong update, at magagawa nilang pagsamantalahan ang mga kahinaan sa software. Una sa lahat, ito ay may kinalaman sa Windows operating system, kaya kailangan mong suriin at i-activate ang mga awtomatikong pag-update ng OS (Start - Control Panel - Windows Update - Settings - Pagpili ng paraan para sa pag-download at pag-install ng mga update).
Kung hindi mo ginagamit ang serbisyo ng pag-encrypt na ibinigay sa Windows, mas mahusay na huwag paganahin ito, dahil ginagamit ng ilang mga pagbabago sa ransomware ang function na ito para sa kanilang sariling mga layunin. Upang i-disable ito, kailangan mong sundin ang mga hakbang na ito: Start - Control Panel - Administrative Tools - Services - Encrypting File System (EFS) at i-reboot ang system.
Ngunit kung nakagamit ka na ng encryption upang protektahan ang anumang mga file o folder, kailangan mong alisan ng tsek ang kaukulang mga checkbox (RMB - Properties - Attributes - Advanced - I-encrypt ang nilalaman upang maprotektahan ang data). Kung hindi mo ito gagawin, pagkatapos ay pagkatapos na huwag paganahin ang serbisyo ng pag-encrypt, mawawalan ka ng access sa impormasyong ito. Madaling malaman kung aling mga file ang na-encrypt - ang mga ito ay naka-highlight sa berde.
Limitadong paggamit ng mga programa
Upang mapahusay ang seguridad, maaari mong harangan ang mga program na hindi nakakatugon sa mga tinukoy na kinakailangan mula sa pagtakbo. Ang mga setting na ito ay naka-install bilang default para sa Windows at Program Files.
I-set up ang lokal patakaran ng grupo kaya mo yan:
I-click ang execute at ipasok ang command: gpedit.msc(“Start – Run (Win+R) – secpol.msc”)
Pumili:
- "Configuration ng Computer"
- "Configuration ng Windows"
- "Mga Setting ng Seguridad"
- "Mga Patakaran sa Paghihigpit ng Software" i-right-click at i-click
Pagkatapos nito, kailangan mong lumikha ng isang panuntunan na nagbabawal sa mga programa na tumakbo mula sa anumang mga lugar maliban sa mga pinapayagan
Pumunta sa seksyong "Mga karagdagang panuntunan" at pindutin ang kanang button. Sa lalabas na window, mag-click sa item na "Gumawa ng panuntunan sa landas"
Sa field ng path naglalagay kami ng asterisk "*", i.e. anumang landas at piliin ang antas ng seguridad: Ipinagbabawal.
At kaya patuloy kaming gagana sa "Mga Patakaran sa Paghihigpit ng Software" at mag-right-click sa item na "Application" at piliin ang "Properties".
Maaaring iwanang ang mga setting na ito bilang default o naka-enable na mailapat sa lahat ng bagay nang walang pagbubukod, at maaari mo ring ilipat ang opsyong ilapat ang limitadong patakaran sa lahat maliban sa mga lokal na administrator (kung mayroon kang mga user at administrator account sa iyong computer).
At sa item na "Mga nakatalagang uri ng file," piliin ang extension kung aling mga uri ng file ang ipagbabawal na ilunsad. Inililista ng window na ito ang mga extension na naka-block kapag sinubukan mong ilunsad ang mga ito.
Mas mainam na magdagdag ng isa pang extension .js - java script.
Ang mabisang pag-setup ay magtatagal, ngunit sulit ang mga resulta.
Maaari mong i-configure ang pagbabawal sa pagpapatakbo ng ilang mga programa sa mga milya ng mga file sa iyong paghuhusga, depende sa iyong gawain at mga layunin.
Pagkatapos kung saan ang mga patakaran ay kailangang ilunsad, at upang gawin ito, pumunta sa "Mga Antas ng Seguridad" at i-right-click sa "Ipinagbabawal". Sa lalabas na window, i-click ang “Default” at inilapat ang aming mga panuntunan.
Pinapayuhan ka naming huwag magtrabaho sa isang administrator account. Bawasan nito ang pinsalang dulot ng hindi sinasadyang impeksyon (Paganahin ang administrator account - Magtakda ng password - Alisin ang kasalukuyang gumagamit ng mga karapatang pang-administratibo - Idagdag sa pangkat ng mga gumagamit).
Upang gumana sa mga karapatan ng administrator sa Windows, mayroong isang espesyal na tool - "User Account Control", na kung saan ay hihilingin mismo ng isang password upang maisagawa ang mga operasyon. Sinusuri ang mga setting: Start - Control Panel - Mga account mga user - Baguhin ang mga setting ng User Account Control - Default - Ipaalam lamang kapag sinubukang gumawa ng mga pagbabago sa computer
System Restore Checkpoints
Sa kasamaang palad, may mga pagkakataon na ang mga virus ay nagtagumpay sa lahat ng antas ng proteksyon. Samakatuwid, dapat kang makabalik sa dating estado ng system. Maaari kang mag-set up ng awtomatikong paggawa ng mga checkpoint tulad nito: My Computer - RMB - Properties - System Protection - Mga Setting ng Proteksyon.
Karaniwan, bilang default, ang proteksyon ay pinagana lamang para sa drive ng system, ngunit maaaring sirain ng ransomware ang mga nilalaman ng lahat ng mga partisyon. Upang mabawi ang mga file karaniwang paraan o Shadow Explorer, dapat mong paganahin ang proteksyon para sa lahat ng mga disk. Ang mga checkpoint ay tumatagal ng ilang memorya, ngunit sila ay magse-save ng data sa kaso ng impeksyon.
Ang mga virus ng Ransomware ay isang matagal nang kilalang uri ng pagbabanta. Lumitaw ang mga ito nang halos kasabay ng mga SMS banner, at matatag na nakabaon sa huli sa nangungunang ranggo ng mga virus ng ransomware.
Ang modelo ng monetization ng ransomware virus ay simple: hinaharangan nito ang bahagi ng impormasyon o ang buong computer ng user, at upang mabawi ang access sa data, nangangailangan ito ng pagpapadala ng SMS, electronic money, o pag-topping sa balanse ng isang mobile number sa pamamagitan ng ang terminal.
Sa kaso ng isang virus na nag-encrypt ng mga file, ang lahat ay halata - upang i-decrypt ang mga file na kailangan mong magbayad ng isang tiyak na halaga. Bukod dito, sa nakalipas na ilang taon, binago ng mga virus na ito ang diskarte sa kanilang mga biktima. Kung mas maaga ang mga ito ay ipinamahagi ayon sa mga klasikal na scheme sa pamamagitan ng Varez, mga site ng porno, pagpapalit ng mga resulta ng paghahanap at mass spam mailing, habang nakakahawa sa mga computer ng mga ordinaryong gumagamit, ngayon ang mga liham ay direktang ipinadala, nang manu-mano, mula sa mga mailbox sa "normal" na mga domain - mail. ru, gmail, atbp. At sinusubukan nilang makahawa mga legal na entity, kung saan ang mga database at kontrata ay nasa ilalim ng mga cipher.
Yung. ang mga pag-atake ay lumago mula sa dami hanggang sa kalidad. Sa isa sa mga kumpanya, ang may-akda ay nagkataong nakatagpo ng isang hardened cryptographer na dumating sa mail na may isang resume. Ang impeksyon ay naganap kaagad pagkatapos na buksan ng mga tauhan ng tauhan ang file; ang kumpanya ay naghahanap lamang ng mga tauhan at ang file ay hindi nagdulot ng anumang hinala. Ito ay isang docx na may AdobeReader.exe na naka-attach dito :)
Ang pinaka-kagiliw-giliw na bagay ay wala sa mga heuristic at proactive na sensor ng Kaspersky Anti-Virus ang gumana. Isa pang araw o 2 pagkatapos ng impeksyon, ang virus ay hindi natukoy ng dr.web at nod32
Kaya ano ang gagawin sa gayong mga banta? Wala ba talagang silbi ang antivirus?
Matatapos na ang mga araw ng signature-only na mga antivirus..
G Data Total Protection 2015 — pinakamahusay na proteksyon mula sa ransomware
na may built-in na backup na module. Mag-click at bumili.
Para sa lahat ng naapektuhan ng mga aksyon ransomware - code na pang-promosyon na may diskwento sa pagbili ng G DATA - GDPTP2015. Ilagay lamang ang promo code na ito sa pag-checkout.
Ang mga virus ng ransomware ay muling napatunayan ang pagkabigo ng mga antivirus program. Ang mga SMS banner, sa isang pagkakataon, ay malayang "pinagsama" sa temp folder para sa mga user at simpleng inilunsad sa buong desktop at naharang ang pagpindot sa lahat ng mga kumbinasyon ng serbisyo mula sa keyboard.
Ang programa ng antivirus ay nagtrabaho nang kahanga-hanga sa oras na ito :) Kaspersky, tulad ng sa normal na mode, ay nagpakita ng inskripsyon nito na "Protektado ng Kaspersky LAB".
Ang banner ay hindi isang sopistikadong malware tulad ng rootkits, ngunit isang simpleng program na nagbabago ng 2 key sa registry at humarang sa input ng keyboard.
Ang mga virus na nag-e-encrypt ng mga file ay umabot sa bagong antas ng pandaraya. Ito ay muli isang regular na programa na hindi naka-embed sa operating system code, hindi pinapalitan ang mga file ng system, at hindi nagbabasa ng mga lugar ng RAM ng iba pang mga programa.
Tumatakbo lamang ito sa maikling panahon, bumubuo ng mga pampubliko at pribadong key, nag-encrypt ng mga file, at ipinapadala ang pribadong key sa umaatake. Isang grupo ng naka-encrypt na data at isang file na may mga contact ng mga hacker ang naiwan sa computer ng biktima para sa karagdagang pagbabayad.
Makatuwirang isipin: " Bakit kailangan mo ng antivirus kung makakahanap lang ito ng mga nakakahamak na program na kilala nito?
Sa katunayan, ang isang antivirus program ay kinakailangan - ito ay magpoprotekta laban sa lahat ng kilalang banta. Gayunpaman, maraming bagong uri ng malisyosong code ang masyadong matigas para dito. Upang maprotektahan ang iyong sarili mula sa mga virus ng ransomware, kailangan mong gumawa ng mga hakbang; hindi sapat ang isang antivirus lamang. At sasabihin ko kaagad: "Kung naka-encrypt na ang iyong mga file, nagkakaproblema ka. Hindi magiging madali ang pagbabalik sa kanila."
:
Huwag kalimutan ang tungkol sa antivirus
Ang pag-back up ng mahahalagang sistema ng impormasyon at data, ang bawat serbisyo ay may sariling dedikadong server.
I-back up ang mahalagang data.
:
Ano ang gagawin sa virus mismo?
Mga independiyenteng pagkilos gamit ang mga naka-encrypt na file
Maranasan ang pakikipag-usap sa teknikal na suporta ng antivirus, ano ang aasahan?
Pakikipag-ugnayan sa pulisya
Mag-ingat sa hinaharap (tingnan ang nakaraang seksyon).
Kung ang lahat ay nabigo, marahil ito ay nagkakahalaga ng pagbabayad?
Kung hindi ka pa naging biktima ng ransomware virus:
*Magkaroon ng anti-virus software sa iyong computer na may mga pinakabagong update.
Sabihin nating tahasan: "Ang mga antivirus ay sumisipsip sa mga bagong uri ng ransomware, ngunit gumagana ang mga ito ng mahusay na trabaho laban sa mga kilalang banta." Kaya ang pagkakaroon ng antivirus sa iyong workstation ay kinakailangan. Kung mayroon nang biktima, maiiwasan mo man lang ang epidemya. Aling antivirus ang pipiliin ay nasa iyo.
Mula sa karanasan, ang Kaspersky ay "kumakain" ng mas maraming memorya at oras ng processor, at para sa mga laptop na hard drive na may 5200 rpm ito ay isang sakuna (kadalasan ay may mga pagkaantala sa pagbasa ng sektor na 500 ms..) Ang Nod32 ay mabilis, ngunit kaunti lamang ang nakakakuha. Maaari kang bumili ng GDATA antivirus - ang pinakamahusay na pagpipilian.
*Backup ng mahahalagang sistema ng impormasyon at data. Ang bawat serbisyo ay may sariling server.
Samakatuwid, napakahalagang ilipat ang lahat ng serbisyo (1C, nagbabayad ng buwis, mga partikular na automated na workstation) at anumang software kung saan nakasalalay ang buhay ng kumpanya, sa isang hiwalay na server, o mas mabuti pa, sa isang terminal. Mas mabuti pa, ilagay ang bawat serbisyo sa sarili nitong server (pisikal o virtual - magpasya para sa iyong sarili).
Huwag iimbak ang 1C database sa publiko sa network. Maraming tao ang gumagawa nito, ngunit ito ay mali.
Kung ang pagtatrabaho sa 1c ay isinaayos sa isang network na may nakabahaging read/write access para sa lahat ng empleyado, ilipat ang 1c sa isang terminal server at hayaan ang mga user na magtrabaho kasama nito sa pamamagitan ng RDP.
Kung kakaunti ang mga gumagamit at walang sapat na pera para sa isang server OS, maaari mong gamitin ang regular na Windows XP bilang terminal server (sa kondisyon na ang mga paghihigpit sa bilang ng mga sabay-sabay na koneksyon ay tinanggal, ibig sabihin, kailangan mong mag-patch). Bagaman, madali mong mai-install ang hindi lisensyadong bersyon windows server. Sa kabutihang palad, pinapayagan ka ng Microsoft na gamitin ito, at bilhin at i-activate ito sa ibang pagkakataon :)
Ang gawain ng mga gumagamit na may 1c sa pamamagitan ng RDP, sa isang banda, ay magbabawas sa pagkarga sa network at mapabilis ang gawain ng 1c, sa kabilang banda, maiiwasan nito ang impeksyon ng mga database.
Ang pag-imbak ng mga file ng database sa isang network na may nakabahaging pag-access ay hindi ligtas, ngunit kung walang ibang mga prospect, alagaan ang backup (tingnan ang susunod na seksyon.)
* I-backup ang mahalagang data.
Kung hindi ka pa nakakagawa ng mga backup, tanga ka, patawarin mo ako. O kumusta sa iyong system administrator. Ang mga backup ay nagliligtas sa iyo hindi lamang mula sa mga virus, kundi pati na rin mula sa mga walang ingat na empleyado, mga hacker, at sa huli ay nasira ang mga hard drive.
Mababasa mo kung paano at kung ano ang i-backup sa isang hiwalay na artikulo tungkol sa . Ang GDATA antivirus, halimbawa, ay may backup na module sa dalawang bersyon - kabuuang proteksyon at endpoint na seguridad para sa mga organisasyon ( maaari kang bumili ng kabuuang proteksyon ng GDATA).
Kung makakita ka ng mga naka-encrypt na file sa iyong computer:
*Ano ang gagawin sa virus mismo?
I-off ang iyong computer at makipag-ugnayan sa mga serbisyo ng computer + suporta para sa iyong antivirus. Kung ikaw ay mapalad, ang katawan ng virus ay hindi pa nabubura at maaaring magamit upang i-decrypt ang mga file. Kung ikaw ay hindi pinalad (tulad ng kadalasang nangyayari), ang virus, pagkatapos i-encrypt ang data, ay nagpapadala ng pribadong susi sa mga umaatake at inaalis ang lahat ng mga bakas ng sarili nito. Ginagawa ito upang hindi matukoy kung paano at sa anong algorithm ang mga ito ay naka-encrypt.
Kung mayroon ka pa ring sulat na may nahawaang file, huwag itong tanggalin. Isumite ito sa Popular Products Antivirus Lab. At huwag mo nang buksan muli.
*Mga independiyenteng pagkilos gamit ang mga naka-encrypt na file
Ang magagawa mo:
Makipag-ugnayan sa suporta ng antivirus, kumuha ng mga tagubilin at, posibleng, isang decryptor para sa iyong virus.
Sumulat ng isang pahayag sa pulisya.
Maghanap sa Internet para sa mga karanasan ng ibang mga user na nakatagpo na ng problemang ito.
Gumawa ng mga hakbang upang i-decrypt ang mga file, nang una nang makopya ang mga ito sa isang hiwalay na folder.
Kung mayroon kang Windows 7 o 8, maaari mong ibalik ang mga nakaraang bersyon ng mga file (i-right click sa folder na may mga file). Muli, huwag kalimutang kopyahin muna ang mga ito.
Ano ang hindi dapat gawin:
I-install muli ang Windows
Tanggalin ang mga naka-encrypt na file, palitan ang pangalan ng mga ito at palitan ang extension. Napakahalaga ng pangalan ng file kapag nagde-decrypt sa hinaharap
*Karanasan sa pakikipag-usap sa teknikal na suporta ng antivirus, ano ang aasahan?
Nang mahuli ng isa sa aming mga kliyente ang crypto-virus.harddended, na wala pa sa mga database ng anti-virus, ipinadala ang mga kahilingan sa dr.web at Kaspersky.
Nagustuhan namin ang teknikal na suporta sa dr.web, lumabas kaagad ang feedback at nagbigay pa sila ng payo. Bukod dito, pagkatapos ng ilang araw ay tapat nilang sinabi na wala silang magagawa at ibinagsak ito detalyadong mga tagubilin kung paano magpadala ng kahilingan sa pamamagitan ng mga karampatang awtoridad.
Sa Kaspersky, sa kabaligtaran, unang sumagot ang bot, pagkatapos ay iniulat ng bot na ang pag-install ng isang antivirus na may pinakabagong mga database ay malulutas ang aking problema (paalalahanan kita, ang problema ay daan-daang mga naka-encrypt na file). Pagkalipas ng isang linggo, ang katayuan ng aking kahilingan ay nagbago sa "ipinadala sa laboratoryo ng antivirus," at nang mahinahong nagtanong ang may-akda tungkol sa kapalaran ng kahilingan makalipas ang ilang araw, tumugon ang mga kinatawan ng Kaspersky na hindi kami makakatanggap ng tugon mula sa laboratoryo gayunpaman, sabi nila, naghihintay kami.
Pagkaraan ng ilang oras, nakatanggap ako ng mensahe na ang aking kahilingan ay sarado na may isang alok na suriin ang kalidad ng serbisyo (lahat ito habang naghihintay pa ng tugon mula sa laboratoryo).. "Fuck you!" - isip ng may-akda.
Ang NOD32, sa pamamagitan ng paraan, ay nagsimulang mahuli ang virus na ito sa ika-3 araw pagkatapos ng paglitaw nito.
Ang prinsipyo ay ito: ikaw ay nag-iisa sa iyong mga naka-encrypt na file. Tutulungan ka lamang ng mga laboratoryo ng malalaking tatak ng antivirus kung mayroon kang susi para sa kaukulang produkto ng antivirus at kung nasa Ang crypto virus ay may kahinaan. Kung na-encrypt ng mga umaatake ang isang file gamit ang ilang mga algorithm nang sabay-sabay at higit sa isang beses, malamang na kailangan mong magbayad.
Ang pagpili ng antivirus ay sa iyo, huwag pabayaan ito.
* Makipag-ugnayan sa pulis
Kung ikaw ay naging biktima ng isang crypto virus at nakaranas ng anumang pinsala, kahit na sa anyo ng naka-encrypt na personal na impormasyon, maaari kang makipag-ugnayan sa pulisya. Mga tagubilin para sa aplikasyon, atbp. may .
*Kung mabibigo ang lahat, maaaring sulit na bayaran?
Dahil sa kamag-anak na kawalan ng pagkilos ng mga antivirus kaugnay ng ransomware, minsan ay mas madaling magbayad ng mga umaatake. Para sa mga hardended na file, halimbawa, ang mga may-akda ng virus ay humihingi ng humigit-kumulang 10 libong rubles.
Para sa iba pang mga banta (gpcode, atbp.) Ang tag ng presyo ay maaaring mula sa 2 libong rubles. Kadalasan, ang halagang ito ay lumalabas na mas mababa kaysa sa mga pagkalugi na maaaring idulot ng kawalan ng data at mas mababa kaysa sa halagang maaaring hilingin sa iyo ng mga manggagawa para sa manu-manong pag-decrypt ng mga file.
Upang buod, ang pinakamahusay na proteksyon laban sa mga virus ng ransomware ay ang pag-back up ng mahalagang data mula sa mga server at workstation ng user.
Kayo na ang magdedesisyon kung ano ang gagawin. Good luck.
Karaniwang nagbabasa ang mga user na nagbabasa ng post na ito:
Sa pakikipag-ugnayan sa
Kumusta sa lahat, mahal na mga kaibigan at mambabasa. Si Ruslan Miftakhov, ang may-akda ng blog na ito, ay nakikipag-ugnayan para sa mga hindi nakakaalam.
Sa artikulong ito, nais kong talakayin ang nakakagulat na paksa ng isang pag-atake ng virus sa buong mundo, na nagsimula noong Biyernes, ika-12 ng Mayo ng taong ito. Magbigay din ng ilang tip kung paano protektahan ang iyong sarili mula sa ransomware at i-save ang iyong mahalagang data sa iyong computer.
Kung babasahin mo ang blog ko, alam mo na nag-aayos ako ng computer. Ito ay higit pa sa aking libangan kaysa sa aking trabaho. Kaya, sa aking natatandaan, hanggang 2013, ang pagharang sa mga virus ay karaniwan.
Kapag nilo-load ang system, may lumabas na mensahe na naglalaman ng lahat ng uri ng nagbabantang mga inskripsiyon, kung minsan ay may mga larawang porno. Mayroon pa akong ilang larawan ng mga naturang blocker na natitira. Narito ang isa sa kanila.
Inamin sa akin ng ilang kliyente na nagbayad sila ng pera sa mga scammer, at kalaunan ay tumawag ng isang espesyalista para alisin ang virus na ito. Ang isa ay nagbayad pa ng 500 rubles nang tatlong beses sa iba't ibang mga terminal, iniisip na ang unlock code ay malamang na mai-print sa isa pa. Bilang resulta, tinawag niya ako at inalis ko ang virus na ito sa loob ng 5-10 minuto.
Sa isang lugar noong 2013, una akong nakatagpo ng isang naka-encrypt na virus sa aming lungsod, nang magsimulang dumating ang mga application ng ganitong uri tulad ng wannacry. Halimbawa, narito ang isang virus na tinatawag na Ebola, na kinunan ko ng larawan bilang isang keepsake.
Siyempre, ang virus mismo ay hindi mahirap tanggalin mula sa computer, ngunit ang naka-encrypt na data ay hindi ma-decrypted; isang angkop na decryptor lamang ang makakatulong.
Paano gumagana ang virus
Ang virus ay pangunahing kumakalat sa pamamagitan ng email. Dumating ang isang liham na may kasamang paksa mula sa Russian Ministry of Internal Affairs o isang desisyon ng korte o mula sa tanggapan ng buwis, sa pangkalahatan ay nilalaro nila ang pag-usisa ng gumagamit upang mabuksan niya ang liham. At sa sulat na iyon ay may nakalakip na file, ang parehong ransomware virus.
Matapos tumagos sa PC, ang virus ay nagsisimulang i-encrypt ang lahat ng mga larawan, video, at mga dokumento. Ang mga file ay tila naroon sa computer, ngunit hindi ito mabubuksan. Ito ang problema, at upang matukoy ang data, humihingi ang mga scammer ng 15-20 libong rubles.
Siyempre, kung ang mga file ay may sariling halaga at walang mga kopya, ang gumagamit ay nakipag-deal sa mga scammer. Wala akong narinig na mga ganitong kaso; walang gustong sabihin na naging biktima siya ng mga scammer.
Nagpatawag pa sila ng management sa isang bahay, kung saan nakita ko ang ganoong larawan.
Ayon sa accountant, isang email ang natanggap na may paksa mula sa administrasyon. Nang mabuksan ito, ang mga kalakip na file ay naglalaman ng isang diumano'y mahalagang dokumento na kailangang buksan at basahin. Kaya, pagkatapos ay naiintindihan mo ang lahat sa iyong sarili: sa pamamagitan ng pagbubukas ng file na ito, magsisimula ang virus at i-encrypt ang lahat ng hindi nakukuha sa computer.
At ito ay bago ang pag-audit ng buwis, kung ito ay isang pagkakataon o may dahilan para dito;)
Bakit nagbabayad ang mga tao sa mga scammer?
Ang banayad na sikolohiya ay naglalaro dito, sa kaso ng blocker virus, ang mga malalaswang larawan ay inilabas na may nakasulat na ikaw ay umakyat sa mga malaswang site at nag-imbak ng mga larawang may child pornography, at ito ay pinarusahan ng batas sa ilalim ng artikulong ganito at ganoon. Ang ilang mga tao ay naniwala sa katarantaduhan na ito at nagbayad, ngunit ang iba ay hindi nais na makita ito ng kanilang mga kamag-anak at binayaran, umaasa na ang blocker ay mawawala pagkatapos magbayad. Oo, walang muwang.
Sa kaso ng wanna cry virus, inaasahan ng mga scammer na ang mga naka-encrypt na file ay magiging lubhang kailangan at mahalaga para sa user at siya ay magbabayad. Ngunit narito ang halaga ay hindi na 500-1000 rubles, tulad ng sa unang kaso. At ang mga scammer ay malamang na nagta-target ng mas malaking laro.
Isipin lang ang karaniwang user na magbabayad ng $500 para sa isang nawawalang item. larawan ng pamilya archive ng video o para sa gawaing kurso o disertasyon.
Ang layunin dito ay medyo malalaking kumpanya at mga korporasyon ng estado, na kung ano ang nangyari sa Megafon, Beeline at marami pang iba. Sa tingin mo ba magbabayad sila ng 500 bucks para maibalik ang kanilang base?
Magbabayad sila kung walang kopya syempre. Kung mayroong isang kopya, walang mga katanungan, ang lahat ay gibain at ang backup na kopya ay naka-install muli. Mawawala sila ng 2, 3 oras, ngunit lahat ay gagana tulad ng ginawa nito.
Paano protektahan ang iyong sarili mula sa ransomware
- Ang unang bagay na kailangan mong gawin ay upang mangolekta ng mahalagang data. Inirerekomenda ko ang pagkakaroon ng hindi bababa sa tatlong kopya sa iba't ibang media. Kopyahin sa isang flash drive, sa isang panlabas HDD, magtago ng kopya sa Mail cloud, Yandex disk o iba pang serbisyo sa cloud storage.
- Mag-update nang regular nang manu-mano operating system. Kahit na ang Windows ay hindi na-update, ang Nod32 antivirus ay makikita at haharangan ang WannaCry at ang mga pagbabago nito.
- Upang maging mapagbantay at huwag magbukas ng mga kahina-hinalang liham, ito siyempre ay nangangailangan ng karanasan upang maramdaman kung aling mga liham ang hindi dapat buksan.
- Dapat na mai-install ang isang antivirus na may wastong lisensya at isang patuloy na na-update na database. Inirerekomenda ko ang Eset Nod 32 Smart Security antivirus.
Upang bumili ng antivirus sa isang diskwento, i-click ang button sa ibaba.
Pagkatapos ng pagbabayad sa isang maginhawang paraan para sa iyo, sa iyong tinukoy email address Makakatanggap ka ng isang susi ng lisensya at isang link upang i-download ang antivirus.
Kung susundin mo ang mga puntong ito, hindi ka matatakot sa anumang virus, kahit na sa ransomware. At kakanta ka tulad ng sa cartoon na "The Three Little Pigs": hindi kami natatakot sa kulay abong lobo, sa kakila-kilabot na lobo, sa matandang lobo :)
Well, yun lang, binalaan kita, pero binalaan ako, ano? Tama iyon - armado.
Ibahagi ang artikulong ito upang ang iyong mga kaibigan, kakilala at kamag-anak ay hindi mahulog sa kamay ng mga manloloko.
Pinakamahusay na pagbati, Ruslan Miftakhov
