Antivirüs Gerçeği!TM. ] [- test: Windows altında kripto kilitleyicilerle savaş halindeyiz. Antivirüsleri bilinen ve bilinmeyen fidye yazılımı Truva atları üzerinde test etme

Merhaba sevgili dostlar ve okuyucular. Bilmeyen bu blogun yazarı Ruslan Miftakhov temas halinde.

Bu yazıda, bu yıl 12 Mayıs Cuma günü başlayan dünya çapında sansasyonel bir virüs salgını konusunu ele almak istiyorum. Ayrıca kendinizi fidye yazılımı virüsünden nasıl koruyacağınız ve önemli verilerinizi bilgisayarınıza nasıl kaydedeceğiniz konusunda da bazı ipuçları verin.

Blogumu okuyorsanız, bilgisayar tamir işinde olduğumu biliyorsunuzdur. Bu benim işten daha çok hobim. Yani hatırladığım kadarıyla engelleyiciler 2013 yılına kadar yaygındı.

Sistem başlatıldığında, bazen porno resimlerle birlikte herhangi bir tehdit edici yazıt içeren bir mesaj belirdi. Hatta bu tür engelleyicilerin birkaç fotoğrafı kaldı. İşte onlardan biri.

Birkaç müşteri bana dolandırıcılara para ödediklerini itiraf etti ve sonunda bu virüsü kaldırmak için bir usta çağırdılar. Hatta biri farklı terminallerde 500 ruble için üç kez ödedi, diğerinde kilit açma kodunun muhtemelen yazdırılacağını düşündü. Sonuç olarak beni aradı ve bu virüsü 5-10 dakika içinde kaldırdım.

2013'te bir yerlerde, özenti gibi bu tür uygulamalar gelmeye başladığında, şehrimizde bir fidye yazılımı virüsüyle ilk kez karşılaştım. Mesela burada hatıra olarak fotoğrafladığım Ebola adlı bir virüs var.

Tabii ki, virüsün bilgisayardan kaldırılması zor değildi, ancak şifrelenmiş verilerin şifresi çözülemedi, sadece uygun bir şifre çözücü yardımcı olabilir.

Virüs nasıl çalışır?

Virüs esas olarak e-posta yoluyla yayılır. Rusya İçişleri Bakanlığı'ndan bir konuyla veya bir mahkeme kararıyla veya vergi makamlarından bir mektup gelir, genel olarak, mektubu açması için kullanıcının merakı üzerinde oynarlar. Ve o mektuba bir dosya eklenmiş, aynı şifreleme virüsü.

Bir PC'ye sızdıktan sonra virüs tüm fotoğrafları, videoları, belgeleri şifrelemeye başlar. Bilgisayardaki dosyalar orada görünüyor, ancak açılamıyorlar. İşte sorun ve verileri deşifre etmek için dolandırıcılar 15-20 bin ruble istiyor.

Tabii ki dosyaların kendi değerleri varsa ve kopyaları yoksa kullanıcı dolandırıcılarla anlaşma yapar. Bu tür davaları duymadım, kimse dolandırıcıların kurbanı olduğunu söylemekten hoşlanmaz.

Hatta böyle bir resmi gördüğüm bir eve yönetimi çağırdılar.

Muhasebeciye göre, yönetimden konuyla ilgili bir e-posta geldi. Ekli dosyalarda, açılması ve okunması gereken önemli bir belge olduğu iddia edildi. O zaman kendiniz her şeyi anlarsınız, bu dosyayı açarak bir virüs başlatılır ve bilgisayara girmeyen her şeyi şifreler.

Ve bunların hepsi vergi incelemesinden önce, tesadüf mü yoksa bir sebebi mi var ;)

İnsanlar neden dolandırıcılara para ödüyor?

İnce psikoloji burada oynuyor, bir virüs engelleyici durumunda, değersiz sitelere tırmandığınız ve çocuk pornografisi ile fotoğraf depoladığınız yazıt ile müstehcen resimler çıktı ve bu, böyle ve böyle bir yasa maddesi tarafından cezalandırılabilir. Birisi bu saçmalığa inandı ve ödedi ve birileri, ödemeden sonra engelleyicinin ortadan kalkacağını umarak akrabalarının bunu görmesini ve ödemesini istemedi. evet saf.

Want Cry virüsü söz konusu olduğunda, dolandırıcılar şifrelenmiş dosyaların kullanıcı için çok gerekli ve önemli olacağını ve bunun bedelini ödeyeceklerini umarlar. Ancak burada miktar, ilk durumda olduğu gibi artık 500-1000 ruble değil. Ve dolandırıcılar muhtemelen daha büyük oyunu hedefliyorlar.

Ortalama bir kullanıcının kayıp bir aile fotoğrafı video arşivi veya bir dönem ödevi veya tezi için 500 dolar ödeyeceğini kendiniz düşünün.

Burada amaç, Megafon, Beeline ve bir dizi başka şirkette olduğu gibi büyük şirketler ve devlet şirketleri içindir. Üslerini eski haline getirmek için 500 dolar ödeyeceklerini mi düşünüyorsun?

Elbette bir kopyası yoksa ödeyecekler. Bir kopya varsa, soru yok, her şey yıkılıyor ve yedek yeniden yükleniyor. 2, 3 saat kaybedecekler, ancak her şey olduğu gibi çalışacak.

Bir fidye yazılımı nasıl önlenir

1. Yapılacak ilk şey, önemli verileri de yapmaktır. Farklı ortamlarda en az üç kopya bulundurmanızı tavsiye ederim. Bir USB flash sürücüye, harici bir sabit sürücüye kopyalayın, bir kopyasını bulut Mile, Yandex diskinde veya diğer bulut depolama hizmetlerinde saklayın.
2. İşletim sisteminizi düzenli olarak manuel olarak güncelleyin. Windows güncellenmemiş olsa bile, node32 antivirüs WannaCry'ı ve değişikliklerini algılar ve engeller.
3. Uyanık olmak ve şüpheli mektupları açmamak için, bunun için elbette, hangi mektupların açılmaması gerektiğini hissetmek için deneyime ihtiyacınız var.
4. Sürekli güncellenen bir veritabanına sahip geçerli bir lisansa sahip bir antivirüs olmalıdır. Eset Nod 32 Smart Security antivirüsünü öneririm.

İndirimli bir antivirüs satın almak için aşağıdaki düğmeyi tıklayın.

Sizin için uygun bir şekilde ödeme yapıldıktan sonra, belirttiğiniz e-posta adresinize bir lisans anahtarı ve antivirüs indirme bağlantısı gönderilecektir.

Bu noktalar, takip ederseniz, hiçbir virüs, hatta bir fidye yazılımı bile sizin için korkunç değildir. Ve "Üç Küçük Domuz" karikatüründe olduğu gibi şarkı söyleyeceksiniz: gri bir kurttan, korkunç bir kurttan, yaşlı bir kurttan korkmuyoruz :)

İşte bu kadar, seni uyardım ama uyardım, sonra ne olacak? Bu doğru - silahlı.

Arkadaşlarınızın, tanıdıklarınızın ve akrabalarınızın dolandırıcıların pençesine düşmemesi için bu makaleyi paylaşın.

Saygılarımla, Ruslan Miftahov

Cryptolocker'lar, çeşitli şifreleme algoritmaları kullanarak, kullanıcıların bir bilgisayardaki dosyalara erişimini engelleyen (bilinen, örneğin, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, vb.) kötü amaçlı program ailesidir.

Genellikle virüs, popüler kullanıcı dosyalarını şifreler: belgeler, elektronik tablolar, 1C veritabanları, herhangi bir veri dizisi, fotoğraflar vb. Dosya şifre çözme para karşılığında sunulur - yaratıcılar, genellikle bitcoin cinsinden belirli bir miktarın aktarılmasını gerektirir. Kuruluş, önemli bilgilerin güvenliğini sağlamak için uygun önlemleri almadıysa, gerekli miktarı saldırganlara aktarmak şirketin performansını geri kazanmanın tek yolu olabilir.

Çoğu durumda, virüs e-posta yoluyla yayılır, oldukça sıradan mektuplar gibi gizlenir: vergi dairesinden bildirimler, eylemler ve sözleşmeler, satın almalarla ilgili bilgiler vb. Böyle bir dosyayı indirerek ve açarak, kullanıcı, farkında olmadan, kötü amaçlı kod başlatır. Virüs, gerekli dosyaları sırayla şifreler ve ayrıca garantili imha yöntemlerini kullanarak orijinal kopyaları siler (böylece kullanıcı, özel araçlar kullanarak yakın zamanda silinen dosyaları kurtaramaz).

Modern fidye yazılımı

Kullanıcıların verilere erişimini engelleyen şifreleme fidye yazılımları ve diğer virüsler, bilgi güvenliğinde yeni bir sorun değildir. İlk sürümler 90'larda ortaya çıktı, ancak esas olarak "zayıf" (kararsız algoritmalar, küçük anahtar boyutu) veya simetrik şifreleme (dosyalar çok sayıda kurbandan tek bir anahtarla şifrelendi, anahtarı kurtarmak da mümkün oldu) kullandılar. virüs kodunu inceleyerek ), hatta kendi algoritmalarını icat ettiler. Modern kopyalar bu tür dezavantajlardan yoksundur, saldırganlar hibrit şifreleme kullanır: simetrik algoritmalar kullanarak dosya içeriği çok yüksek bir hızda şifrelenir ve şifreleme anahtarı asimetrik bir algoritma ile şifrelenir. Bu, dosyaların şifresini çözmek için yalnızca saldırganın sahip olduğu bir anahtara ihtiyacınız olduğu anlamına gelir; bu, programın kaynak kodunda bulunamaz. Örneğin, CryptoLocker, 256 bit anahtarlı simetrik AES algoritmasıyla birlikte 2048 bit anahtarlı RSA algoritmasını kullanır. Bu algoritmalar şu anda kriptografik olarak güvenli olarak kabul edilmektedir.

Bilgisayara virüs bulaşmış. Ne yapalım?

Fidye yazılımı virüslerinde modern şifreleme algoritmaları kullanılmasına rağmen, bilgisayardaki tüm dosyaları anında şifreleyemedikleri unutulmamalıdır. Şifreleme sırayla gerçekleştirilir, hız şifrelenen dosyaların boyutuna bağlıdır. Bu nedenle, çalışma sürecinde normal dosya ve programların doğru şekilde açılmadığını tespit ederseniz, hemen bilgisayarda çalışmayı bırakmalı ve kapatmalısınız. Böylece bazı dosyaları şifrelemeden koruyabilirsiniz.

Bir sorunla karşılaştıktan sonra ilk adım virüsün kendisinden kurtulmaktır. Bunun üzerinde ayrıntılı olarak durmayacağız, bilgisayarı virüsten koruma programları kullanarak iyileştirmeye çalışmak veya virüsü manuel olarak kaldırmanız yeterlidir. Yalnızca, şifreleme algoritmasının tamamlanmasından sonra, virüsün genellikle kendi kendini yok ettiği ve böylece saldırganlardan yardım istemeden dosyaların şifresinin çözülmesini zorlaştırdığı belirtilmelidir. Bu durumda, anti-virüs programı hiçbir şey algılamayabilir.

Asıl soru, şifrelenmiş verilerin nasıl kurtarılacağıdır. Ne yazık ki, bir fidye yazılımı virüsünden sonra dosyaları kurtarmak neredeyse imkansızdır. En azından, başarılı bir enfeksiyon durumunda hiç kimse tam veri kurtarma garantisi vermez. Birçok antivirüs satıcısı, dosyaların şifresini çözme konusunda yardım sunar. Bunu yapmak için, üreticilerin web sitelerinde yayınlanan özel formlar aracılığıyla şifrelenmiş bir dosya ve ek bilgiler (saldırganların 'kişileri, bir genel anahtar içeren bir dosya) göndermeniz gerekir. Belirli bir virüsle başa çıkmanın bir yolunun bulunması ve dosyalarınızın şifresinin başarıyla çözülmesi için küçük bir şans vardır.

Silinen dosyaları kurtarmak için yardımcı programları kullanmayı deneyin. Belki de virüs garantili imha yöntemleri kullanmamıştır ve bazı dosyalar kurtarılabilir (özellikle bu, büyük dosyalarla, örneğin birkaç on gigabaytlık dosyalarla çalışabilir). Dosyaları gölge kopyalardan kurtarma şansı da vardır. Sistem Geri Yükleme'yi kullandığınızda, Windows, geri yükleme noktasının oluşturulduğu sırada dosya verilerini içerebilecek anlık görüntüler ("anlık görüntüler") oluşturur.

Verileriniz bulut hizmetlerinde şifrelenmişse, teknik desteğe başvurun veya kullandığınız hizmetin özelliklerini keşfedin: çoğu durumda hizmetler, geri yüklenebilmeleri için dosyaların önceki sürümlerine "geri alma" işlevi sağlar.

Sizi kesinlikle yapmaktan caydırdığımız şey, fidye yazılımı tarafından yönetilmeniz ve şifre çözme için ödeme yapmanızdır. İnsanların para verdiği, ancak anahtarları almadığı durumlar vardı. Parayı alan saldırganların gerçekten şifreleme anahtarını göndereceğini ve dosyaları kurtarabileceğinizi kimse garanti etmez.

Kendinizi bir fidye yazılımı virüsünden nasıl korursunuz. Önleyici tedbirler

Tehlikeli sonuçları önlemek, onları düzeltmekten daha kolaydır:

• Güvenilir virüsten koruma araçlarını kullanın ve virüsten koruma veritabanlarınızı düzenli olarak güncelleyin. Kulağa bayağı geliyor, ancak bilgisayarınıza başarılı bir virüs enjeksiyonu olasılığını önemli ölçüde azaltacaktır.
• Verilerinizin yedeklerini saklayın.

Bu en iyi şekilde özel yedekleme araçlarıyla yapılır. Çoğu kripto kilitleyici, yedekleri de şifreleyebilir, bu nedenle yedekleri diğer bilgisayarlarda (örneğin sunucularda) veya yabancılaştırılmış medyada depolamak mantıklıdır.

Yalnızca post-write izin vererek, yedekleme klasörlerindeki dosyaları değiştirme haklarını kısıtlayın. Fidye yazılımının sonuçlarına ek olarak, yedekleme sistemleri veri kaybıyla ilişkili diğer birçok tehdidi etkisiz hale getirir. Virüsün yayılması, bu tür sistemlerin kullanılmasının uygunluğunu ve önemini bir kez daha göstermektedir. Verileri kurtarmak, şifreyi çözmekten çok daha kolaydır!

• Etki alanındaki programlama ortamını sınırlayın.

Mücadele etmenin bir başka etkili yolu, örneğin .js, .cmd, .bat, .vba, .ps1 vb. uzantılarla bazı potansiyel olarak tehlikeli dosya türlerinin başlatılmasını kısıtlamaktır. Bu, AppLocker aracı (Enterprise'de) kullanılarak yapılabilir. - revizyonlar) veya etki alanında merkezi olarak SRP politikaları. İnternette bunun nasıl yapılacağına dair oldukça ayrıntılı kılavuzlar var. Çoğu durumda, kullanıcının yukarıda bahsedilen komut dosyalarını kullanması gerekmez ve fidye yazılımının başarılı bir dağıtım şansı daha az olur.

• Dikkatli ol.

Farkındalık, bir tehdidi önlemenin en etkili yöntemlerinden biridir. Bilinmeyen kişilerden aldığınız her e-postadan şüphelenin. Tüm ekleri açmak için acele etmeyin, şüpheniz varsa yöneticiye bir soru sormak daha iyidir.

Aleksandr Vlasov, Bilgi Güvenliği Sistemleri Uygulama Departmanı Kıdemli Mühendisi, SKB Kontur

Bu sefer, karmaşık anti-virüs koruma araçlarının fidye yazılımı Truva atlarıyla nasıl başa çıktığını kontrol ettik. Bunun için bir fidye yazılımı seçimi yapıldı ve hatta bilinmeyen bir fidye yazılımı Truva atının eylemlerini taklit eden ayrı bir program yazıldı. İmzası kesinlikle bugünün testlerine katılan hiçbir katılımcının veri tabanlarında yer almıyor. Bakalım neler yapabilecekler!

UYARI

Bu makale araştırma amaçlı yazılmıştır. İçindeki tüm bilgiler sadece bilgilendirme amaçlıdır. Tüm örnekler açık kaynaklardan elde edildi ve virüs analistlerine gönderildi.

Yeni tehditler için eski çözümler

Klasik antivirüsler, dosyaları şifreleyen ve şifrelerini çözmek için fidye talep eden Truva atlarına karşı koruma sağlamada pek yardımcı olmaz. Teknik olarak, bu tür fidye yazılımları, her biri kendi başına herhangi bir kötü amaçlı eylem gerçekleştirmeyen tamamen veya neredeyse tamamen yasal bileşenlerden oluşur. Kötü amaçlı yazılım bunları bir zincir halinde birleştirir, bu da feci bir sonuca yol açar - kullanıcı, dosyaların şifresini çözene kadar dosyalarıyla çalışma fırsatından mahrum kalır.

Son zamanlarda, fidye yazılımı Truva atlarına karşı koruma sağlayan birçok özel yardımcı program ortaya çıktı. Ya imza dışı analizler yapmaya çalışırlar (yani davranışları, dosya itibarı ve diğer dolaylı işaretlerle fidye yazılımının yeni sürümlerini belirlerler) ya da herhangi bir programın fidye yazılımı eylemleri için gerekli değişiklikleri yapmasını yasaklarlar.

İçinde bu tür yardımcı programların pratik olarak işe yaramaz olduğunu gördük. Bunlarda belirtilen en katı kısıtlamalar bile (artık normal şekilde çalışmak mümkün değildir), fidye yazılımı Truva Atlarına karşı güvenilir bir bariyer sağlamaz. Bu programlar bazı enfeksiyonları önler, ancak bu yalnızca kullanıcı için yanlış bir güvenlik duygusu yaratır. Daha pervasız hale gelir ve daha hızlı bir şekilde fidye yazılımlarının tuzağına düşer.

Klasik fidye yazılımı Truva atlarıyla mücadeledeki temel sorun, tüm eylemlerinin yalnızca kullanıcının dosyalarıyla gerçekleştirilmesi ve sistem bileşenlerini etkilememesidir. Kullanıcının dosyalarını değiştirmesi ve silmesi engellenemez. Yüksek kaliteli fidye yazılımı temsilcilerinin davranışlarında çok az belirgin ayırt edici özellik vardır veya hiç yoktur. Çoğu program artık bir ağ bağlantısı gerçekleştirir (en azından güncellemeleri kontrol etmek için) ve şifreleme işlevleri metin düzenleyicilerde bile yerleşiktir.

Başka bir fidye yazılımı Truva Atı'nı yasal bir programdan ayırt etmeye yardımcı olacak önleyici koruma araçları için belirgin bir işaret kalmadığı ortaya çıktı. Truva atının imzası veritabanlarında yoksa, antivirüsün onu algılama olasılığı çok düşüktür. Sezgisel modül, yalnızca bilinen fidye yazılımının kaba modifikasyonlarına tepki verir ve davranışsal çözümleyici genellikle herhangi bir şüpheli etkinlik algılamaz.

Yedekler için yedekler farklıdır!

Bugün, her gün binlerce bilgisayara fidye yazılımı bulaşıyor ve kural olarak, kullanıcıların kendileri tarafından. Virüsten koruma şirketleri, dosya şifre çözme isteklerini (müşterilerinden - ücretsiz olarak) kabul eder, ancak analistleri de her şeye kadir değildir. Bazen başarılı şifre çözme için çok az veri toplamak mümkündür veya Truva Atı'nın algoritmasının kendisi, dosyaları orijinal hallerine geri yüklemeyi imkansız kılan hatalar içerir. Şimdi şifre çözme başvuruları iki günden altı aya kadar işleniyor ve bu süre zarfında birçoğu alaka düzeyini kaybediyor. Bir antivirüs tarayıcısına güvenmemek için ek koruma araçları aramaya devam ediyor.

Uzun bir süre boyunca, yedeklemeler herhangi bir virüs saldırısına karşı evrensel korumaydı. Yeni kötü amaçlı yazılım bulaşması durumunda, şifrelenmiş dosyaların orijinal sürümlerinin üzerine yazarak ve istenmeyen değişiklikleri geri alarak her şeyi yedekten kolayca geri yüklemek mümkündü. Bununla birlikte, modern fidye yazılımı Truva atları, yedekleri tanımlamayı ve bozmayı da öğrenmiştir. Otomatik oluşturma yapılandırıldıysa, yedekleme deposu bağlanır ve kayıt için kullanılabilir. Gelişmiş Truva Atı tüm yerel, harici ve ağ sürücülerini tarar, yedekleri olan dizini tanımlar ve bunları şifreler veya siler, boş alanın üzerine yazar.

El ile yedekleme yapmak çok sıkıcı ve güvenilmezdir. Böyle bir işlemi günlük olarak gerçekleştirmek zordur ve daha uzun bir süre boyunca, hiçbir yerden kurtarılamayacak çok sayıda ilgili veri birikecektir. Nasıl olunur?

Günümüzde geliştiricilerin çoğu, klasik antivirüslere ek olarak kapsamlı güvenlik çözümleri sunmaktadır. Artık güvenlik duvarına, IDS'ye ve diğer iyi bilinen bileşenlere ek olarak, yeni bir güvenli yedekleme deposu içerirler. Yedekleri olan normal bir dizinin aksine, yalnızca antivirüsün kendisine erişimi vardır ve sürücüsü tarafından kontrol edilir. Harici dizin yönetimi tamamen devre dışıdır - bir yönetici bile dosya yöneticisi aracılığıyla onu açamaz veya silemez. Bu yaklaşımın ne kadar iyi olduğunu görelim.

Test metodolojisi

Deneylerimiz için, temiz Windows 10 ve en son düzeltmeleri olan bir sanal makinenin klonlarını yaptık. Her birinin kendi antivirüsü kuruluydu. Veritabanlarını güncelledikten hemen sonra, test setine ve simülatörümüze verilen anti-virüs yanıtını kontrol ettik. Test seti 15 örnek içerir. Bunlardan 14'ü iyi bilinen fidye yazılımı Truva atlarının çeşitli modifikasyonlarıydı ve on beşincisi uzak bir siteden başka bir fidye yazılımı indiren bir indirici Truva atıydı.

Gerçek dosya biçiminden bağımsız olarak tüm örnekler bir .tst uzantısına sahipti. Bu testler için özel olarak yazılmış ve karmaşık olmayan EncryptFiles adlı bir program, tipik bir fidye yazılımı Truva Atı davranışını taklit ediyordu. Varsayılan parametrelerle başlatıldığında, herhangi bir soru sormadan "Belgelerim" dizinindeki dosyaların içeriğini hemen şifreledi. Anlaşılır olması için, programa yankı mesajlarını kaydettik ve içeriklerini doğrudan konsolda hemen görüntülemek için mevcut kullanıcının belgelerinin bulunduğu dizine kodlayan OEM-866'ya birkaç metin dosyası yerleştirdik. Bir dosya Strugatsky'lerin çalışmalarından alıntılar içeriyordu (düz biçimlendirilmemiş metin), diğeri ise mercek parametrelerini bir tablo biçiminde (biçimlendirilmiş metin) içeriyordu.

Her bir antivirüsü kurduktan ve güncelledikten sonra, fidye yazılımı örnekleri salt okunur modda monte edilmiş bir ağ paylaşımından İndirilenler dizinine kopyalandı. Ardından, kopyalanan dosyalar ayrıca varsayılan ayarlarda antivirüs (zorunlu isteğe bağlı tarama) tarafından tarandı. Kontrolden sonra kalan numunelere gerçek uzantıları atanmış ve ardından başlatılmıştır. Sisteme virüs bulaşmadıysa, bir sonraki adım simülatöre verilen virüsten koruma yanıtını kontrol etmekti. Dosyalar başarıyla şifrelenmişse, virüsten koruma araçlarını kullanarak orijinal sürümlerini geri yüklemeye çalıştık ve sonucu kaydettik.

Kaspersky Total Security

Kaspersky Total Security'yi "şifreleme programlarına karşı koruma, dosyaların kötü amaçlı programlardan zarar görmesini önleme" sözü veren test sanal makinelerinden birine kurduk. KTS, bir ağ klasöründen fidye yazılımı örneklerini kopyalamaya çalışırken neredeyse tüm tehditleri zaten tanıdı.

On beş dosyadan yalnızca biri İndirilenler dizinine girdi - nd75150946.tst - bu tam olarak Trojan.Downloader'dır ve uzun süredir bilinmektedir. KTS'nin talebi üzerine ayrıca kontrol edildiğinde, dosyayı tekrar güvenli olarak kabul etti. VirusTotal'daki kırk beş antivirüs tarayıcısı onunla aynı fikirde değildi.

Gerçek uzantısını belirlemek için bu örneği bir Hex editörüyle açtık. Bilinen başlık 50 4B 03 04 ve içindeki başka bir dosyanın adı - açıkçası, bu bir ZIP arşividir. Arşivin içinde şüpheli bir dosya vardı: simgesi bir PDF belgesine karşılık geliyordu ve uzantısı .scr idi - bir ekran koruyucu, yani yürütülebilir kod.

Arşivden .scr uzantılı bir dosyayı çalıştırmaya çalışırken, KTS, kullanıcının geçici dizininde otomatik olarak açılmış kopyasını engelledi. KSN ağı üzerinden bulut analizinin sonuçlarına dayanarak, bu dosyayı bilinmeyen bir kötü amaçlı nesne olarak tanımladı ve yeniden başlatma ile silmeyi teklif etti. Bu durumda, Truva Atı kontrolü ele geçirmediği ve normal bir dosya gibi herhangi bir şekilde kaldırılabileceği için aşırı bir önlemdi.

Kaspersky Total Security'nin hatalarından ders almaması dikkat çekicidir. Arşiv tekrar tarandığında, KSN'deki analiz sonuçlarına göre, paketinden çıkarılan dosya bir tetikleyiciyi tetiklemiş olmasına rağmen, yine temiz olarak kabul edildi.

Testin bir sonraki aşamasının başında, Belgelerim dizininin ilk durumunu kontrol ettik ve birkaç metin dosyasının içeriğini ondan konsola döktük.

Ardından "Yedekle ve Geri Yükle" modülünü açtık ve bu dökümanları sistem bölümündeki Yedekleme klasörüne yedekledik. Gerçek bir durumda, farklı bir yer seçmeye değer (örneğin, harici bir sürücü), ancak testimiz için önemli değil. Bu klasöre erişim her durumda KTS aracılığıyla kontrol edilir ve Truva atları standart dosya sistemi sürücüsü aracılığıyla onunla etkileşime giremez.

Bir yönetici bile bu klasörün özelliklerine sadece normal yollarla bakabilir. Girmeye çalıştığınızda, KTS yedekleme yöneticisi otomatik olarak başlar ve daha önce ayarlanmışsa bir şifre ister.

Yedekleme yöneticisinin kendisi Kaspersky tarafından çok açıklayıcı yapılmıştır. Standart dizinleri seçebilir, kendinizinkini belirleyebilir veya tek tek dosyaları hariç tutabilirsiniz. Her türden dosya sayısı hemen soldaki pencerede ve boyutları - sağdaki özelliklerde görüntülenir.

Yerel ve çıkarılabilir sürücülere yedekleme yazmaya ek olarak, KTS bunları Dropbox'a göndermeyi destekler. Bulut depolamayı kullanmak, özellikle kötü amaçlı yazılım bilgisayarın harici medyayı başlatmasını ve bağlamasını engelliyorsa uygundur.

KTS simülatörümüzü görmezden geldim. Dosyaları sessizce şifreledi, içeriklerini anlamsız hale getirdi. "Videolarım", "Resimlerim" ve "Müziğim" alt dizinlerine erişimin engellenmesi, programın kendisinde bulunan ve % USERPROFILE% Belgelerindeki dosyaları şifreleme yeteneğini hiçbir şekilde etkilemeyen bir kusurdur.

Programımızda şifre çözme işlevi basitçe / decrypt anahtarıyla başlatıldığında gerçekleştirilirse, Truva Atlarında fidye gereksinimleri karşılandıktan sonra bile her zaman başlamaz. Bu durumda, şifrelenmiş dosyaları geri yüklemek için yeterince hızlı olan tek seçenek, önceden oluşturulmuş bir yedek kopyanın üzerine yazmaktır. Sadece birkaç tıklamayla, şifrelenmiş dosyalardan birini seçerek orijinal konumuna geri yükledik. Aynı şekilde, bir veya daha fazla kataloğun tamamını geri yükleyebilirsiniz.

Dr.Web Güvenlik Alanı

KTS gibi, Dr.Web SS de onları "İndirilenler" dizinine kopyalamaya çalışırken 15 örnekten 14'ünü algıladı.

Ancak, KTS'den farklı olarak, uzantısını ZIP olarak değiştirdikten ve zorunlu bir tarama çalıştırdıktan sonra kalan örnekte Trojan.Downloader'ı algılamaya devam etti.

Çoğu Dr.Web SS ayarı varsayılan olarak kilitlidir. Etkinleştirmek için önce kilit simgesine tıklamanız ve ayarlanmışsa şifreyi girmeniz gerekir.

Veri Kaybını Koruma aracı kullanılarak Dr.Web SS'de yedekler oluşturulur. Ayarlar minimaldir. Yedekleme için standart kullanıcı dizinlerini seçebilir veya kendinizinkini belirleyebilir, kopya miktarı için seçilen kısıtlamalardan birini ayarlayabilir, yedeklemelerin konumunu belirleyebilir ve bir yedekleme programı oluşturabilirsiniz. Bulut depolamaya yükleme Dr.Web SS tarafından desteklenmez, bu nedenle kendinizi yerel disklerle sınırlamanız gerekir.

Dizinin Dr.Web SS'deki yedeklerle korunması, KTS'ninkinden daha agresiftir. Yönetici, özelliklerini gezgin aracılığıyla bile görüntüleyemez.

Belgelerin yedek kopyalarını aldık ve testin ikinci bölümüne geçtik.

Dr.Web SS taklit programı, çalışmasını hiçbir şekilde tanımadı ve engellemedi. Bölünmüş bir saniyede, tüm dosyalar şifrelendi.

Veri Kaybına Karşı Korumayı yeniden çalıştırarak orijinal dosyaları geri yükledik. Ancak, beklendiği yerde hiç korunmadılar.

"Belgelerim" hedef klasörünü belirlediğinizde, ad olarak geçerli tarih ve saatle birlikte otomatik olarak bir alt dizin oluşturulur. Yedekten önceden kaydedilmiş dosyalar, tüm göreli yolların geri yüklenmesiyle birlikte paketten çıkarılır. Bu, ortak 255 karakter sınırını kolayca aşabilen son derece uygunsuz uzun bir yoldur.

Norton Güvenlik Premium

Doksanlı yıllarda yedekleme için referans noktası haline gelen Norton Ghost'u hatırlayarak, Symantec antivirüsünde bu tür işlevlerin görünümünü tahmin etmek kolaydı. Şaşırtıcı bir şekilde, bu bariz çözümün talep görmesi yirmi yıl aldı. Mutluluk olmazdı, ama talihsizlik yardımcı oldu.

Fidye yazılımı örnekleri dizinini kopyalamaya çalışırken NSP, 15 tehdidin 12'sini belirledi ve karantinaya aldı.

Kalan üç dosya da, ikisi Symantec antivirüs tarafından da dahil olmak üzere, VirusTotal tarafından analiz edildiğinde kötü amaçlı olarak tanınır. Sadece varsayılan ayarlar, NSP'nin kopyalama sırasında bazı dosyaları kontrol etmemesi için yapılmıştır. Zorunlu bir tarama gerçekleştiriyor ... ve NSP aynı dizinde iki Truva atı daha algılıyor.

Önceki antivirüsler gibi, NSP de indirici truva atını yeniden adlandırılan ZIP arşivinde bırakır. .scr dosyasını arşivden çalıştırmaya çalışırken, NSP, mevcut kullanıcının geçici dizininden Trojan'ın paketlenmemiş bir kopyasının başlatılmasını engeller. Bu durumda arşivin kendisi hiçbir şekilde işlenmez.

Arşivden çıkarılan bir Truva atı tespit edildikten hemen sonra yeniden taransa bile arşiv temiz olarak kabul edilir. Yazıt özellikle komiktir: "Sizce hala tehditler varsa, burayı tıklayın." Üzerine tıkladığınızda, veritabanları güncellenir (veya zaten yeniyse, güncellenmez).

Şaşırtıcı bir şekilde, bazı eski fidye yazılımı örnekleri hala yalnızca buluşsal çözümleyici ve bulut tarayıcıları olan NSP tarafından algılanıyor. Görünüşe göre Symantec virologları veritabanlarını güncel tutamayacak kadar tembeller. Antivirüsleri şüpheli olan her şeyi engeller ve kullanıcının tepkisini bekler.

Testin ikinci aşaması geleneksel olarak gerçekleşti. Belgelerim dizinindeki dosyaları yedekledik ve ardından onları şifrelemeye çalıştık.

İlk başta, NSP'deki yedekleme yöneticisi mantığından memnun kaldı. Klasik “Ne? Nereye? Ne zaman? ”, DOS zamanlarından tanıdık. Bununla birlikte, modern versiyonda aşırı soyutluk tarafından gölgede bırakılmıştır. Uzantılarına göre tam yolları ve dosyaları olan nesneleri doğrudan listelemek yerine, sanal konumları ve türe göre koşullu gruplandırma kullanılır. NSP'nin hangi dosyaları finansal bilgi olarak kabul edeceği ve hangilerinin basitçe "Diğerleri" bölümüne yerleştirileceğini göreceğiz.

Ek ayarlar mümkündür (örneğin, "Dosya ve klasörleri ekle veya hariç tut" bağlantısına tıklayarak), ancak bunları yapmak kolay değildir. Birkaç dosya uğruna (her biri bir kilobayttan daha az), yine de yarım bir dizin ağacını ve masaüstü.ini gibi herhangi bir çöpü yedeklemeniz gerekiyor ve yedekleme sihirbazı bunu bir CD-R'de ölümsüzleştirmeyi teklif ediyor. Görünüşe göre 21. yüzyıl herkes için değil.

Öte yandan, NSP kullanıcılarına bulutta 25 GB yedekleme sağlanmaktadır. Yedekleri oraya yüklemek için, hedef konum olarak "Güvenli Ağ Depolaması"nı seçmeniz yeterlidir.

Yerel bir yedekleme oluşturduktan sonra, fidye yazılımı Truva Atı'nın eylemlerini taklit eden bir program başlattık. NSP ona müdahale etmedi ve dosyaların şifrelenmesine izin verdi.

Bunları bir yedekten geri yüklemek, Dr.Web SS kullanmaktan daha hızlı ve daha kolaydı. Üzerine yazmayı onaylamak yeterliydi ve orijinal formdaki dosyalar hemen aynı yerlerde belirdi.

K7 Üstün Güvenlik

Daha önce, Hintli K7 Computing şirketinin bu ürününe Antivirus Plus adı verildi. Bu geliştiricinin isimleriyle ve şimdi biraz kafa karışıklığı var. Örneğin, K7 Total Security dağıtımında yedekleme araçları yoktur. Bu nedenle, yedekleme yapabilen tek sürüm olan Ultimate sürümünü test ettik.

Rusya'da bilinen antivirüslerin aksine, bu gelişme testlerimizde kara bir at oldu. "Hint kodu" ifadesi, programcılar tarafından bir lanet olarak kabul edilir ve ondan fazla bir şey beklemiyorduk. Testlerin gösterdiği gibi - boşuna.

K7 Ultimate Security, seçimimizdeki 15 tehdidin tümünü anında algılayan ilk antivirüs yazılımıdır. Örnekleri "İndirilenler" dizinine kopyalamayı bitirmesine bile izin vermedi ve "Salt okunur" modda bağlanmamış olsaydı, bunları doğrudan ağ klasöründen silerdi.

Programın tasarımı çelik kamuflajdır. Görünüşe göre geliştiriciler tank oynamayı seviyorlar veya bu şekilde güvenilir bir şeyle çağrışımlar uyandırmaya çalışıyorlar. K7'deki yedekleme seçenekleri, NSP'dekiyle aynı şekilde ayarlanır. Bununla birlikte, genel olarak, K7'nin arayüzü daha az karmaşıktır ve ince ayar yapmak daha kolaydır.

K7, simülatörün başlatılmasına ve dosya şifrelemesine tepki vermedi. Her zaman olduğu gibi, orijinalleri yedekten geri yüklemek zorunda kaldım.

Uygun bir şekilde, geri yüklerken dosyaları tek tek seçip orijinal konumlarına yazabilirsiniz. Mevcut dosyanın üzerine yazma talebine olumlu yanıt verdikten sonra, aynı yerden birkaç tıklamayla lensler.txt dosyasını geri yükledik.

Bu testin bir parçası olarak, K7'nin performansı hakkında eklenecek başka bir şey yok. Başarı başarıdır.

sonuçlar

İyi test sonuçlarına rağmen, genel sonuçlar hayal kırıklığı yarattı. Popüler ücretli antivirüslerin tam sürümleri bile varsayılan ayarlarında bazı fidye yazılımı seçeneklerini kaçırır. İsteğe bağlı seçici tarama da taranan dosyaların güvenliğini garanti etmez. İlkel numaralar (uzantı değiştirmek gibi) kullanılarak uzun süredir bilinen Truva atı değişikliklerinden de kaçınılır. Yeni kötü amaçlı yazılımlar, vahşi doğaya salınmadan önce neredeyse her zaman herhangi bir tespit olup olmadığı kontrol edilir.

Davranışsal çözümleyiciye, bulut denetimine, dosya itibarı özelliklerine ve diğer imza dışı analiz araçlarına güvenmeyin. Bu yöntemlerin bir anlamı var ama çok küçük. Sıfır itibarı olan ve dijital imzası olmayan ilkel simülatörümüz bile herhangi bir antivirüs tarafından engellenmemiştir. Birçok fidye yazılımı Truva atı gibi, birçok kusur içerir, ancak bu, başlatıldıktan hemen sonra dosyaları serbestçe şifrelemesini engellemez.

Kullanıcı dosyalarının otomatik olarak yedeklenmesi, ilerlemenin bir sonucu değil, gerekli bir önlemdir. Yalnızca antivirüsün kendisi aracılığıyla yedekleme deposunun sürekli korunmasıyla oldukça etkili olabilir. Ancak, antivirüs bellekten kaldırılmadığı veya hiç kaldırılmadığı sürece tam olarak etkili olacaktır. Bu nedenle, nadiren bağlanan bazı ortamlara ek kopyalar oluşturmaya veya bunları buluta yüklemeye her zaman değer. Tabii ki, bulut sağlayıcısına yeterince güveniyorsanız.

Okuma: 8546 Yorumlar: 112 Rütbe: 292

Fidye yazılımı Truva atları hakkında zaten çok şey yazdık ("" bölümünde ele alınmıştır). Kodlayıcılardan gelen verilerin güvenliği için gerekli bir önlem, bir antivirüsün kurulmasıdır. Gerekli, ancak yeterli değil. Yalnızca sözde antivirüsler ("" sayısında bahsettiğimiz) fidye yazılımlarına karşı %100 koruma sözü verir.

Bu sürümdeki bariz koruma önlemlerine değinmeyeceğiz - güncellemeleri yükleme, karmaşık parolalar kullanma ve sınırlı haklar altında çalışma ihtiyacı. Bugün, virüsten koruma yazılımına ek olarak Windows işletim sisteminin özelliklerini kullanarak şifreleme tehdidinden verilerin nasıl kurtarılacağı hakkında konuşalım.

"Yedeklemeler" yapın

Birçok yedekleme seçeneği vardır. Ancak dosyaları başka bir diske veya ağ üzerinden kopyalamanız önerilmez - kodlayıcılar ağ klasörlerini şifreleme işlevine sahiptir. Elbette, Google Drive, Dropbox, Flickr kullanarak ağda veri depolayabilirsiniz, ancak bu yöntemin Truva Atı tarafından şifrelenen dosyaların eski sürümlerini silmeyeceğini garanti etmediğini unutmayın. Bu nedenle, seçilen veri yedekleme sistemi, örneğin Dr.Web Security Space'deki "Veri Kaybına Karşı Koruma" işlevinde uygulandığı gibi, dosya sürümlerini saklama özelliğini desteklemelidir.

Parametreleri yapılandırmak için Veri kaybı koruması sistem menüsünde simgesine tıklayın, ardından açılan menüde simgesine tıklayın ve Araçlar öğesini seçin. Açılan pencerede bölüme gidin Veri kaybı önleme ve anahtara tıklayarak veri kopyalarının otomatik olarak oluşturulmasını etkinleştirin.



Dosya ve klasör eklemek için simgeye tıklayın ve gerekli koruma nesnelerini belirtin.

Kopyalama sıklığı ve saklama yeri, öğe seçilerek belirtilebilir. Dosyaları kopyala...

Windows'ta Sistem Korumasını Açın

Bu özellik genellikle varsayılan olarak devre dışıdır.



Sistem koruması etkinleştirildiğinde, Windows önemli sistem dosyalarının ve ayarlarının kopyalarını oluşturur - örneğin, herhangi bir sürücü yüklemeden önce ve ayrıca düzenli aralıklarla.

Dikkat! Ayrıca manuel olarak bir geri yükleme noktası oluşturabilirsiniz.

Sistem Korumasını etkinleştirmek için Bilgisayarım simgesine sağ tıklayın ve Özellikler'i seçin. Ardından, tıklayın Ekstra seçenekler sistem ve Sistem Koruması sekmesine gidin.

Aynı sekmeye tıklayarak erişilebilir. Başlat → Denetim Masası → Sistem → Sistem Koruması.

Gelişmiş kullanıcılar bunu komut satırında veya Çalıştır penceresinde (WIN + R) yazarak yapar. rundll32.exe shell32.dll, Control_RunDLL sysdm.cpl, 4

En az bir yerel sürücünün karşısındaki mantıksal sürücüler listesinde Açık yazıyorsa, Sistem Koruma işlevinin zaten etkinleştirildiği ve geri yükleme noktalarının oluşturulduğu anlamına gelir.

Sistem Koruması etkin değilse, yerel sürücülerden birini seçin ve Yapılandır düğmesine tıklayın. Bu durumda, maksimum boş alana sahip bölümü seçebilirsiniz.

Açılan pencerede öğeyi seçin Sistem ayarlarını ve dosyaların önceki sürümlerini geri yükleyin ve kaydırıcıyı kullanarak Maksimum kullanım sistemin geri yükleme noktaları oluşturmak için kullanacağı maksimum disk alanı miktarını ayarlayın.

Dikkat! Yeni geri yükleme noktaları oluşturulduğunda eskileri silinecektir.

Tamam'ı iki kez tıklayın.

Windows 7'den başlayarak, her geri yükleme noktası için, geri alma işleminden etkilenecek programların ve sürücülerin bir listesini görüntülemek mümkündür. Açıkçası, bir sistem geri yüklemesinden sonra bu tür programlar düzgün çalışmayabilir. Bu şekilde, kurtarma işleminden sonra hangi programların yeniden yüklenmesi gerekebileceğini önceden bilebilirsiniz.

Manuel olarak bir geri yükleme noktası oluşturmak için Sistem Koruma işlevinin etkinleştirilmesi gerekir.

Sistem Koruması sekmesine geri dönün ve Oluştur düğmesine tıklayın. Açılan pencerede geri yükleme noktası için bir ad girin ve Oluştur'a tıklayın. İşlemin başarıyla tamamlandığı mesajını bekleyin ve Kapat'a tıklayın.

Dosyaları yedeklerden geri yüklemek için aşağıdakilerden birini yapmanız gerekir:

• Başlat menüsünde - Ara'da Recovery yazın ve tıklayın. Sistem Geri Yükleme;
• Başlat - Ara menüsünde veya Çalıştır penceresinde (WIN + R) rstrui girin ve Enter tuşuna basın;
• Denetim Masası öğesinde Arşivleme ve geri yükleme Tıklayın Sistem parametrelerini veya bilgisayarı geri yükleyin ve ardından düğmeye basın Sistem Geri Yüklemeyi Başlatma;
• açık Kontrol Paneli - Sistem - Sistem Koruması ve düğmeye basın Sistem Geri Yükleme;

Alternatif olarak, Sistem Geri Yükleme, Windows RE'den çalıştırılabilir.

Her iki durumda da, pencereye vurdun Sistem Geri Yükleme ve sonra bir kontrol noktası seçmelidir. Ancak, yalnızca sonuncuyu değil, herhangi bir geri yükleme noktasını seçebilirsiniz.





İşletim sisteminiz bir yedek sistem görüntüsü oluşturma özelliğini destekliyorsa, geri yükleme noktası olarak da seçilebilir. Bu noktayı görmek için kutuyu işaretleyin Diğer geri yükleme noktalarını göster.

Ayrıca bu pencerede, dosyaları "yedekten" geri yüklerken hangi programların değişikliklerden etkileneceğini öğrenebilirsiniz. Bunu yapmak için tıklayın Etkilenen programları arayın.



Kurtarma işlemini başlatmak için Bitir'e tıklayın.

Dikkat! Yanlışlıkla yanlış noktayı seçtiyseniz veya geri yükleme istenen sonuçları getirmediyse, son sistem geri yüklemesini geri alabilirsiniz. Bu, Windows 7'nin geri yüklemeden önce bir kontrol noktası oluşturması nedeniyle mümkündür. Geri yüklemeyi geri almak için bir eylem seçin Sistem Geri Yüklemeyi Geri Al.



İşletim sisteminin veri koruması için sağladığı yetenekler, kurtarma noktalarının kullanılabilirliği ile sınırlı değildir. Örneğin, saldırganlar tarafından çok sevilen hosts dosyasının özelliklerine girerek şunları görebilirsiniz:



Dosyaların önceki sürümlerini geri yükleme özelliği ilk olarak Windows Vista'da tanıtıldı. Ancak, işletim sisteminin önceki sürümlerinde bulunan özellikler kaldırılmadığından, sonuç olarak dosya sürümleri yalnızca Birim Gölge Kopyası Hizmeti kullanılarak değil, aynı zamanda Windows Yedekleme kullanılarak da kaydedilir. Sekmedeki dosya özelliklerinde Önceki sürümler yer belirtilir: Kurtarma noktası veya Arşivleme.

Projemizin sonraki sürümlerinde Windows işletim sistemi özelliklerine sahip dosyaların sürümlerini kaydetme olasılığını size anlatacağız.

Fidye yazılımı virüsleri, iyi bilinen bir tehdit türüdür. SMS banner'ları ile hemen hemen aynı zamanda ortaya çıktılar ve en üst sıradaki fidye yazılımı virüslerinde yoğun bir şekilde ikincisiyle dolduruldular.

Fidye yazılımı virüsünün para kazanma modeli basittir: bilgilerin bir kısmını veya kullanıcının bilgisayarını tamamen bloke eder ve verilere yeniden erişim sağlamak için SMS, elektronik para göndermeyi veya cep telefonu numarasının bakiyesini cep telefonu aracılığıyla yenilemeyi gerektirir. terminal.

Dosyaları şifreleyen bir virüs durumunda, her şey açıktır - dosyaların şifresini çözmek için belirli bir miktar ödemeniz gerekir. Ayrıca, son birkaç yılda bu virüsler kurbanlarına olan yaklaşımı değiştirdi. Daha önceleri klasik şemalara göre vares, porno siteleri, düzenleme ve toplu spam postaları yoluyla yayıldılarsa, sıradan kullanıcıların bilgisayarlarına bulaşırken, şimdi mektupların postalanması "normal" etki alanlarındaki posta kutularından manuel olarak ele alınmaktadır - mail.ru , gmail, vb. Ve veritabanlarının ve sözleşmelerin şifrelerin altına düştüğü tüzel kişiliklere bulaşmaya çalışıyorlar.

Onlar. nicelikten niteliğe saldırılar. Şirketlerden birinde, yazar, postayla bir özgeçmişle gelen, sağlamlaştırılmış bir fidye yazılımıyla karşılaşma şansı buldu. Enfeksiyon, personel memurları tarafından dosyanın açılmasından hemen sonra meydana geldi, şirket sadece personel arıyordu ve dosya herhangi bir şüphe uyandırmadı. İçinde AdobeReader.exe bulunan docx'ti :)

En ilginç şey, Kaspersky Anti-Virus'ün buluşsal ve proaktif sensörlerinin hiçbirinin çalışmamış olmasıdır. Enfeksiyondan bir veya 2 gün sonra, virüs dr.web ve nod32 tarafından tespit edilmedi.

Peki bu tür tehditler ne olacak? Antivirüs gerçekten işe yaramaz mı?

Yalnızca imza amaçlı antivirüslerin süresi azalıyor.

G Data TotalProtection 2015 - fidye yazılımlarına karşı en iyi koruma
yerleşik yedekleme modülü ile. Tıklayın ve satın alın.

Eylemden etkilenen herkes için fidye yazılımı - G DATA satın alımında indirimli bir promosyon kodu - GDTP2015. Siparişinizi verirken bu promosyon kodunu girmeniz yeterlidir.

Fidye yazılımı virüsleri, antivirüs programlarının tutarsızlığını bir kez daha kanıtladı. SMS afişleri, bir kerede, geçici klasördeki kullanıcılara serbestçe "birleştirildi" ve tüm masaüstünde başlatıldı ve klavyeden tüm hizmet kombinasyonlarına basılarak durduruldu.

Virüsten koruma programı o sırada oldukça iyi çalıştı :) Kaspersky, normal modda olduğu gibi kendi “Kaspersky LAB tarafından korunuyor” yazısını gösterdi.

Banner, rootkit'ler gibi kurnaz bir kötü amaçlı yazılım parçası değil, kayıt defterindeki 2 anahtarı değiştiren ve klavye girişini engelleyen basit bir programdır.

Dosyaları şifreleyen virüsler yeni bir dolandırıcılık düzeyine ulaştı. Bu yine kendini işletim sistemi koduna gömmeyen, sistem dosyalarının yerini almayan ve diğer programların RAM alanlarını okumayan sıradan bir programdır.

Sadece kısa bir süre çalışır, genel ve özel anahtarlar üretir, dosyaları şifreler ve özel anahtarı saldırgana gönderir. Bir grup şifreli veri ve bilgisayar korsanlarının bağlantılarını içeren bir dosya, daha fazla ödeme için kurbanın bilgisayarında bırakılır.

Şunu düşünmek mantıklı: " Ve o zaman sadece bildiği kötü amaçlı yazılımları bulabiliyorsa neden bir antivirüse ihtiyacımız var?

Gerçekten de bir virüsten koruma programı gereklidir - bilinen tüm tehditlere karşı koruma sağlar. Ancak, birçok yeni kötü amaçlı kod türü onun için çok zor. Kendinizi fidye yazılım virüslerinden korumak için önlem almanız gerekiyor, burada sadece antivirüs yeterli değil. Ve hemen söyleyeceğim: “Zaten şifreli dosyalarınız varsa, başınız belada. Onları geri getirmek kolay olmayacak."

:

Antivirüs hakkında unutma

Her hizmet için önemli bilgi sistemlerini ve verileri yedekleme - kendi özel sunucusu.

Önemli verileri yedekleyin.

:

Virüsün kendisi ile ne yapmalı?

Şifrelenmiş dosyalarla kendi kendine yardım

Antivirüs teknik desteği ile iletişim kurma deneyimi, ne beklenir?

Polise ihbar etmek

Önlemlere daha sonra dikkat edin (önceki bölüme bakın).

Her şey başarısız olursa, ödemeye değer olabilir mi?

Henüz bir fidye yazılımı virüsünün kurbanı olmadıysanız:

* Bilgisayarda en son güncellemelerle antivirüs yazılımının bulunması.

Açıkça söyleyelim: "Antivirüsler, yeni fidye yazılımı türleriyle başa çıkmakta berbat, ancak iyi bilinen tehditlerle mücadelede mükemmeller." Bu nedenle iş istasyonunda antivirüsün varlığı gereklidir. Halihazırda mağdurlar varsa, en azından salgından kaçınmış olursunuz. Hangi antivirüsü seçeceğiniz size kalmış.

Deneyimden - Kaspersky daha fazla bellek ve işlemci süresi "yiyor" ve 5200 hıza sahip dizüstü bilgisayar sabit diskleri için - bu bir felaket (genellikle 500 ms'lik sektör okuma gecikmeleriyle ..) Nod32 hızlıdır, ancak çok az yakalar. En iyi seçenek olan antivirüs GDATA'yı satın alabilirsiniz.

* Önemli bilgi sistemlerini ve verileri yedekleyin. Her hizmetin kendi sunucusu vardır.

Bu nedenle, şirketin ömrünün ayrı bir sunucuya bağlı olduğu tüm hizmetleri (1C, vergi mükellefi, belirli iş istasyonları) ve herhangi bir yazılımı almak çok önemlidir, daha da iyisi - bir terminal. Daha da iyisi, her hizmeti kendi sunucusuna yerleştirin (fiziksel veya sanal - kendiniz karar verin).

1c veritabanını ağ üzerinde kamuya açık alanda saklamayın. Bunu birçok kişi yapıyor ama bu doğru değil.

1c ile çalışma, tüm çalışanlar için paylaşılan okuma/yazma erişimine sahip bir ağ üzerinden organize ediliyorsa - 1c'yi bir terminal sunucusuna götürün, kullanıcıların RDP aracılığıyla onunla çalışmasına izin verin.

Kullanıcı sayısı azsa ve sunucu işletim sistemi için yeterli para yoksa, terminal sunucusu olarak normal Windows XP kullanılabilir (eşzamanlı bağlantı sayısındaki kısıtlamaların kaldırılması, yani yama yapmanız gerekir). Bununla birlikte, Windows sunucusunun lisanssız bir sürümünü de yükleyebilirsiniz. Neyse ki Microsoft, daha sonra kullanmanıza, satın almanıza ve etkinleştirmenize izin verir :)

Kullanıcıların RDP üzerinden 1c ile çalışması, bir yandan ağ üzerindeki yükü azaltacak ve 1c'nin işini hızlandıracak, diğer yandan veritabanı bulaşmasını önleyecektir.

Veritabanı dosyalarını paylaşılan bir ağda depolamak güvenli değildir ve başka bir olasılık yoksa yedeklemeye dikkat edin (bir sonraki bölüme bakın).

* Önemli verileri yedekleyin.

Henüz yedekleme (yedekleme) yapmadıysanız, aptalsınız, beni bağışlayın. Ya da sistem yöneticinize merhaba deyin. Yedeklemeler yalnızca virüslerden değil, aynı zamanda dikkatsiz çalışanlardan, bilgisayar korsanlarından, sonunda "serpilmiş" sabit sürücülerden de tasarruf sağlar.

Nasıl ve ne yedeklenir - hakkında ayrı bir makalede okuyabilirsiniz. Örneğin, GDATA antivirüsünün iki versiyonda bir yedekleme modülü vardır - kuruluşlar için toplam koruma ve uç nokta güvenliği ( GDATA toplam korumasını satın alabilirsiniz).

Bilgisayarınızda şifrelenmiş dosyalar bulursanız:

* Virüsün kendisi ile ne yapmalı?

Bilgisayarınızı kapatın ve virüsten koruma yazılımınızı desteklemek için bilgisayar hizmetleri + uzmanlarıyla iletişime geçin. Şanslıysanız, virüs gövdesi henüz silinmemiştir ve dosyaların şifresini çözmek için kullanılabilir. Şanssızsanız (genellikle olduğu gibi), virüs verileri şifreledikten sonra özel anahtarı saldırganlara gönderir ve tüm izlerini kaldırır. Bu, nasıl ve hangi algoritma ile şifrelendiklerini belirlemek mümkün olmayacak şekilde yapılır.

Hala virüslü bir dosya içeren bir mesajınız varsa, onu silmeyin. Popüler ürünleri antivirüs laboratuvarına gönderin. Ve tekrar açmayın.

* Şifreli dosyalarla kendi kendine yardım

Ne yapabilirsin:

Virüsten koruma desteğine başvurun, talimatları ve muhtemelen virüsünüz için bir şifre çözücü alın.

Polise bir ifade yaz.

Bu sorunla daha önce karşılaşmış olan diğer kullanıcıların deneyimlerini İnternet'te arayın.

Dosyaları önce ayrı bir klasöre kopyalayarak şifresini çözmek için önlemler alın.

Windows 7 veya 8'iniz varsa - dosyaların önceki sürümlerini geri yükleyebilirsiniz (dosyaların bulunduğu klasöre sağ tıklayın). Yine, önce onları kopyalamayı unutmayın.

Yapılmaması gerekenler:

Windows'u yeniden yükleyin

Şifrelenmiş dosyaları silin, yeniden adlandırın ve uzantıyı değiştirin. Dosya adı gelecekte şifreyi çözerken çok önemlidir

* Antivirüs teknik desteği ile iletişim kurma deneyimi, ne beklenir?

Müşterilerimizden biri henüz anti-virüs veritabanlarında olmayan .hardended kripto virüsünü yakaladığında, dr.web ve Kaspersky'ye istekler gönderildi.

dr.web'deki teknik desteği beğendik, geri bildirim hemen geldi ve hatta tavsiyede bulundu. Ayrıca, birkaç gün sonra dürüstçe hiçbir şey yapamayacaklarını söylediler ve yetkili makamlar aracılığıyla nasıl talep gönderileceğine dair ayrıntılı talimatları bıraktılar.

Kaspersky'de ise, aksine, önce bot yanıt verdi, ardından bot, en son veritabanlarına sahip bir antivirüs yüklemenin sorunumu çözeceğini bildirdi (unutmayın, sorun yüzlerce şifreli dosyadır). Bir hafta sonra, talebimin durumu "anti-virüs laboratuvarına gönderildi" olarak değişti ve yazar birkaç gün sonra mütevazı bir şekilde talebin akıbetini sorduğunda Kaspersky temsilcileri bizden bir yanıt almayacağımızı söyledi. laboratuvar henüz, diyorlar, bekliyoruz.

Bir süre sonra, talebimin hizmet kalitesini değerlendirmek için bir teklifle kapatıldığına dair bir mesaj aldım (hepsi laboratuvardan cevap beklerken) .. "Siktir git!" - yazar düşündü.

Bu arada NOD32 bu virüsü ortaya çıktıktan sonraki 3. günde yakalamaya başladı.

İlke, şifrelenmiş dosyalarınızla kendi başınıza olmanızdır. Büyük antivirüs markalarının laboratuvarları size ancak şu durumlarda yardımcı olacaktır: ilgili antivirüs ürünü için bir anahtarınız varsa ve eğer içindeyse kripto virüsünün bir güvenlik açığı var. Saldırganlar dosyayı aynı anda ve birden fazla algoritma kullanarak şifrelediyse, büyük olasılıkla ödeme yapmanız gerekecektir.

Antivirüs seçimi sizin, ihmal etmeyin.

*Polise başvurma

Bir kripto virüsünün kurbanı olduysanız ve şifrelenmiş kişisel bilgiler şeklinde dahi olsa herhangi bir zarar gördüyseniz, polise başvurabilirsiniz. Uygulama talimatları vb. orada .

* Her şey başarısız olursa, ödemeye değer mi?

Virüsten koruma programlarının fidye yazılımlarla ilgili görece eylemsizliği göz önüne alındığında, siber suçlulara ödeme yapmak bazen daha kolaydır. Sertleştirilmiş dosyalar için, örneğin, virüsün yazarları yaklaşık 10 bin ruble istiyor.

Diğer tehditler (gpcode vb.) için fiyat etiketi 2 bin ruble arasında değişebilir. Çoğu zaman, böyle bir miktar, veri eksikliğinin neden olabileceği kayıpların altında ve zanaatkarların sizden dosyaları manuel olarak çözmenizi isteyebilecekleri miktarın altında olur.

Özetlemek gerekirse, fidye yazılımı virüslerine karşı en iyi koruma, kullanıcıların sunucularından ve iş istasyonlarından önemli verileri yedeklemektir.

Ne yapacağınız size kalmış. İyi şanlar.

Bu gönderiyi okuyan kullanıcılar genellikle şunları okur:

Temas halinde