Dobrý deň milí priatelia a čitatelia. Ruslan Miftakhov, autor tohto blogu, ktorý nevie, je v kontakte.
V tomto článku by som sa rád venoval senzačnej téme vírusovej epidémie vo svete, ktorá sa začala v piatok 12. mája tohto roku. Poskytnite tiež niekoľko tipov, ako sa chrániť pred vírusom ransomware a uložiť dôležité údaje do počítača.
Ak čítate môj blog, viete, že sa zaoberám opravou počítačov. Je to viac moje hobby ako práca. Takže, pokiaľ si pamätám, blokátory boli rozšírené až do roku 2013.
Po spustení systému vyskočila správa s akýmkoľvek výhražným nápisom, niekedy s porno obrázkami. Dokonca mi zostalo pár fotiek takýchto blokátorov. Tu je jeden z nich.
Viacerí klienti sa mi priznali, že zaplatili peniaze podvodníkom a nakoniec zavolali majstra, aby tento vírus odstránil. Jeden dokonca zaplatil trikrát za 500 rubľov v rôznych termináloch, mysliac si, že v druhom sa pravdepodobne vytlačí odblokovací kód. V dôsledku toho mi zavolala a tento vírus som odstránil za 5-10 minút.
Niekde v roku 2013 som sa prvýkrát stretol s ransomware vírusom v našom meste, keď začali prichádzať aplikácie tohto druhu, ako rádoby plač. Tu je napríklad taký vírus s názvom Ebola, ktorý som odfotil na pamiatku.
Vírus samotný samozrejme nebolo ťažké z počítača odstrániť, no zašifrované dáta sa dešifrovať nepodarilo, pomôcť mohol len vhodný dešifrovač.
Ako funguje vírus
Vírus sa šíri hlavne e-mailom. Prichádza list s predmetom ministerstva vnútra Ruska alebo rozhodnutia súdu alebo daňových úradov, vo všeobecnosti hrajú na zvedavosť používateľa tak, že list otvorí. A v tom liste je pripojený súbor, rovnaký šifrovací vírus.
Po infiltrácii do PC vírus začne šifrovať všetky fotografie, videá, dokumenty. Zdá sa, že súbory v počítači sú tam, ale nedajú sa otvoriť. Tu je problém a na dešifrovanie údajov podvodníci žiadajú 15 - 20 000 rubľov.
Samozrejme, ak majú súbory svoju vlastnú hodnotu a neexistujú žiadne kópie, používateľ uzavrie dohodu s podvodníkmi. Takéto prípady som nepočul, nikto nerád hovorí, že sa stal obeťou podvodníkov.
Dokonca zvolali správu do jedného domu, kde som pozoroval takýto obraz.
Podľa účtovníčky prišiel e-mail s predmetom z administratívy. Po otvorení sa v priložených súboroch nachádzal údajne dôležitý dokument, ktorý je potrebné otvoriť a prečítať. Potom všetko pochopíte sami, otvorením tohto súboru sa spustí vírus a zašifruje všetko, čo sa nedostane do počítača.
A to je všetko pred daňovou kontrolou, či je to náhoda, alebo na to bol dôvod ;)
Prečo ľudia platia podvodníkom?
Hrá tu jemná psychológia, v prípade blokátora vírusov sa objavili obscénne obrázky s nápisom, že ste liezli na nedôstojné stránky a skladujete fotky s detskou pornografiou a tento článok je trestne stíhaný zákonom. Niekto týmto nezmyslom veril a zaplatil a niekto jednoducho nechcel, aby to jeho príbuzní videli a zaplatili, dúfajúc, že blokátor po zaplatení zmizne. Áno naivné.
V prípade vírusu want cry, podvodníci očakávajú, že zašifrované súbory budú pre používateľa veľmi dôležité a potrebné a že zaplatí. Ale tu už suma nie je 500 - 1 000 rubľov, ako v prvom prípade. A podvodníci sa pravdepodobne zameriavajú na väčšiu hru.
Zamyslite sa sami, koľko priemerný používateľ zaplatí 500 dolárov za stratený rodinný fotoarchív alebo za seminárnu prácu či diplomovú prácu.
Tu je skôr cieľom pre veľké spoločnosti a štátne korporácie, čo sa stalo s Megafonom, Beeline a mnohými ďalšími. Čo si myslíte, že zaplatia 500 dolárov za obnovenie svojej základne?
Zaplatia, ak neexistuje žiadna kópia, samozrejme. Ak existuje kópia, nie sú žiadne otázky, všetko sa zbúra a záloha sa znova nainštaluje. Stratia 2, 3 hodiny, ale všetko bude fungovať ako doteraz.
Ako zabrániť ransomvéru
- Prvá vec, ktorú musíte urobiť, je urobiť dôležité údaje. Odporúčam mať aspoň tri kópie v rôznych médiách. Skopírujte na USB flash disk, na externý pevný disk, ponechajte kópiu v cloude Mile, Yandex disku alebo iných cloudových úložiskách.
- Pravidelne manuálne aktualizujte svoj operačný systém. Aj keď Windows nebol aktualizovaný, antivírus node32 deteguje a blokuje WannaCry a jeho modifikácie.
- Byť ostražitý a neotvárať podozrivé listy, na to je, samozrejme, potrebná skúsenosť vycítiť, ktoré listy by sa nemali otvárať.
- Musí existovať antivírus s platnou licenciou s neustále aktualizovanou databázou. Odporúčam antivírus Eset Nod 32 Smart Security.
Ak si chcete zakúpiť zľavnený antivírus, kliknite na tlačidlo nižšie.
Po zaplatení pre vás pohodlným spôsobom vám bude na zadanú e-mailovú adresu zaslaný licenčný kľúč a odkaz na stiahnutie antivírusu.
Ak sa budete riadiť týmito bodmi, žiadny vírus, dokonca ani ransomvér, sa vás nebojí. A budete spievať ako v kreslenom filme "Tri prasiatka": nebojíme sa šedého vlka, hrozného vlka, starého vlka :)
No to je všetko, varoval som ťa, ale varoval, no a čo? Správne - ozbrojený.
Zdieľajte tento článok, aby sa vaši priatelia, známi a príbuzní nedostali do pazúrov podvodníkov.
S pozdravom Ruslan Miftakhov
Kryptolobloky (cryptolockers) znamenajú rodinu škodlivých programov, ktoré pomocou rôznych šifrovacích algoritmov blokujú používateľom prístup k súborom v počítači (známe napríklad cbf, chipdale, just, foxmail inbox com, watnik91 aol com atď.).
Vírus zvyčajne šifruje obľúbené typy používateľských súborov: dokumenty, tabuľky, databázy 1C, ľubovoľné dátové polia, fotografie atď. Dešifrovanie súborov je ponúkané za peniaze - tvorcovia požadujú prevod určitej sumy, zvyčajne v bitcoinoch. A ak organizácia neprijala náležité opatrenia na zaistenie bezpečnosti dôležitých informácií, prevod požadovaného množstva útočníkom sa môže stať jediným spôsobom, ako obnoviť výkonnosť spoločnosti.
Vo väčšine prípadov sa vírus šíri prostredníctvom e-mailu, ktorý sa vydáva za celkom obyčajné listy: oznámenia z daňového úradu, úkony a zmluvy, informácie o nákupoch atď. Stiahnutím a otvorením takéhoto súboru používateľ bez toho, aby si to uvedomoval, spustí škodlivý kód. Vírus postupne zašifruje potrebné súbory a pomocou zaručených metód zničenia odstráni aj pôvodné kópie (aby používateľ nemohol obnoviť nedávno zmazané súbory pomocou špeciálnych nástrojov).
Moderný ransomvér
Šifrovací ransomvér a iné vírusy, ktoré blokujú prístup používateľov k údajom, nie sú novým problémom v informačnej bezpečnosti. Prvé verzie sa objavili už v 90-tych rokoch, no využívali hlavne buď „slabé“ (nestabilné algoritmy, malá veľkosť kľúča) alebo symetrické šifrovanie (súbory od veľkého počtu obetí boli šifrované jedným kľúčom, kľúč bolo možné aj obnoviť skúmaním vírusového kódu), alebo dokonca vynašli svoje vlastné algoritmy. Moderné kópie nemajú takéto nevýhody, útočníci používajú hybridné šifrovanie: pomocou symetrických algoritmov je obsah súboru šifrovaný veľmi vysokou rýchlosťou a šifrovací kľúč je šifrovaný asymetrickým algoritmom. To znamená, že na dešifrovanie súborov potrebujete kľúč, ktorý vlastní iba útočník, nemožno ho nájsť v zdrojovom kóde programu. Napríklad CryptoLocker používa algoritmus RSA s 2048-bitovým kľúčom v kombinácii so symetrickým algoritmom AES s 256-bitovým kľúčom. Tieto algoritmy sú v súčasnosti uznávané ako kryptograficky bezpečné.
Počítač je infikovaný vírusom. Čo robiť?
Treba mať na pamäti, že aj keď sa vo vírusoch ransomware používajú moderné šifrovacie algoritmy, nedokážu okamžite zašifrovať všetky súbory v počítači. Šifrovanie sa vykonáva postupne, rýchlosť závisí od veľkosti šifrovaných súborov. Preto, ak v procese práce zistíte, že zvyčajné súbory a programy sa prestali správne otvárať, mali by ste okamžite prestať pracovať na počítači a vypnúť ho. Takto môžete chrániť niektoré súbory pred šifrovaním.
Keď narazíte na problém, prvým krokom je zbaviť sa samotného vírusu. Nebudeme sa tým podrobne zaoberať, stačí sa pokúsiť vyliečiť počítač pomocou antivírusových programov alebo odstrániť vírus manuálne. Treba len poznamenať, že vírus sa po dokončení šifrovacieho algoritmu často sám zničí, čo sťažuje dešifrovanie súborov bez toho, aby ste požiadali o pomoc kyberzločincov. V tomto prípade antivírusový program nemusí nič zistiť.
Hlavnou otázkou je, ako obnoviť zašifrované údaje? Bohužiaľ, obnovenie súborov po víruse ransomware je takmer nemožné. Minimálne nikto nezaručí úplnú obnovu dát v prípade úspešnej infekcie. Mnoho predajcov antivírusov ponúka svoju pomoc pri dešifrovaní súborov. Na tento účel je potrebné odoslať zašifrovaný súbor a ďalšie informácie (súbor s kontaktmi útočníkov, verejný kľúč) prostredníctvom špeciálnych formulárov zverejnených na webových stránkach výrobcov. Existuje malá šanca, že sa našiel spôsob, ako sa vysporiadať s konkrétnym vírusom a vaše súbory budú úspešne dešifrované.
Skúste použiť pomocné programy na obnovenie odstránených súborov. Možno vírus nepoužil zaručené metódy deštrukcie a niektoré súbory je možné obnoviť (toto môže fungovať najmä pri veľkých súboroch, napr. so súbormi o veľkosti niekoľkých desiatok gigabajtov). Existuje tiež možnosť obnoviť súbory z tieňových kópií. Keď používate Obnovovanie systému, systém Windows vytvára snímky ("snímky"), ktoré môžu obsahovať údaje súboru v čase vytvorenia bodu obnovenia.
Ak boli vaše údaje zašifrované v cloudových službách, kontaktujte technickú podporu alebo preskúmajte možnosti služby, ktorú používate: služby vo väčšine prípadov poskytujú funkciu „vrátenia“ predchádzajúcich verzií súborov, aby ich bolo možné obnoviť.
Od toho, čo vás dôrazne odrádzame, je nechať sa viesť ransomvérom a platiť za dešifrovanie. Boli prípady, keď ľudia dali peniaze, ale nedostali kľúče. Nikto nezaručuje, že útočníci po prijatí peňazí skutočne pošlú šifrovací kľúč a vy budete môcť obnoviť súbory.
Ako sa chrániť pred vírusom ransomware. Preventívne opatrenia
Predchádzať nebezpečným následkom je jednoduchšie ako ich odstraňovať:
- Používajte spoľahlivé antivírusové nástroje a pravidelne aktualizujte svoje antivírusové databázy. Znie to banálne, ale výrazne to zníži pravdepodobnosť úspešného zavedenia vírusu do vášho počítača.
- Uchovávajte si zálohy svojich údajov.
Najlepšie sa to dá urobiť pomocou špecializovaných nástrojov na zálohovanie. Väčšina kryptolockerov dokáže šifrovať aj zálohy, takže má zmysel ukladať zálohy na iných počítačoch (napríklad na serveroch) alebo na odcudzených médiách.
Obmedzte práva na úpravu súborov v záložných priečinkoch a povoľte iba dodatočný zápis. Okrem následkov ransomvéru záložné systémy neutralizujú mnohé ďalšie hrozby spojené so stratou dát. Šírenie vírusu opäť dokazuje dôležitosť a dôležitosť používania takýchto systémov. Obnovenie údajov je oveľa jednoduchšie ako dešifrovanie!
- Obmedzte programovacie prostredie v doméne.
Ďalším účinným spôsobom boja je obmedziť spúšťanie niektorých potenciálne nebezpečných typov súborov, napríklad s príponami .js, .cmd, .bat, .vba, .ps1 atď. Dá sa to urobiť pomocou nástroja AppLocker (v Enterprise - revízie) alebo politiky SRP centrálne v doméne. Na nete je dosť podrobných návodov, ako na to. Vo väčšine prípadov používateľ nemusí použiť vyššie uvedené súbory skriptov a ransomvér bude mať menšiu šancu na úspešné nasadenie.
- Buď opatrný.
Všímavosť je jednou z najúčinnejších metód predchádzania hrozbe. Buďte podozrievaví voči každému e-mailu, ktorý dostanete od neznámych osôb. S otváraním všetkých príloh sa neponáhľajte, ak máte pochybnosti, je lepšie položiť otázku administrátorovi.
Alexander Vlasov, senior inžinier oddelenia implementácie systémov informačnej bezpečnosti, SKB Kontur
Tentokrát sme skontrolovali, ako si zložité nástroje antivírusovej ochrany poradia s ransomvérovými trójskymi koňmi. Na tento účel bol urobený výber ransomvéru a dokonca bol napísaný samostatný program, ktorý napodobňuje akcie neznámeho ransomvérového trójskeho koňa. Jeho podpis sa rozhodne nenachádza v databázach žiadneho účastníka dnešného testovania. Pozrime sa, čoho sú schopní!
POZOR
Tento článok bol napísaný na výskumné účely. Všetky informácie v ňom uvedené slúžia len na informačné účely. Všetky vzorky boli získané z otvorených zdrojov a odoslané vírusovým analytikom.
Staré prostriedky na nové hrozby
Klasické antivírusy málo pomáhajú pri ochrane pred trójskymi koňmi, ktoré šifrujú súbory a za ich dešifrovanie vyžadujú výkupné. Technicky takýto ransomvér pozostáva úplne alebo takmer výlučne z legitímnych komponentov, z ktorých každý sám o sebe nevykonáva žiadne škodlivé akcie. Malvér ich jednoducho spojí do reťazca, čo vedie ku katastrofálnemu výsledku – používateľ je zbavený možnosti pracovať so svojimi súbormi, kým ich nedešifruje.
Nedávno sa objavilo mnoho špecializovaných nástrojov na ochranu pred trójskymi koňmi ransomware. Buď sa pokúšajú vykonať analýzu bez podpisu (to znamená identifikovať nové verzie ransomvéru podľa ich správania, reputácie súboru a iných nepriamych znakov), alebo jednoducho zakážu akýmkoľvek programom vykonávať zmeny potrebné pre akcie ransomvéru.
Videli sme, že takéto nástroje sú prakticky nepoužiteľné. Ani tie najprísnejšie obmedzenia v nich uvedené (pri ktorých už nie je možné normálne pracovať) neposkytujú spoľahlivú bariéru proti ransomvérovým trójskym koňom. Tieto programy zabraňujú niektorým infekciám, ale to vytvára iba falošný pocit bezpečia pre používateľa. Stáva sa bezohľadnejším a ešte rýchlejšie sa stáva obeťou ransomvéru.
Hlavným problémom v boji proti klasickým ransomvérovým trójskym koňom je, že všetky ich akcie sa vykonávajú iba so súbormi používateľa a neovplyvňujú systémové komponenty. Používateľovi nemožno zabrániť v zmene a odstraňovaní jeho súborov. Zástupcovia vysokokvalitného ransomvéru majú vo svojom správaní veľmi málo alebo žiadne zjavné charakteristické črty. Väčšina programov teraz vykonáva sieťové pripojenie (aspoň na kontrolu aktualizácií) a šifrovacie funkcie sú zabudované aj do textových editorov.
Ukazuje sa, že po nástrojoch preventívnej ochrany nezostali žiadne zjavné znaky, ktoré by pomohli rozlíšiť iný ransomvérový trójsky kôň od legitímneho programu. Ak sa podpis trójskeho koňa nenachádza v databázach, šanca, že ho antivírus zaznamená, je veľmi malá. Heuristický modul reaguje len na hrubé modifikácie známeho ransomvéru a behaviorálny analyzátor zvyčajne nezaznamená vôbec žiadnu podozrivú aktivitu.
Zálohy do záloh sú rôzne!
V súčasnosti sú ransomvérom infikované tisíce počítačov denne a spravidla rukami samotných používateľov. Antivírusové spoločnosti akceptujú žiadosti o dešifrovanie súborov (od svojich klientov - zadarmo), ale ani ich analytici nie sú všemocní. Niekedy je možné zhromaždiť príliš málo údajov na úspešné dešifrovanie alebo samotný algoritmus trójskeho koňa obsahuje chyby, ktoré znemožňujú obnovenie súborov v ich pôvodnej podobe. Teraz sa žiadosti o dešifrovanie spracúvajú od dvoch dní do šiestich mesiacov a počas tejto doby mnohé z nich jednoducho stratia svoj význam. Zostáva hľadať ďalšie prostriedky ochrany, nespoliehať sa na antivírusový skener.
Po dlhú dobu boli zálohy univerzálnou ochranou proti akýmkoľvek vírusovým útokom. V prípade napadnutia novým malvérom bolo možné jednoducho všetko obnoviť zo zálohy prepísaním zašifrovaných súborov ich pôvodnými verziami a vrátením neželaných zmien. Moderné ransomvérové trójske kone sa však naučili identifikovať a poškodiť aj zálohy. Ak je nakonfigurované ich automatické vytváranie, úložisko zálohy je pripojené a dostupné na nahrávanie. Pokročilý trójsky kôň kontroluje všetky lokálne, externé a sieťové disky, identifikuje adresár so zálohami a zašifruje ich alebo odstráni, čím prepíše voľné miesto.
Manuálne zálohovanie je príliš únavné a nespoľahlivé. Je ťažké vykonávať takúto operáciu denne a počas dlhšieho obdobia sa nahromadí množstvo relevantných dát, ktoré sa nebudú dať odkiaľkoľvek obnoviť. Ako byť?
Väčšina vývojárov dnes ponúka okrem klasických antivírusov aj komplexné bezpečnostné riešenia. Teraz okrem firewallu, IDS a ďalších známych komponentov obsahujú novinku – bezpečné zálohovacie úložisko. Na rozdiel od bežného adresára so zálohami má k nemu prístup iba samotný antivírus a riadi ho jeho ovládač. Externá správa adresárov je úplne zakázaná - ani správca ju nemôže otvoriť alebo odstrániť cez správcu súborov. Pozrime sa, aký dobrý je tento prístup.
Technika testovania
Pre naše experimenty sme vytvorili klony virtuálneho počítača s čistým Windowsom 10 a najnovšími rýchlymi opravami. Každý z nich mal nainštalovaný vlastný antivírus. Hneď po aktualizácii databáz sme skontrolovali odozvu antivírusu na testovaciu zostavu a náš simulátor. Testovacia sada obsahuje 15 vzoriek. Z toho bolo 14 rôznych modifikácií známych ransomvérových trójskych koní a pätnástym bol sťahovací trójsky kôň, ktorý stiahol ďalší ransomvér zo vzdialenej stránky.
Všetky vzorky mali príponu .tst bez ohľadu na skutočný formát súboru. Program špeciálne napísaný pre tieto testy s nekomplikovaným názvom EncryptFiles napodobňoval typické správanie ransomvérového trójskeho koňa. Po spustení s predvolenými parametrami okamžite bez akýchkoľvek otázok zašifroval obsah súborov z adresára „My Documents“. Pre prehľadnosť sme v programe uložili echo správy a do adresára s dokumentmi aktuálneho používateľa umiestnili niekoľko textových súborov v kódovaní OEM-866, aby sa ich obsah okamžite zobrazil priamo v konzole. Jeden súbor obsahoval citáty z diel Strugackých (obyčajný neformátovaný text) a druhý obsahoval parametre objektívu vo forme tabuľky (formátovaný text).
Po inštalácii a aktualizácii každého antivírusu boli vzorky ransomvéru skopírované do adresára Downloads zo sieťového zdieľania, ktoré bolo pripojené v režime iba na čítanie. Potom boli skopírované súbory dodatočne skontrolované antivírusom (vynútená kontrola na požiadanie) v predvolenom nastavení. Vzorkám, ktoré zostali po kontrole, bola priradená ich skutočná prípona, po ktorej boli spustené. Ak systém nebol infikovaný, bola skontrolovaná antivírusová odpoveď na simulátor. Ak boli súbory úspešne zašifrované, pokúsili sme sa pomocou antivírusových nástrojov obnoviť ich pôvodné verzie a výsledok sme zaprotokolovali.
Kaspersky Total Security
Kaspersky Total Security sme nainštalovali do jedného z testovacích virtuálnych strojov, ktorý sľuboval „ochranu pred šifrovacími programami, zabraňujúci poškodeniu súborov škodlivými programami“. KTS rozpoznal takmer všetky hrozby už pri pokuse skopírovať vzorky ransomvéru zo sieťového priečinka.
Do adresára Downloads sa dostal iba jeden súbor z pätnástich - nd75150946.tst - to je presne Trojan.Downloader a je známy už dlho. Keď bol na žiadosť KTS dodatočne skontrolovaný, opäť považovala súbor za bezpečný. Štyridsaťpäť antivírusových skenerov na VirusTotal s ním nesúhlasilo.
Túto vzorku sme otvorili pomocou Hex editora, aby sme určili jej skutočné rozšírenie. Známa hlavička 50 4B 03 04 a názov ďalšieho súboru vo vnútri - zrejme ide o archív ZIP. V archíve sa nachádzal podozrivý súbor: jeho ikona zodpovedala dokumentu PDF a prípona bola .scr - šetrič obrazovky, čiže je to spustiteľný kód.
Pri pokuse o spustenie súboru s príponou .scr z archívu KTS zablokoval jeho automaticky rozbalenú kópiu v dočasnom adresári používateľa. Na základe výsledkov cloudovej analýzy cez sieť KSN identifikoval tento súbor ako neznámy škodlivý objekt a ponúkol jeho vymazanie reštartom. V tomto prípade išlo o prehnané opatrenie, keďže trójsky kôň nezískal kontrolu a mohol byť akýmkoľvek spôsobom odstránený, ako bežný súbor.
Je pozoruhodné, že Kaspersky Total Security sa nepoučí zo svojich chýb. Pri opätovnom skenovaní archívu bol opäť rozpoznaný ako čistý, hoci rozbalený súbor z neho práve spustil spúšťač podľa výsledkov analýzy v KSN.
Na začiatku ďalšieho kola testovania sme skontrolovali počiatočný stav adresára Moje dokumenty a do konzoly sme z neho vysypali obsah niekoľkých textových súborov.
Potom sme otvorili modul „Zálohovanie a obnovenie“ a zálohovali tieto dokumenty do priečinka Záloha priamo na systémovej partícii. V reálnej situácii sa oplatí zvoliť iné umiestnenie (napríklad externý disk), no pre náš test je to jedno. Prístup k tomuto priečinku je v každom prípade riadený pomocou KTS a trójske kone s ním nemôžu interagovať prostredníctvom štandardného ovládača súborového systému.
Dokonca aj správca sa môže na vlastnosti tohto priečinka pozrieť iba bežnými prostriedkami. Keď sa ho pokúsite zadať, automaticky sa spustí správca zálohovania KTS a požiada o heslo, ak bolo nastavené skôr.
Samotný správca záloh je vytvorený spoločnosťou Kaspersky veľmi popisne. Môžete vybrať štandardné adresáre, zadať svoje vlastné alebo vylúčiť jednotlivé súbory. Počet súborov každého typu sa okamžite zobrazí v okne vľavo a ich veľkosť - vo vlastnostiach vpravo.
Okrem zapisovania záloh na lokálne a vymeniteľné disky KTS podporuje ich odosielanie do Dropboxu. Používanie cloudového úložiska je obzvlášť výhodné, ak malvér bráni počítaču spustiť a pripojiť externé médiá.
Ignoroval som náš simulátor KTS. Potichu zašifrovala súbory a zmenila ich obsah na nezmysel. Odmietnutie prístupu k podadresárom „Moje videá“, „Moje obrázky“ a „Moja hudba“ je chybou v samotnom programe, ktorá nijako neovplyvňuje jeho schopnosť šifrovať súbory v % USERPROFILE % dokumentov.
Ak sa v našom programe funkcia dešifrovania vykonáva jednoducho pri spustení kľúčom / dešifrovať, potom sa v trójskych koňoch vždy nespustí ani po splnení požiadaviek na výkupné. V tomto prípade je jedinou dostatočne rýchlou možnosťou na obnovenie zašifrovaných súborov ich prepísanie z predtým vytvorenej zálohy. Len niekoľkými kliknutiami sme selektívne obnovili jeden zo zašifrovaných súborov na pôvodné miesto. Podobne môžete obnoviť jeden alebo viac celých katalógov.
Dr.Web Security Space
Rovnako ako KTS, Dr.Web SS zistil 14 z 15 vzoriek už pri pokuse o ich skopírovanie do adresára "Downloads".
Na rozdiel od KTS však vo zvyšnej vzorke stále detekoval Trojan.Downloader po zmene jeho rozšírenia na ZIP a spustení nútenej kontroly.
Väčšina nastavení Dr.Web SS je predvolene uzamknutá. Pre jeho aktiváciu musíte najskôr kliknúť na ikonu zámku a zadať heslo, ak je nastavené.
Zálohy sa vytvárajú v Dr.Web SS pomocou nástroja Data Loss Protection. Nastavenia sú minimálne. Môžete si vybrať štandardné užívateľské adresáre na zálohovanie alebo zadať svoje vlastné, nastaviť jedno z vybratých obmedzení na množstvo kópií, určiť umiestnenie záloh a nastaviť plán zálohovania. Nahrávanie do cloudového úložiska Dr.Web SS nepodporuje, takže sa musíte obmedziť na lokálne disky.
Ochrana adresára so zálohami v Dr.Web SS je agresívnejšia ako ochrana KTS. Správca nemôže ani zobraziť jeho vlastnosti cez prieskumníka.
Urobili sme záložné kópie dokumentov a pristúpili k druhej časti testu.
Imitačný program Dr.Web SS nerozpoznal a nijako nezasahoval do jeho chodu. V zlomku sekundy boli všetky súbory zašifrované.
Opätovným spustením ochrany pred stratou údajov sme obnovili pôvodné súbory. Tam, kde sa očakávalo, sa však vôbec nezachovali.
Keď zadáte cieľový priečinok „Moje dokumenty“, automaticky sa v ňom vytvorí podadresár s aktuálnym dátumom a časom ako názvom. Do nej sú už rozbalené uložené súbory zo zálohy a s obnovením všetkých relatívnych ciest. Ide o mimoriadne nepohodlnú dlhú cestu, ktorá môže ľahko presiahnuť bežný limit 255 znakov.
Norton Security Premium
Pri spomienke na Norton Ghost, ktorý sa stal meradlom zálohovania v deväťdesiatych rokoch, bolo ľahké predpovedať výskyt takejto funkcie v antivírusoch Symantec. Prekvapivo trvalo dve desaťročia, kým sa toto samozrejmé riešenie stalo žiadaným. Nebolo by šťastia, ale pomohlo nešťastie.
Pri pokuse o skopírovanie vzorového adresára ransomvéru NSP identifikovala a umiestnila do karantény 12 z 15 hrozieb.
Všetky tri zostávajúce súbory sú pri analýze VirusTotal rozpoznané ako škodlivé, vrátane dvoch z nich antivírusom Symantec. Ide len o to, že predvolené nastavenia sú urobené tak, že NSP pri kopírovaní nekontroluje niektoré súbory. Vykonanie vynútenej kontroly ... a NSP zistí ďalšie dva trójske kone v rovnakom adresári.
Rovnako ako predchádzajúce antivírusy, NSP ponecháva sťahovací trójsky kôň v premenovanom archíve ZIP. Pri pokuse o spustenie súboru .scr z archívu NSP zablokuje spustenie rozbalenej kópie trójskeho koňa z dočasného adresára aktuálneho používateľa. Samotný archív nie je v tomto prípade nijako spracovávaný.
Archív sa považuje za čistý aj v prípade, že je opätovne skontrolovaný ihneď po zistení trójskeho koňa, ktorý bol z neho vybalený. Vtipný je najmä nápis: "Ak podľa vás stále existujú vyhrážky, kliknite sem." Keď naň kliknete, databázy sa aktualizujú (alebo nie, ak sú už čerstvé).
Prekvapivo, niektoré zo starších vzoriek ransomvéru stále deteguje iba NSP pomocou heuristického analyzátora a cloudových skenerov. Zdá sa, že virológovia Symantecu sú príliš leniví na to, aby udržiavali databázy aktuálne. Ich antivírus jednoducho blokuje všetko podozrivé a čaká na reakciu používateľa.
Druhá etapa testovania prebehla už tradične. Zálohovali sme súbory z adresára Moje dokumenty a potom sme sa ich pokúsili zašifrovať.
Správca zálohovania v NSP bol spočiatku spokojný s jeho logikou. Používa klasické „Čo? Kde? Kedy? “, Známe z čias DOS. V modernej verzii je však zatienená nadmernou abstraktnosťou. Namiesto priameho uvádzania objektov s úplnými cestami a súbormi podľa prípony sa používa ich virtuálne umiestnenie a podmienené zoskupenie podľa typu. Zostáva zistiť, ktoré súbory bude NSP považovať za finančné informácie a ktoré jednoducho vloží do sekcie „Ostatné“.
Ďalšie nastavenia sú možné (napríklad kliknutím na odkaz „Pridať alebo vylúčiť súbory a priečinky“), je však veľmi ťažké ich vykonať. Pre pár súborov (každý menší ako kilobajt) stále musíte zálohovať polovicu adresárového stromu a akýkoľvek odpad ako desktop.ini a sprievodca zálohovaním navrhuje zvečniť to na CD-R. Vyzerá to tak, že 21. storočie nie je pre každého.
Na druhej strane majú používatelia NSP k dispozícii 25 GB zálohy v cloude. Ak tam chcete nahrať zálohy, stačí ako cieľové umiestnenie vybrať „Secure Network Storage“.
Po vytvorení lokálnej zálohy sme spustili program, ktorý napodobňuje akcie ransomvérového trójskeho koňa. NSP tomu nezabránila a umožnila šifrovanie súborov.
Ich obnovenie zo zálohy bolo rýchlejšie a pohodlnejšie ako používanie Dr.Web SS. Stačilo potvrdiť prepísanie a súbory v pôvodnej podobe sa okamžite objavili na pôvodných miestach.
K7 Ultimate Security
Predtým sa tento produkt od indickej spoločnosti K7 Computing nazýval Antivirus Plus. Tento vývojár má stále trochu zmätok v názvoch. Napríklad distribúcia K7 Total Security nemá nástroje na zálohovanie. Preto sme testovali verziu Ultimate – jedinú, ktorá dokáže zálohovať.
Na rozdiel od antivírusov známych v Rusku bol tento vývoj v našich testoch čiernym koňom. Slovné spojenie „indický kód“ považujú programátori za prekliatie a veľa sme od neho neočakávali. Ako ukázali testy - márne.
K7 Ultimate Security je prvý antivírus, ktorý okamžite deteguje všetkých 15 hrozieb v našom výbere. Dokonca nedovolil dokončiť kopírovanie vzoriek do adresára „Downloads“ a vymazal by ich priamo v sieťovom priečinku, ak by nebol pripojený v režime „Iba na čítanie“.
Dizajn programu je oceľovo-kamuflážny. Zdá sa, že vývojári radi hrajú tanky alebo sa týmto spôsobom jednoducho snažia vyvolať asociácie s niečím spoľahlivým. Možnosti zálohovania v K7 sú nastavené v podstate rovnakým spôsobom ako v NSP. Celkovo je však rozhranie K7 menej neprehľadné a ľahšie sa dostáva k vylepšeniam.
K7 nereagoval na spustenie simulátora a šifrovania súborov. Ako vždy som musel obnoviť originály zo zálohy.
Pohodlne si pri obnove môžete vybrať jednotlivé súbory a zapísať ich na pôvodné miesto. Po kladnej odpovedi na žiadosť o prepísanie existujúceho súboru sme lenses.txt obnovili niekoľkými kliknutiami na tom istom mieste.
V rámci tohto testu nie je k výkonu K7 viac čo dodať. Úspech je úspech.
závery
Napriek dobrým výsledkom testov boli celkové závery sklamaním. Dokonca aj úplným verziám populárnych platených antivírusov chýbajú v predvolených nastaveniach niektoré možnosti ransomvéru. Selektívna kontrola na požiadanie tiež nezaručuje bezpečnosť naskenovaných súborov. Dlho známym modifikáciám trójskych koní sa dá vyhnúť aj použitím primitívnych trikov (ako je zmena rozšírenia). Nový malvér sa pred vypustením do voľnej prírody takmer vždy skontroluje, či nie je detekovaný.
Nespoliehajte sa na analyzátor správania, cloudovú kontrolu, charakteristiky reputácie súborov a iné nástroje na analýzu bez podpisu. Z týchto metód existuje určitý zmysel, ale veľmi malý. Ani náš primitívny simulátor s nulovou reputáciou a bez digitálneho podpisu nebol zablokovaný žiadnym antivírusom. Rovnako ako mnoho ransomvérových trójskych koní obsahuje množstvo nedostatkov, čo mu však nebráni vo voľnom šifrovaní súborov ihneď po spustení.
Automatické zálohovanie používateľských súborov nie je dôsledkom pokroku, ale nevyhnutným opatrením. Docela efektívne to môže byť len s neustálou ochranou záložného úložiska pomocou samotného antivírusu. Bude však účinný presne dovtedy, kým sa antivírus nevytiahne z pamäte alebo sa vôbec neodinštaluje. Preto sa vždy oplatí vytvoriť ďalšie kópie niektorých zriedkavo pripojených médií alebo ich nahrať do cloudu. Samozrejme, ak dostatočne dôverujete poskytovateľovi cloudu.
Prečítané: 8546 Komentáre: 112 Poradie: 292
O ransomvérových trójskych koňoch sme už napísali veľa (venuje sa im problematika sekcie ""). Nevyhnutným opatrením pre bezpečnosť údajov z kódovačov je inštalácia antivírusu. Nevyhnutné, ale nie dostatočné. Iba pseudoantivírusy (o ktorých sme hovorili v čísle „“) sľubujú 100% ochranu pred ransomware.
V tomto vydaní sa nebudeme dotýkať samozrejmých ochranných opatrení – inštalácie aktualizácií, používania zložitých hesiel a nutnosti pracovať s obmedzenými právami. Povedzme si dnes, ako zachrániť dáta pred hrozbou šifrovania, využívajúc okrem antivírusu aj možnosti operačného systému Windows.
- v ponuke Štart - Hľadať zadajte Recovery a kliknite Obnovenie systému;
- v ponuke Štart - Hľadať alebo v okne Spustiť (WIN + R) zadajte rstrui a stlačte kláves Enter;
- v položke Ovládací panel Archivácia a reštaurovanie kliknite Obnovte systémové parametre alebo počítač a potom stlačte tlačidlo Spustenie nástroja Obnovovanie systému;
- otvorené Ovládací panel - Systém - Ochrana systému a stlačte tlačidlo Obnovenie systému;
Urobte si "zálohy"
Existuje veľa možností zálohovania. Neodporúča sa však jednoducho kopírovať súbory na iný disk alebo cez sieť - kodéry majú funkciu šifrovania sieťových priečinkov. Údaje môžete samozrejme ukladať v sieti pomocou Disku Google, Dropbox, Flickr, ale nezabudnite, že táto metóda nezaručuje, že súbory zašifrované trójskym koňom nevymažú svoje staré verzie. Zvolený systém zálohovania dát preto musí podporovať možnosť ukladania verzií súborov – ako je implementované napríklad vo funkcii „Ochrana pred stratou údajov“ v Dr.Web Security Space.
Na konfiguráciu parametrov Ochrana pred stratou údajov kliknite na ikonu v systémovej ponuke, potom v ponuke, ktorá sa otvorí, kliknite na a vyberte položku Nástroje. V okne, ktoré sa otvorí, prejdite do sekcie Prevencia straty údajov a povoliť automatické vytváranie kópií údajov kliknutím na prepínač.
Ak chcete pridať súbory a priečinky, kliknite na ikonu a zadajte požadované objekty ochrany.
Frekvenciu vytvárania kópií a miesto ich uloženia je možné určiť výberom položky Kopírovať súbory...
Zapnite ochranu systému v systéme Windows
Táto funkcia je zvyčajne predvolene vypnutá.
Keď je ochrana systému aktivovaná, systém Windows vytvára kópie dôležitých systémových súborov a nastavení – napríklad pred inštaláciou akýchkoľvek ovládačov, ako aj v pravidelných intervaloch.
Pozor! Bod obnovenia môžete vytvoriť aj manuálne.
Ak chcete povoliť ochranu systému, kliknite pravým tlačidlom myši na ikonu Tento počítač a vyberte položku Vlastnosti. Ďalej kliknite Extra možnosti systému a prejdite na kartu Ochrana systému.
Na rovnakú kartu sa dostanete kliknutím Štart → Ovládací panel → Systém → Ochrana systému.
Pokročilí používatelia to urobia na príkazovom riadku alebo v okne Spustiť (WIN + R) zadaním rundll32.exe shell32.dll, Control_RunDLL sysdm.cpl, 4
Ak je v zozname logických jednotiek oproti aspoň jeden lokálny disk napísaný On, znamená to, že funkcia Ochrana systému je už aktivovaná a vytvárajú sa body obnovenia.
Ak ochrana systému nie je povolená, vyberte jednu z miestnych jednotiek a kliknite na tlačidlo Konfigurovať. V tomto prípade môžete vybrať oblasť s maximálnym množstvom voľného miesta.
V okne, ktoré sa otvorí, vyberte položku Obnovte systémové nastavenia a predchádzajúce verzie súborov a pomocou posúvača Maximálne využitie nastavte maximálne množstvo miesta na disku, ktoré systém použije na vytváranie bodov obnovenia.
Pozor! Pri vytváraní nových bodov obnovenia sa staré vymažú.
Dvakrát kliknite na tlačidlo OK.
Počnúc systémom Windows 7 je pre každý bod obnovenia možné zobraziť zoznam programov a ovládačov, ktoré budú ovplyvnené vrátením. Je zrejmé, že po obnovení systému takéto programy nemusia fungovať správne. Týmto spôsobom môžete vopred vedieť, ktoré programy možno bude potrebné po obnovení preinštalovať.
Ak chcete vytvoriť bod obnovenia manuálne, musíte povoliť funkciu Ochrana systému.
Vráťte sa na kartu Ochrana systému a kliknite na tlačidlo Vytvoriť. V okne, ktoré sa otvorí, zadajte názov bodu obnovenia a kliknite na tlačidlo Vytvoriť. Počkajte na správu, že operácia bola úspešne dokončená, a kliknite na tlačidlo Zavrieť.
Ak chcete obnoviť súbory zo záloh, musíte vykonať jeden z nasledujúcich krokov:
Alternatívne je možné spustiť Obnovovanie systému z Windows RE
V každom prípade narazíte na okno Obnovenie systému a potom musíte vybrať kontrolný bod. Môžete si však vybrať ľubovoľný bod obnovenia, nielen posledný.
Ak váš operačný systém podporuje možnosť vytvorenia záložného obrazu systému, možno ho vybrať aj ako bod obnovenia. Ak chcete vidieť tento bod, začiarknite políčko Zobraziť ďalšie body obnovenia.
Aj v tomto okne môžete zistiť, ktorých programov sa dotknú zmeny pri obnove súborov zo „zálohy“. Ak to chcete urobiť, kliknite Vyhľadajte ovplyvnené programy.
Ak chcete spustiť obnovu, kliknite na tlačidlo Dokončiť.
Pozor! Posledné obnovenie systému môžete vrátiť späť, ak ste omylom vybrali nesprávny bod alebo obnovenie neprinieslo požadované výsledky. Je to možné, pretože systém Windows 7 tiež vytvára kontrolný bod pred obnovením. Ak chcete obnovenie vrátiť späť, vyberte akciu Vrátiť späť obnovenie systému.
Možnosti, ktoré poskytuje operačný systém na ochranu údajov, nie sú obmedzené na dostupnosť bodov obnovy. Napríklad, keď prejdete do vlastností súboru hostiteľov, ktorý útočníci tak milujú, uvidíte nasledovné:
Schopnosť obnoviť predchádzajúce verzie súborov bola prvýkrát predstavená v systéme Windows Vista. Keďže však funkcie, ktoré boli k dispozícii v predchádzajúcich verziách operačného systému, neboli odstránené, verzie súborov sa v dôsledku toho ukladajú nielen pomocou služby Volume Shadow Copy, ale aj pomocou Zálohovania systému Windows. Vo vlastnostiach súboru na karte Predchádzajúce verzie miesto je uvedené: Bod obnovy alebo Archivácia.
O možnosti ukladania verzií súborov s vlastnosťami OS Windows vám povieme v ďalších vydaniach nášho projektu.
Ransomvérové vírusy sú známym typom hrozieb. Objavili sa približne v rovnakom čase ako bannery SMS a sú husto osídlené poslednými menovanými, v top ransomware vírusoch.
Model speňaženia vírusu ransomware je jednoduchý: úplne zablokuje časť informácií alebo počítač používateľa a na opätovné získanie prístupu k údajom je potrebné poslať SMS, elektronické peniaze alebo doplniť zostatok mobilného čísla cez terminál.
V prípade vírusu, ktorý šifruje súbory, je všetko zrejmé - za dešifrovanie súborov musíte zaplatiť určitú sumu. Navyše za posledných pár rokov tieto vírusy zmenili prístup k svojim obetiam. Ak sa predtým šírili podľa klasických schém cez varese, porno stránky, nahrádzanie vydávaním a hromadným spamom, pričom infikovali počítače bežných používateľov, teraz sa posielanie listov rieši manuálne z poštových schránok na „normálnych“ doménach - mail.ru , gmail atď. A snažia sa infikovať právnické osoby, kde databázy a zmluvy spadajú pod šifry.
Tie. útoky z kvantity na kvalitu. V jednej zo spoločností mal autor šancu stretnúť sa s tvrdeným ransomvérom, ktorý prišiel poštou so životopisom. K nákaze došlo hneď po otvorení spisu personalistami, firma len hľadala personál a spis nevzbudzoval žiadne podozrenia. Bol to docx s vnoreným AdobeReader.exe :)
Najzaujímavejšie je, že žiadny z heuristických a proaktívnych senzorov Kaspersky Anti-Virus nefungoval. Ďalší deň alebo 2 po infekcii vírus nezistili dr.web a nod32
Ako je to teda s takýmito vyhrážkami? Je antivírus naozaj zbytočný?
Čas antivírusu iba na podpis sa kráti.
G Data TotalProtection 2015 – najlepšia ochrana proti ransomvéru
so vstavaným záložným modulom. Kliknite a kúpte.
Pre všetkých, ktorých sa akcia týka ransomware - propagačný kód so zľavou na nákup G DATA - GDTP2015. Stačí zadať tento promo kód pri zadávaní objednávky.
Ransomware vírusy opäť dokázali nekonzistentnosť antivírusových programov. SMS-bannery boli naraz voľne „zlúčené“ s používateľmi v priečinku temp a jednoducho spustené na celej ploche a zachytené stláčaním všetkých kombinácií služieb z klávesnice.
Antivírusový program v tom čase fungoval pozoruhodne dobre :) Kaspersky, rovnako ako v normálnom režime, zobrazil svoj vlastný nápis "Protected by Kaspersky LAB".
Banner nie je prefíkaný kúsok malvéru ako rootkity, ale jednoduchý program, ktorý zmení 2 kľúče v registri a zachytí vstup z klávesnice.
Vírusy, ktoré šifrujú súbory, dostali novú úroveň podvodu. Toto je opäť obyčajný program, ktorý sa nevkladá do kódu operačného systému, nenahrádza systémové súbory a nečíta oblasti pamäte RAM iných programov.
Jednoducho beží na krátky čas, vygeneruje verejné a súkromné kľúče, zašifruje súbory a odošle súkromný kľúč útočníkovi. V počítači obete je ponechaná kopa zašifrovaných údajov a súbor s kontaktmi hackerov na ďalšiu platbu.
Je rozumné myslieť si: „ Prečo potom potrebujeme antivírus, ak dokáže nájsť iba škodlivé programy, ktoré pozná?
Antivírusový program je skutočne nevyhnutný – ochráni pred všetkými známymi hrozbami. Mnohé nové typy škodlivého kódu sú však pre ňu príliš tvrdé. Aby ste sa ochránili pred ransomware vírusmi, musíte prijať opatrenia, tu samotný antivírus nestačí. A hneď poviem: „Ak sú vaše súbory už zašifrované, máte problém. Nebude ľahké ich vrátiť."
:
Nezabudnite na antivírus
Zálohovanie dôležitých informačných systémov a dát pre každú službu - vlastný dedikovaný server.
Zálohujte si dôležité dáta.
:
Čo robiť so samotným vírusom?
Svojpomoc so šifrovanými súbormi
Skúsenosti s komunikáciou s antivírusovou technickou podporou, čo očakávať?
Hlásenie na polícii
Vykonajte bezpečnostné opatrenia neskôr (pozri predchádzajúcu časť).
Ak všetko ostatné zlyhá, oplatí sa zaplatiť?
Ak ste sa ešte nestali obeťou vírusu ransomware:
* Dostupnosť antivírusového softvéru v počítači s najnovšími aktualizáciami.
Povedzme si to na rovinu: „Antivírusy si zle poradia s novými typmi ransomvéru, ale výborne bojujú so známymi hrozbami.“ Prítomnosť antivírusu na pracovnej stanici je teda nevyhnutná. Ak sú už obete na životoch, vyhnete sa aspoň epidémii. Ktorý antivírus si vyberiete, je len na vás.
Zo skúsenosti - Kaspersky "žerie" viac pamäte a procesorového času a pre notebookové pevné disky s rýchlosťou 5200 - to je katastrofa (často s oneskorením čítania sektorov 500 ms..) Nod32 je rýchly, ale málo chytá. Môžete si kúpiť antivírus GDATA - najlepšia možnosť.
* Zálohujte dôležité informačné systémy a dáta. Každá služba má svoj vlastný server.
Preto je veľmi dôležité vziať všetky služby (1C, daňový poplatník, konkrétne pracovné stanice) a akýkoľvek softvér, od ktorého závisí život spoločnosti na samostatnom serveri, ešte lepšie - terminálovom. Ešte lepšie je umiestniť každú službu na vlastný server (fyzický alebo virtuálny - rozhodnite sa sami).
Neuchovávajte databázu 1c vo verejnej doméne, v sieti. Mnoho ľudí to robí, ale nie je to správne.
Ak je práca s 1c organizovaná cez sieť so zdieľaným prístupom na čítanie/zápis pre všetkých zamestnancov, umiestnite 1c na terminálový server a umožnite používateľom pracovať s ním prostredníctvom RDP.
Ak je používateľov málo a na serverový OS nie je dostatok peňazí, ako terminálový server možno použiť bežný Windows XP (za predpokladu, že sú odstránené obmedzenia počtu súčasných pripojení, t. j. je potrebné vykonať opravu). Aj keď môžete rovnako dobre nainštalovať nelicencovanú verziu servera Windows. Našťastie vám Microsoft umožňuje používať, kupovať a aktivovať neskôr :)
Práca používateľov s 1c cez RDP na jednej strane zníži zaťaženie siete a urýchli prácu 1c, na druhej strane zabráni infekcii databázy.
Ukladanie databázových súborov v zdieľanej sieti nie je bezpečné a ak neexistujú žiadne ďalšie vyhliadky, postarajte sa o zálohovanie (pozrite si nasledujúcu časť.)
* Zálohujte dôležité dáta.
Ak si ešte neurobil zálohy (zálohovanie) - si hlupák, odpusť mi. Alebo pozdravte správcu systému. Zálohy zachraňujú nielen pred vírusmi, ale aj neopatrnými zamestnancami, hackermi, v konečnom dôsledku „posypanými“ pevnými diskami.
Ako a čo zálohovať - o tom si môžete prečítať v samostatnom článku. Antivírus GDATA má napríklad záložný modul v dvoch verziách – celková ochrana a zabezpečenie koncových bodov pre organizácie ( môžete si kúpiť úplnú ochranu GDATA).
Ak v počítači nájdete zašifrované súbory:
* Čo robiť so samotným vírusom?
Vypnite počítač a obráťte sa na počítačové služby + špecialistov na podporu vášho antivírusu. Ak budete mať šťastie, telo vírusu ešte nebolo odstránené a možno ho použiť na dešifrovanie súborov. Ak máte smolu (ako to často býva), vírus po zašifrovaní dát odošle útočníkom súkromný kľúč a odstráni po ňom všetky stopy. Deje sa tak preto, aby nebolo možné určiť, ako a akým algoritmom sú šifrované.
Ak stále máte správu s infikovaným súborom, neodstraňujte ju. Odošlite obľúbené produkty do antivírusového laboratória. A neotvárajte ho znova.
* Svojpomoc so šifrovanými súbormi
Čo môžeš urobiť:
Kontaktujte antivírusovú podporu, získajte pokyny a prípadne aj dešifrovač pre váš vírus.
Napíšte vyhlásenie na polícii.
Vyhľadajte na internete skúsenosti iných používateľov, ktorí sa s týmto problémom už stretli.
Vykonajte opatrenia na dešifrovanie súborov tak, že ich najskôr skopírujete do samostatného priečinka.
Ak máte Windows 7 alebo 8 - môžete obnoviť predchádzajúce verzie súborov (kliknite pravým tlačidlom myši na priečinok so súbormi). Opäť si ich nezabudnite najskôr skopírovať.
Čo nerobiť:
Preinštalujte systém Windows
Odstráňte zašifrované súbory, premenujte ich a zmeňte príponu. Názov súboru je veľmi dôležitý pri dešifrovaní v budúcnosti
* Skúsenosti s komunikáciou s antivírusovou technickou podporou, čo očakávať?
Keď jeden z našich klientov zachytil .hardended crypto-virus, ktorý ešte nebol v antivírusových databázach, boli zaslané požiadavky na dr.web a Kaspersky.
Technická podpora na dr.web sa nám páčila, spätná väzba sa objavila okamžite a dokonca aj poradila. Navyše po niekoľkých dňoch úprimne povedali, že nemôžu nič robiť a upustili od podrobného návodu, ako poslať žiadosť cez kompetentné orgány.
Naopak, v Kaspersky bot najprv odpovedal, potom bot oznámil, že inštalácia antivírusu s najnovšími databázami by vyriešila môj problém (nezabudnite, že problémom sú stovky zašifrovaných súborov). O týždeň neskôr sa stav mojej žiadosti zmenil na „odoslané do antivírusového laboratória“ a keď sa autor skromne spýtal na osud žiadosti o pár dní neskôr, zástupcovia Kaspersky odpovedali, že nedostaneme odpoveď od laboratórium ešte, hovoria, čakáme.
Po nejakom čase som dostal správu, že moja požiadavka bola uzavretá s návrhom na vyhodnotenie kvality služieb (to všetko je čakanie na odpoveď z laboratória) .. "Jebete!" - pomyslel si autor.
Mimochodom, NOD32 začal chytať tento vírus na 3. deň po jeho objavení.
Princípom je, že ste na svoje zašifrované súbory sami. Laboratóriá veľkých antivírusových značiek vám pomôžu len vtedy, ak ak máte kľúč k príslušnému antivírusovému produktu a ak v kryptovírus má zraniteľnosť. Ak útočníci zašifrovali súbor pomocou niekoľkých algoritmov naraz a viackrát, pravdepodobne budete musieť zaplatiť.
Výber antivírusu je na vás, nezanedbávajte ho.
* Volanie polície
Ak ste sa stali obeťou kryptovírusu a vznikla vám akákoľvek škoda, aj vo forme zašifrovaných osobných údajov, môžete sa obrátiť na políciu. Návod na aplikáciu atď. tam je .
* Ak všetko ostatné zlyhá, oplatí sa zaplatiť?
Vzhľadom na relatívnu nečinnosť antivírusov vo vzťahu k ransomvéru je niekedy jednoduchšie zaplatiť kyberzločincom. Napríklad za spevnené súbory si autori vírusu pýtajú okolo 10-tisíc rubľov.
Pri iných hrozbách (gpcode atď.) sa cenovka môže pohybovať od 2 000 rubľov. Najčastejšie sa táto suma ukáže byť nižšia ako straty, ktoré môže spôsobiť nedostatok údajov, a nižšia ako suma, ktorú od vás môžu remeselníci žiadať o manuálne dešifrovanie súborov.
Aby sme to zhrnuli, najlepšou ochranou proti vírusom ransomware je zálohovanie dôležitých údajov zo serverov a pracovných staníc používateľov.
Čo robiť, je len na vás. Veľa štastia.
Používatelia, ktorí čítajú tento príspevok, zvyčajne čítajú:
V kontakte s
Hodnota avatarov v psychológii
Hodnota avatarov v psychológii
Ako zdôrazniť písmeno v MS Word
Čo to znamená, ak je avatar osoby
Ako si vytvoriť svoj vlastný Twitter moment