Как защититься от вирусов-шифровальщиков. Как защитить компьютер от вирусов-шифровальщиков Защита компьютера от шифровальщика

Сегодня многие уже на себе ощутили результаты действий киберпреступников, основное оружие которых — вирусы-шифровальщики. Основная цель – с их помощью вымогать деньги у пользователей. За разблокировку личных файлов могут требовать десятки тысяч гривен, а с владельцев бизнеса - миллионы (например, за заблокированную базу 1С).
Надеемся, что наши советы помогут максимально обезопасить Вашу базу данных.

Антивирусная защита

Конечно, главное средство защиты — это антивирус. Обязательно надо следить за актуальностью антивирусной программы, ведь вирусные базы данных автоматически (без участия пользователя) обновляются несколько раз в день. Надо регулярно отслеживать появление новых надежных антивирусных программ, и добавлять их в свои продукты.
Одна из таких программ — облачный сервис ESET LiveGrid®, который блокирует вирус раньше, чем он попадает в антивирусную базу. Система ESET сразу анализирует подозрительную программу и определяет степень ее опасности, при подозрении на вирус процессы программы блокируются.

Так же можно воспользоваться бесплатным антивирусом AVG, он конечно немного уступает ESET но имеет хорошую степень зашиты от вирусов, а для полной зашиты можно купить и лицензию на AVG

В начале 2017 года эксперты из MRG Effitas провели тестирование 16 популярных антивирусных продуктов для использования их у домашних пользователей на операционной системе Microsoft Windows 10, 64-битной. В испытаниях надежности антивирусов использовалось 386 образцов различных вредоносных кодов, включая 172 трояна, 51 бэкдор, 67 банковских вредоносных программ, 69 шифраторов и 27 потенциально опасных и рекламных программ.

Вот результаты тестирования

По данной диаграмме можно определить лучший бесплатный антивирус 2017 года так же и лучший платный антивирус, а какой уже ставить себе для зашиты на компьютер или ноутбука, решать Вам.

Если же Ваш выбрал пал на платный антивирус, и Вы остановилась на NOD32, то обизательнно проверять, включена ли функция ESET LiveGrid®, можно так: ESET NOD32 - Дополнительные настройки - Служебные программы - ESET LiveGrid® - Включить систему репутации ESET LiveGrid®.

Злоумышленники всегда надеются на то, что пользователи не успели установить последние обновления, и им удастся использовать уязвимости в программном обеспечении. Прежде всего, это касается операционной системы Windows, поэтому надо проверить и активировать автоматические обновления ОС (Пуск - Панель управления - Центр обновления Windows - Настройка параметров - Выбираем способ загрузки и установки обновлений).

Если Вы не используете службу шифрования, которая предусмотрена в Windows, лучше ее отключить, ведь некоторые модификации шифровальщиков используют эту функцию в своих целях. Для ее отключения надо выполнить такие шаги: Пуск - Панель управления - Администрирование - Службы - Шифрованная файловая система (EFS) и перезагрузить систему.
Но если Вы уже применяли шифрование для защиты каких-либо файлов или папок, то надо убрать галочки в соответствующих чекбоксах (ПКМ - Свойства - Атрибуты - Дополнительно - Шифровать содержимое для защиты данных). Если этого не сделать, то после отключения службы шифрования, Вы потеряете доступ к этой информации. Узнать, какие файлы были зашифрованы, легко - они выделены зеленым цветом.

Ограниченное использование программ

Чтобы повысить уровень безопасности, можно заблокировать запуск программ, которые не соответствуют заданным требованиям. Такие настройки, по умолчанию, установлены для Windows и Program Files.

Настроить локальную групповую политику можно так:
Нажимаем выполнить и вводим команду: gpedit.msc («Пуск — Выполнить (Win+R) — secpol.msc»)

Выбираем:

• «Конфигурация компьютера»
• «Конфигурация Windows»
• «Параметры безопасности»
• «Политики ограниченного использования программ» нажимаем правую кнопку мышки и жмем

После чего, нужно создать правило, которое запрещает запуск программ из каких-либо мест, кроме разрешенных

Заходим в раздел «Дополнительные правила» и нажимаем правую кнопку. В появившемся окне жмем на пункт «Создать правило для пути»

В поле путь ставим звездочку «*», т.е. любой путь и выбираем уровень безопасности: Запрещено.

И так продолжим работать в «Политики ограниченного использования программ» и жмем правой кнопкой мышки на пункт «Применение» и выбираем «Свойства».

Данные настройки можно оставить, как они есть по умолчания или включить применение ко всему без исключений, а так же, можно переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (если у вас на компьютере заведены учетные записи пользователя и администратора).

И в пункте «Назначенные типы файлов» выбираем расширение каких типов файлов будет поставлен запрет на запуск. В этом окне указаны расширения, которые блокируются при попытке запуска.

Лучше добавить еще расширение .js - java script .

Эффективная настройка займет какое-то время, но результат этого стоит.

Запрет на запуск определённых программ мили файлов можете настроить на своё усмотрение, в зависимости от поставленных задача и целей.

После чего правила нужно запустить, и что бы это сделать переходим в «Уровни безопасности» и нажимаем правую кнопку мышки на «Запрещено». В появившемся окне жмем «По умолчанию» и наши правила применены.

Советуем не работать с учетной записи администратора. Это позволит уменьшить урон при случайном заражении (Включить учетную запись администратора - Задать пароль - Лишить текущего пользователя административных прав - Добавить в группу пользователи).
Для работы с правами администратора в Windows есть специальный инструмент - «Контроль учетных записей», который сам запросит пароль для выполнения операций. Проверка настройки: Пуск - Панель управления - Учетные записи пользователей - Изменение параметров контроля учетных записей - По умолчанию - Уведомлять только при попытках внести изменения в компьютер

Контрольные точки восстановления системы

К сожалению, бывают случаи, когда вирусы преодолевают все уровни защиты. Поэтому у Вас должна быть возможность вернуться в прежнее состояние системы. Настроить автоматическое создание контрольных точек можно так: Мой компьютер - ПКМ - Свойства - Защита системы - Параметры защиты.
Обычно, по умолчанию, защита включена только для системного диска, но шифровальщик может запортить содержимое всех разделов. Чтобы восстановить файлы стандартными средствами или программой Shadow Explorer, необходимо включить защиту для всех дисков. Контрольные точки занимают какой-то объем памяти, но они спасут данные в случае заражения.

Июль 6, 2018 12:35 | Bitdefender Россия |

Этот тип вирусов по праву считается самым опасным для личной информации, хранящейся на компьютере. Эти вредоносные программы распространяются в большинстве случаев без участия пользователей и ориентированы не на разрушение файловой системы, а на шифрование файлов владельца компьютера. Кибермошенники обычно обещают выслать ключи дешифровки в обмен на денежный выкуп, но, как показывает практика, надеяться на это нет смысла.

За последние два года безопасность корпоративных и личных компьютеров несколько раз подвергалась огромной опасности из-за резко активизации. За этот период три разных шифровальщика-вымогателя уничтожали данные на компьютерах. Это вирусы Petya, BadRabbit и WannaCry 2.0. Ущерб от их деятельности сложно переоценить: счёт идёт на миллиарды долларов, а число пострадавших компьютеров и компаний до сих пор не установлено.

Помимо обновлений для операционных систем и программ рекомендуется установить антивирус. При желании можно установить бесплатный антивирус. Но как его выбрать?

Лучшим по рейтингам, составленным Av-Test, AV-Comparatives и Роскачеством, антивирусом для дома/бизнеса является Bitdefeder. Лучшими по рейтингам стали не только его платные версии, но бесплатный вариант антивируса. Во время активизации шифровальщиков ни один из пользователей антивируса не пострадал: ни компании, ни физические лица. Как же Bidefender может защитить компьютер от вирусов-шифровальщиков?

Компания разработала специальное бесплатное решение Anti-Ransomware. Оно рассчитано на защиту от вирусов-шифровальщиков, в том числе от WannaCry, NonPetya, BadRabbit и других. Для этого программа сохраняет файлы на устройстве специальным способом, не позволяющим вредоносным-программам их шифровать.

Оптимальной защитой для дома станет антивирус . Программа позволяет создавать безопасные папки для важных файлов. Папки получают усиленную защиту от шифровальщиков, а при попытке атаки на них пользователь получает уведомление об угрозе. Ещё одной эффективной мерой является встроенный советник по безопасности Wi-Fi. Он будет защищать банковские операции, покупки и использование приложений или браузеров. При возникновении угрозы советник не позволит шифровальщику и кибермошеннику получить доступ к устройству.

Также компания активно развивает антивирусы для бизнеса. Наиболее полный функционал представлен в программе . Антивирус позволяет блокировать доступ к приложениям или веб-страницам, использует для защиты firewall, поисковый советник и веб-фильтрацию для защиты от взломов. Настройка работы антивируса осуществляется с помощью облачной консоли. Антивирус в 2017 году был отмечен лабораторией AV-Test как решение, которое потребляем меньше всего ресурсов виртальных машин.

Вирусы шифровальщики - давно известный тип угрозы. Они появились примерно в одно время с смс-банерами, и плотно засели с последними, в топ-рейтинге вирусов-вымогателей.

Модель монетизации вируса-вымогателя проста: он блокирует часть информации или компьютер пользователя целиком, а за возвращение доступа к данным требует отправить смс, электронные деньги или пополнить баланс мобильного номера через терминал.

В случае с вирусом шифрующим файлы, всё очевидно - для расшифровки файлов нужно заплатить определенную сумму. Причем, за последние несколько лет эти вирусы изменили подход к своим жертвам. Если раньше они распространялись по классическим схемам через варезы, порно сайты, подмену выдачи и массовые спам-рассылки, при этом заражая компьютеры рядовых пользователей, то сейчас рассылка писем идет адресно, вручную, с почтовых ящиков на «нормальных» доменах - mail.ru, gmail и т.д. А заражать пытаются юридических лиц , где под шифры попадают базы данных и договора.

Т.е. атаки из количества переросли в качество. На одной из фирм автору довелось столкнуться с шифровальщиком.hardended который пришел в почте с резюме. Заражение произошло сразу же после открытия файла кадровиками, фирма как раз подыскивала персонал и никаких подозрений файл не вызвал. Это был docx с вложенным в него AdobeReader.exe:)

Самое интересное, что никакие эвристические и проактивные сенсоры антивируса Касперского не сработали. Еще день или 2 после заражения, вирус не определялся dr.web-ом и nod32

Так как быть с такими угрозами? Неужели антивирус бесполезен?

Время антивирусов, работающих только по сигнатурам, уходит .

G Data TotalProtection 2015 - лучшая защита от шифровальщиков
со встроенным модулем резервного копирования . Нажимайте и покупайте.

Для всех пострадавших от действий шифровальщика - промокод со скидкой на покупку G DATA - GDTP2015 . Просто введите этот промокод при оформлении заказа.

Вирусы вымогатели в очередной раз доказали несостоятельность антивирусных программ. Смс-баннеры, в свое время беспрепятсвенно «сливались» пользователям в папку temp и просто запускались на весь рабочий стол и перехватывали нажатие всех служебных комбинаций с клавиатуры.

Антивирусник в это время замечательно работал:) Касперский, как и в штатном режиме, выводил свою надпись «Protected by Kaspersky LAB».

Баннер - не хитроумный зловред как руткиты, а простая программа , которая изменяет 2 ключа в реестре и перехватывает ввод с клавиатуры.

Вирусы, которые шифруют файлы, вышли на новый уровень мошенничества. Это снова обычная программа, которая не внедряется в код операционной системы, не подменяет системных файлов, не считывает области оперативной памяти других программ.

Она просто запускается на короткое время, генерирует открытый и закрытый ключи, шифрует файлы и отправляет закрытый ключ злоумышленнику. На компьютере жертвы остается кучка зашифрованных данных и файл с контактами хакеров для дальнейшей оплаты.

Резонно задуматься: «А зачем тогда нужен антивирус, если он способен находить только известные ему вредоносные программы?

Действительно, антивирусная программа необходима - она защитит от всех известных угроз. Однако многие новые виды вредоносного кода ей не по зубам. Чтобы защититься от вирусов шифровальщиков, нужно принимать меры, одного антивируса здесь недостаточно. И скажу сразу: «Если у вас уже зашифрованы файлы, вы попали. Легко их вернуть не получится».

:

Не забывайте про антивирус

Резервное копирование важных информационных систем и данных каждому сервису - свой выделенный сервер.

Резервное копирование важных данных.

:

Что делать с самим вирусом?

Самостоятельные действия с зашифрованными файлами

Опыт общения с техподдержкой антивируса, чего ждать?

Обращение в полицию

Позаботиться о мерах предосторожности в дальнейшем (см предыдущий раздел).

Если ничего не помогло, может стоить заплатить?

Если вы еще не стали жертвой вируса-шифровальщика:

*Наличие антивирусного ПО на компьютере с последними обновлениями.

Скажем прямо: «Антивирусы хреново справляются с новыми видами шифровальщиков, зато отлично борются с известными угрозами». Так что наличие антивируса на рабочей станции необходимо. Если жертвы уже есть, вы хотя бы избежите эпидемии. Какой антивирус выбрать - решать вам.

По опыту - Касперский «ест» больше памяти и процессорного времени, а для ноутбучных жестких дисков с оборотами 5200 - это катастрофа (нередко с задержками чтения сектора в 500 мс..) Нод32- быстрый, но мало что ловит. Можете купить антивирус GDATA - оптимальный вариант.

*Резервное копирование важных информационных систем и данных. Каждому сервису - свой сервер.

По сему, очень важно, вынести все сервисы (1С, налогоплательщик, специфические АРМы) и любой софт от которого зависит жизнь компании, на отдельный сервер, еще лучше - терминальный. А еще лучше каждый сервис разместить на свой сервер (физический или виртуальный - решайте сами).

Не храните базу 1с в общем доступе, в сети. Так делают многие, но это неправильно.

Если работа с 1с организована по сети с общим доступом на чтение/запись для всех сотрудников - выносите 1с на терминальный сервер, пусть пользователи работают с ним через RDP.

Если пользователей мало, а денег на серверную ОС не хватает - в качестве терминального сервера можно использовать обычный Windows XP (при условии снятия ограничений на количество одновременных подключений, т.е. нужно патчить). Хотя, с таким же успехом вы можете установить нелицензионую версию windows server. Благо, Microsoft позволяет пользоваться, а купить и активировать потом:)

Работа пользователей с 1с через RDP, с одной стороны, уменьшит нагрузку на сеть и ускорит работу 1с, с другой, предотвратит заражение баз данных.

Хранить файлы БД в сети с общим доступом - небезопасно, а если других перспектив нет - позаботьтесь о резервном копировании (см. след раздел.)

*Резервное копирование важных данных.

Если у вас еще не делаются бэкапы (резервное копирование) - вы балбес, уж простите. Ну или передавайте привет вашему системному администратору. Бэкапы спасают не только от вирусов, но и от нерадивых сотрудников, хакеров, «посыпавшихся» жестких дисков в конце концов.

Как и что бэкапить - можно прочитать в отдельной статье про. В антивирусе GDATA, например, есть модуль резервного копирования в двух версиях - total protection и endpoint security для организаций (купить GDATA total protection можно ).

Если вы обнаружили зашифрованные файлы у себя на компьютере:

*Что делать с самим вирусом?

Выключайте ваш компьютер и обращайтесь к специалистам компьютерных служб + в поддержку вашего антивируса. Если вам повезет, то тело вируса еще не удалилось и его можно использовать для расшифровки файлов. Если не повезло (как это часто бывает) - вирус после шифрования данных отправляет закрытый ключ злоумышленникам и удаляется все свои следы. Делается это для того, чтобы не было возможности определить каким образом и по какому алгоритму зашифрованы.

Если у вас осталось письмо с зараженным файлом - не удаляйте. Отправьте в антивирусную лабораторию популярных продуктов. И не открывайте его повторно.

*Самостоятельные действия с зашифрованными файлами

Что можно делать:

Обратиться в поддержку антивируса, получить инструкции и, возможно, дешифровщик для вашего вируса.

Написать заявление в полицию.

Поискать в интернете опыт других пользователей, которые уже столкнулись с этой бедой.

Принимать меры по расшифровке файлов, предварительно скопировав их в отдельную папку.

Если у вас Windows 7 Или 8 - можно восстановить предыдущие версии файлов (правой кнопкой на папке с файлами). Опять же, не забудьте их предварительно скопировать

Чего делать нельзя:

Переустанавливать Windows

Удалять зашифрованные файлы, переименовывать их и менять расширение. Имя файла очень важно при расшифровке в будущем

*Опыт общения с техподдержкой антивируса, чего ждать?

Когда один из наших клиентов поймал крипто-вирус.hardended, которого в антивирусных базах еще не было, были отправлены запросы в dr.web и Kaspersky.

В dr.web техподдержка нам понравилась, обратная связь появилась сразу и даже давали советы. Причем после нескольких дней сказали честно, что сделать ничего не смогут и сбросили о том как послать запрос через компетентные органы.

В Касперском, наоборот, сначала ответил бот, потом бот отрапортовал, что мою проблему решит установка антивируса с последними базами (напомню, проблема - это сотни зашифрованных файлов). Через неделю статус моего запроса изменился на «отправлено в антивирусную лабораторию», а когда автор еще через пару дней скромно поинтересовался о судьбе запроса, представители Касперского ответили, что ответ из лаборатории еще не получим, мол, ждем.

Еще через некоторое время пришло сообщение о том, что мой запрос закрыт с предложением оценить качество сервиса (это все при том же ожидании ответа от лаборатории).. «Да пошли вы!» - подумал автор.

NOD32, кстати, начал ловить данный вирус на 3й день после его появления.

Принцип такой - вы сами по себе с вашими зашифрованными файлами. Лаборатории крупных антивирусных брендов помогут вам, только в случае наличия у вас ключа на соответствующий антивирусный продукт и если в крипто-вирусе есть уязвимость. Если же злоумышленники зашифровали файл сразу несколькими алгоритмами и не один раз, вам, скорее всего придется платить.

Выбор антивируса за вами, не стоит им пренебрегать.

*Обращение в полицию

Если вы стали жертвой крипто-вируса, и вам нанесен какой-либо ущерб, даже в виде зашифрованной личной информации - можно обратиться в полицию. Инструкция по заявлению и т.д. есть.

*Если ничего не помогло, может стоить заплатить?

Учитывая относительное бездействие антивирусов по отношению к шифровальщикам, иногда легче заплатить злоумышленникам. За hardended файлы, например, авторы вируса просят в районе 10 тыс. руб.

За прочие угрозы (gpcode и т.д.) ценник может колебаться от 2 тыс руб. Чаще всего такая сумма оказывается ниже тех убытков, которые может нанести отсутствие данных и ниже той суммы, которую у вас могут запросить умельцы за расшифровку файлов вручную.

Резюмируя - лучшая защита от вирусов-шифровальщиков, это резервное копирование важных данных с серверов и рабочих станций пользователей.

Как поступать - решать вам. Удачи.

Пользователи прочитавшие эту запись обычно читают:

Вконтакте

Под шифровальщиками (криптолокерами) подразумевается семейство , которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).

Обычно вирус шифрует популярные типы пользовательских файлов : документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги - создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.

В большинстве случаев вирус распространяется через электронную почту , маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы , а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).

Современные шифровальщики

Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, - не новая проблема в информационной безопасности . Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы. Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью , а ключ шифрования шифруется асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.

Компьютер заражен вирусом. Что делать?

Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.

После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.

Главный вопрос - как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы , размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.

Попробуйте воспользоваться утилитами восстановления удаленных файлов . Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.

Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.

Чего мы настоятельно не рекомендуем делать - идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.

Как защититься от вируса-шифровальщика. Превентивные меры

Предотвратить опасные последствия легче, чем их исправить:

• Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
• Сохраняйте резервные копии ваших данных.

Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.

Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!

• Ограничьте программную среду в домене.

Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно , как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.

• Будьте бдительны.

Внимательность - один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.

Александр Власов , старший инженер отдела внедрения систем защиты информации компании «СКБ Контур»

Вечером 12 мая мир столкнулся с масштабной атакой вируса-вымогателя WannaCry (WannaCryptor), который выполняет шифрование всей находящейся информации на ПК и ноутбуках с операционной системой Windows.

• Заражению подверглись уже более 200 000 компьютеров!

Основные цели атаки были направлены на корпоративный сектор, за ним потянуло уже и телекоммуникационные компании Испании, Португалии, Китая и Англии.

• Самый крупный удар был нанесен по российским пользователям и компаниям. В том числе «Мегафон», РЖД и, по неподтвержденной информации, Следственный Комитет и МВД. Сбербанк и Минздрав то же сообщили об атаках на свои системы.

За расшифровку данных злоумышленники требуют выкуп от 300 до 600 долларов в биткоинах (около 17 000-34000 рублей).

Интерактивная карта заражения (КЛИКНИ ПО КАРТЕ)

Окно с требованием выкупа

Шифрует файлы следующих расширений

Несмотря на нацеленность вируса атаки корпоративного сектора, обычный пользователь так же не застрахован от проникновения WannaCry и возможной потери доступа к файлам.

• Инструкция по защите компьютера и данных в нем от заражения:

1. Выполните установку приложения Kaspersky System Watcher , которое оснащено встроенной функцией отката изменений, возникших от действий шифровальщика, которому все-таки удалось обойти средства защиты.

2. Пользователям антивирусника от «Лаборатории Касперского» рекомендуется проверить, чтоб была включен функция «Мониторинг системы».

3. Пользователям антивирусника от ESET NOD32 для Windows 10, внедрена функция проверки новых доступных обновлений ОС. В том случае если вы позаботились заранее и она была у вас включена, то все необходимые новые обновления Windows будут установлены и ваша система будет полностью защищена от данного вируса WannaCryptor и других похожих атак.

4. Так же у пользователей продуктов ESET NOD32, имеется такая функция в программе, как детектирования еще неизвестных угроз. Данный метод основан на использование поведенческих, эвристических технологии.

Если вирус ведет себя как вирус - скорее всего, это вирус.

Технология облачной системы ESET LiveGrid с 12 мая отражал очень успешно все нападения атак данного вируса и всё это происходило еще до поступления обновлении сигнатурных баз.

5. Технологии ESET предоставляют защищенность в том числе и устройствам с прошлыми системами Windows XP, Windows 8 и Windows Server 2003 ( рекомендуем отказаться от использования данных устаревших систем ). Из за возникшей весьма высокого уровня угрозы, для данных ОС, Microsoft приняла решение выпустить обновления. Скачать их.

6. Для снижения до минимума угрозы причинения вреда вашему ПК, необходимо в срочном порядке выполнить обновление своей версии Windows 10: Пуск - Параметры - Обновление и безопасность - Проверка наличия обновлений (в других случаях: Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить).

7. Выполните установку официального патча (MS17-010) от Microsoft, который исправляет ошибку сервера SMB, через которую может проникнуть вирус. Данный сервер задействован в этой атаке.

8. Проверьте, чтобы на вашем компьютере были запущены и находились в рабочем состояний все имеющиеся инструменты безопасности.

9. Выполните проверку на вирусы всей системы. При обнажении вредоносной атаки с названием MEM:Trojan.Win64.EquationDrug.gen , перезагрузите систему.

И еще раз вам рекомендую проверить чтобы были установлены патчи MS17-010.

В настоящее время специалисты «Лаборатории Касперского», «ESET NOD32» и других антивирусных продуктов, ведут активную работу над написанием программы для дешифрования файлов, которое будет в помощь пользователям зараженных ПК для восстановления доступа к файлам.

Пользователи Windows 10, у которых задействована в системе Windows Defender защищены от вируса, потому что в этом случае все уведомления сообщаются автоматически.

Ну а у тех, кто установил и пользуется Windows Update , защита была обновлена в марте 2017 года.

Для всех пользователей сторонних антивирусных продуктов рекомендуется выполнить загрузку последних обновлении.

Как видно, под прицел попадают организации, текст письма и тон в котором оно выдержано побуждают сотрудника открыть вложение. Даже не зная такого контрагента большая часть офисных работников все-таки попытается открыть письмо, чтобы удостовериться, что они не пропустят ничего действительно важного. Кроме того, мы несколько раз сталкивались, что в качестве отправителя фигурировал реальный контрагент организации. Совпадение? Возможно, но легче от этого не становится.

Опытный пользователь, конечно, заметит ссылки в тексте письма вместо объектов, но будет ли вдаваться в такие подробности обычный менеджер, которому в день приходят пачки аналогичных по содержанию писем? Что там? Какой-то договор, сейчас глянем... Примерно так оно и происходит. Можно долго говорить о повышении компьютерной грамотности и прочих правильных вещах, но практика говорит об ином, если письмо не выбивается из привычного ряда, то никто обращать внимание на детали не будет, скачают и откроют.

А дальше начинается самое интересное. Современный уровень развития коммуникаций позволяет авторам шифровальщиков активно использовать уязвимость нулевого дня, т.е. распространять вредоносное ПО сигнатуры которого отсутствуют в базах антивирусного ПО. Да, вирусные лаборатории реагируют на возникновение угроз достаточно быстро, но даже несколько часов форы способны привести к множественным случаям заражения.

Дополнительная сложность заключается в том, что многие из таких троянов с формальной точки зрения не являются вредоносным ПО и могут использовать вполне легальные компоненты, например, утилиту GnuPG. Поэтому надеяться на то, что антивирус вовремя распознает "заразу" не приходится, он может банально ее не знать. А, следовательно, на первый план выходят иные механизмы, такие как поведенческий анализ.

Как мы тестировали

С учетом всего вышесказанного нам интересно было посмотреть, как антивирусы различных производителей справляются с неизвестными шифровальщиками. Обязательным условием такого теста является отсутствие нужных сигнатур в антивирусной базе, но при этом все компоненты антивируса должны работать в штатном режиме, чтобы были задействованы все механизмы защиты. Наиболее простым способом для достижения этой цели в условиях нашей тестовой лаборатории стал откат виртуальных машин с тестируемыми антивирусами на снапшоты примерно двух-трех месячной давности.

В такой системе отключался интернет и проводилось испытание, затем мы обновляли антивирус и повторяли тест. Во всех случаях в качестве тестовой системы использовалась Windows 8.1 с настройками по умолчанию. Антивирусные пакеты также не настраивались дополнительно, так как наша цель - выяснить уровень защиты "из коробки", т.е. тот, который с большой долей вероятности окажется у рядового пользователя.

Оценки выставляются по простой шкале: тест пройден - если все экземпляры вредоносного ПО успешно заблокированы и тест не пройден если произошло заражение.

В качестве экземпляров вредоносного ПО мы использовали три образца свежего вредоносного ПО полученного нами из реальных "писем счастья".

Добрый день уважаемые читатели и гости блога, как вы помните в мае 2017 года, началась масштабная волна заражения компьютеров с операционной системой Windows , новым вирусом шифровальщиком, по имени WannaCry, в результате чего он смог заразить и зашифровать данные, более чем на 500 000 компьютеров, вы только вдумайтесь в эту цифру. Самое страшное, что данная разновидность вирусов, практически не отлавливается современными антивирусными решениями, что делает его еще более угрожающим, ниже я вам расскажу метод, как обезопасить свои данные от его влияния и как защититься от шифровальщиков за минуту, думаю вам это будет интересно.

Что такое вирус шифратор

Вирус шифровальщик - это разновидность троянской программы , в задачи которой входит заражение рабочей станции пользователя, выявления на нем файлов необходимого формата (например, фото, аудиозаписи, видео файлы) их последующее шифрование со сменой типа файла, в результате чего пользователь их больше не сможет открыть, без специальной программы дешифратора. Выглядит это вот так.

Форматы зашифрованных файлов

Самыми распространенными форматами файлов после шифрования являются:

• no_more_ransom
• vault

Последствия вируса шифровальщика

Опишу самый распространенный случай в котором задействован вирус шифратор. Представим себе обычного пользователя в любой абстрактной организации, в 90 процентах случаев у пользователя есть интернет за его рабочим местом, так как с помощью него он приносит прибыль компании, он совершает серфинг в интернет пространстве. Человек не робот и может отвлекаться от работы, просматривая интересные ему сайты, или сайты которые ему посоветовал его друг. В результате этой деятельности, он может заразить свой компьютер шифровальщиком файлов, сам того не подозревая и узнать об этом, тогда, когда уже будет поздно. вирус сделал свое дело.

Вирус в момент своей работы старается обработать все файлы, к которым у него есть доступ, тут и начинается, что важные документы в папке отдела, к которым у пользователя есть доступ, вдруг превращаются в цифровой мусор, локальные файлы и многое другое. Понятно, что должны быть резервные копии файловых шар, но как быть с локальными файлами , которые могут составлять всю работу человека, в результате компания теряет деньги, за простой работы, а системный администратор выходит из зоны комфорта и тратит свое время на расшифровку файлов.

То же самое может быть и у рядового человека, но последствия тут локальные и касаются лично его и его семьи, очень печально видеть случаи, когда вирус зашифровал все файлы, включая семейных архив фотографий и у людей не осталось резервной копии, ну не принято у обычных пользователей ее делать.

С облачными сервиса все не так просто, если вы все храните там и не используете толстого клиента у себя в операционной системе Windows, одно дело, там в 99% вам ничего не грозит, но вот если вы используете, например, "Яндекс диск" или "mail Облако " синхронизируя файлы со своего компьютера на него, то заразившись и получив, что все файлы зашифрованы, программа их отправит прямиком облако и вы так же все потеряете.

В итоге вы видите картинку на подобие этой, где вам сообщается, что все файлы зашифрованы и вам необходимо отправить деньги, сейчас это делается в биткоинах, чтобы не вычислить злоумышленников. После оплаты, вам якобы должны прислать, дешифратор и вы все восстановите.

Никогда не отправляйте деньги злоумышленникам

Запомните, что ни один современный антивирус, на сегодняшний момент не может обеспечить windows защиту от шифровальщиков, по одной простой причине, что данный троян ничего подозрительного с его точки зрения не делает, он по сути ведет себя как пользователь, он читает файлы, записывает, в отличии от вирусов он не пытается изменить системные файлы или добавить ключи реестра, поэтому его обнаружение такое сложное, нет грани отличающий его от пользователя

Источники троянов шифровальщиков

Давайте попытаемся выделить основные источники проникновения шифратора к вам на компьютер.

1. Электронная почта > очень часто людям приходят непонятные или фейковые письма с ссылками или зараженными вложениями, кликнув по которым, жертва начинает устраивать себе бессонную ночь. Как защитить электронную почту я вам рассказывал, советую почитать.
2. Через программное обеспечение - вы скачали программу из неизвестного источника или поддельного сайта, в ней зашит вирус шифратор, и при установке ПО вы его себе заносите в операционную систему.
3. Через флешки - люди до сих пор очень часто ходят друг к другу и переносят через флешки кучу вирусов, советую вам почитать "Защита флешки от вирусов "
4. Через ip камеры и сетевые устройства имеющие доступ в интернет - очень часто из-за кривых настроек на роутере или ip камере подключенной в локальную сеть, хакеры заражают компьютеры в той же сети.

Как защитить от вируса шифровальщика ваш ПК

Защищает от шифровальщиков грамотное использование компьютера, а именно:

• Не открывайте не известную вам почту и не переходите по непонятным ссылкам, каким бы образом они к вам не попали, будь то почта или любой из мессенджеров
• Максимально быстро устанавливайте обновления операционной системы Windows или Linux, они выходят не так часто, примерно раз в месяц. Если говорить про Microsoft, то это второй вторник, каждого месяца, но в случае с шифровальщиками файлов, обновления могут быть и нештатные.
• Не подключайте к своему компьютеру неизвестные флешки, просите друзей скинуть лучше ссылку на облако.
• Убедитесь, что если вашему компьютеру не нужно быть доступным в локальной сети для других компьютеров, то выключите доступ на него.
• Ограничьте права доступа на файлы и папки
• Установка антивирусного решения
• Не устанавливайте непонятные программы, взломанные непонятно кем

С первыми тремя пунктами все понятно, а вот на оставшихся двух я остановлюсь подробнее.

Отключаем сетевой доступ к вашему компьютеру

Когда меня спрашивают как организовывается в windows защита от шифровальщиков, то первым делом я рекомендую людям отключить "службу доступа к файлам и принтерам сетей Microsoft", которая позволяет другим компьютерам получить доступ к ресурсам данного компьютера с помощью сетей Microsoft. Это так же актуально от любопытных системных администраторов , работающих у вашего провайдера.

Отключить данную службу и защититься от шифровальщиков в локальной или провайдерской сети, можно следующим образом. Нажимаем сочетание клавиш WIN+R и в открывшемся окне выполнить, вводим команду ncpa.cpl . Я это покажу на своем тестовом компьютере с операционной системой Windows 10 Creators Update .

Выбираем нужный сетевой интерфейс и кликаем по нему правой кнопкой мыши, из контекстного меню выбираем пункт "Свойства"

Находим пункт "Общий доступ к файлам и принтерам для сетей Microsoft" и снимаем с него галку, после чего сохраняем, все это поможет защитить компьютер от вируса шифровальщика в локальной сети, ваша рабочая станция просто не будет доступна.

Ограничение прав доступа

Защита от вируса шифровальщика в windows может быть реализована вот таким интересным способом, я расскажу как я сделал для себя. И так основная проблема в борьбе с шифровальщиками, заключается в том, что антивирусы, просто не могут в режиме реального времени с ними бороться, ну не может он на сегодняшний момент защитить вас, поэтому будем хитрее. Если у вирус шифратора нет прав на запись, то он и не сможет ничего сделать с вашими данными. Приведу пример, у меня есть папка фотографии, она хранится локально на компьютере, плюс есть две резервные копии на разных жестких дисках . На своем локальном компьютере я сделал на нее права, только на чтение, для той учетной записи под которой сижу за компьютером. Если бы вирус попал, то прав у него просто не хватило бы, все как видите просто.

Как все это реализовать, чтобы защититься от шифровальщиков файлов и все уберечь, делаем следующее.

• Выбираем нужные вам папки. Старайтесь использовать именно папки, с ними проще назначать права. А в идеале создайте папку, под названием только для чтения, и уже в нее помещайте все нужные вам файлы и папки. Чем хорошо, назначив на верхней папке права, они автоматически будут применены и для других, находящихся в ней папок. Как только скопируете все нужные файлы и папки в нее, переходите к следующему пункту
• Щелкаем по папке правым кликом из из меню выбираем "Свойства"

• Переходим на вкладку "Безопасность" и нажимаем кнопку "Изменить"

• Пробуем удалить группы доступа, если получаете окно с предупреждением, что "Невозможно удалить группу, так как этот объект наследует разрешения от своего родителя", то закрываем его.

• Нажимаем кнопку "Дополнительно". В открывшемся пункте, нажмите "отключить наследования"

• На вопрос "Что вы хотите сделать с текущим унаследованными разрешениями" выберите "Удалить все унаследованные разрешения из этого объекта"

• В итоге в поле "Разрешения" все будут удалены.

• Сохраняем изменения. Обратите внимание, что теперь только владелец папки может изменять разрешения.

• Теперь на вкладке "Безопасность" нажмите "Изменить"

• Далее нажимаем "Добавить - Дополнительно"

• Нам необходимо добавить группу "Все", для этого нажмите "Поиск" и выберите нужную группу.

• Для защиты Windows от шифровальщика, у вас для группы "Все" должны быть выставлены права, как на картинке.

• Все теперь никакой вирус шифратор вам для ваших файлов в данной директории не грозит.

Я надеюсь, что Microsoft и другие антивирусные решения смогут улучшить свои продукты и защитят компьютеры от шифровальщиков, до их вредоносной работы, но пока этого не произошло, соблюдайте те правила, что я вам описал и делайте всегда резервные копии важных данных.

Целью данного тестирования, проведенного AVLab в октябре 2016 года, была проверка защиты реального времени антивирусов против троянов-шифровальщиков для домашних пользователей и организаций малого и среднего бизнеса. Результаты, представленные в отчете, отражают реальную эффективность антивирусного ПО при использовании всех доступных компонентов защиты, включая эвристические и поведенческие методы при противодействии неизвестным шифровальщикам.

Хотя некоторые протестированные продукты позволяют пользователям создавать отдельную папку, любые изменения файлов в которой непрерывно отслеживаются антивирусом, основная цель испытания заключалась в проверке реакции на современные неизвестные виды троянов-вымогателей. Данный вид вредоносных программ приносит значительный ущерб, часто приводит к финансовым потерям, что в свою очередь негативно сказывается на продуктивности бизнеса.

Лучшая защита от шифровальщиков

Ниже представлены продукты безопасности в категориях домашние и корпоративные продукты, которые показали лучшие результаты защиты от шифровальщиков в данном тестировании.

• Arcabit Internet Security
• Foltyn SecurityShield

• Arcabit Endpoint Security
• Comodo ONE Enterprise
• Emsisoft Anti-Malware for endpoints
• F-Secure Protection Service for Business
• G DATA Client Security Business
• Seqrite Endpoint Security Enterprise Suite

• Avast for Business Endpoint Security
• AVAST for Business Basic Antivirus
• AVG AntiVirus Business Edition
• Bitdefender GravityZone
• Panda Adaptive Defense

• Avira Antivirus for Endpoint

Результаты тестирования

Антивирусы и продукты безопасности для дома

• * VoodooShield Pro тестировался в двух режимах: AutoPilot и ApplicationWhitelist (SMART, ALWAYS ON). Были получены идентичные результаты в обоих случаях.
• * Comodo Internet Security Pro 10 BETA проигнорировал настройки модуля автоматической песочницы, который является основной защиты от неизвестных угроз. Во время тестирования не была доступна стабильная версия, поэтому нельзя сравнивать результаты BETA и будущей стабильной версии Comodo Internet Security Pro 10.

Продукты для малого и среднего бизнеса

Нажмите на изображение, чтобы увеличить

• 0/0: файлы были зашифрованы, защита была неэффективной.
• 0/1: файл был запущен и явно заблокирован проактивной защитой.
• 1: файл был запущен и заблокирован сканером по доступу.

Методология

Для того, чтобы соблюсти принципы идентичности испытаний, AVLab решила проводить тест со стандартными настройками продуктов в одинаковой среде тестирования. В тестировании принимали участие известные антивирусные продукты для обычных потребителей и два независимых приложения: Foltyn SecurityShield и Voodoo Shield Pro, которые по своему принципу действия отличается от традиционных антивирусов. Каждое приложение было протестировано в одинаковых условиях и против идентичной коллекции угроз.

Тестовая коллекция включала 28 файлов шифровальщиков, включая Cerber, CryptXXX, DetoxCrypto, Hitler Ransomware, HolyCrypt, Locky, Numecod, Petya, Jigsaw, Vipasana, Stampado и другие зловреды. Тестовые образцы были собраны в сотрудничестве с независимыми исследователями.

AVLab получила образцы без каких-либо консультаций с разработчиками антивирусов. Таким образом, подозрения, что тестируемое приложение обнаруживает угрозу, предложенную вендором, считаются необоснованными.

Единственный справедливый метод сравнительного тестирования заключается в проверке всех продуктов в одинаковых условиях и на одном и том же основании - в данном случае настройки по умолчанию. На рынке представлены антивирусы, которые имеют специальные механизмы защиты для папок и файлов против шифрования, но не во всех из них эти компоненты включены по умолчанию. Не исключены подозрения, что данные механизмы могут в целом влиять на общую производительность антивируса, что приведет к пониженным результатам в тестах производительность.

Чтобы проверить эффективность защиты самых популярных антивирусов для организаций и домашних пользователей, AVLab подготовила образ Windows 10 Professional x64 с последними обновлениями. Таким образом, все продукты были протестированы в идентичной тестовой среде с доступом к Интернету.

Алгоритм испытания:

1. Специалисты лаборатории восстанавливали образ операционной системы для каждого протестированного приложения и таким образом воспроизводили идентичную рабочую среду для каждого приложения.
2. В случае необходимости вредоносная программа получала права администратора, если появлялся соответствующий запрос.
3. Протестированные антивирусы должны были предотвратить шифрование подготовленной коллекции файлов на рабочем столе.

Толкование результатов

Как уже отмечалось цель тестирования заключалась в выявлении самого эффективного антивируса для защиты против троянов-шифровальщиков. Чтобы тест проводился в равных условиях, все приложения использовали стандартные настройки по умолчанию, но некоторые разработчики решили отключить защиту от троянов-вымогателей в базовой конфигурации.

Долгое время специалисты лаборатории рассматривали вариант добавления еще одной категории оценки - восстановление файла после атаки шифровальщиками. После тщательного анализа выяснилось, что такой подход был бы несправедливым по отношению к некоторым продуктам. Arcabit Internet Security получил бы подавляющее преимущество, а истинная картина защитных механизмов других продуктов была бы искажена из-за стандартной конфигурации. Благодаря SafeStorage, пользователи Arcabit Internet Security Suite могут получить полные возможности без дополнительной конфигурации.

Таким образом, лаборатория не принимала во внимание специализированные инструменты для расшифровки файлов, потому что их эффективность зависит от слишком большого количества факторов. Данный тип инструментов позволяет восстанавливать файлы в случае успешной эксплуатации некорректной реализации функций шифрования или использования закрытого ключа, полученного при тесном сотрудничестве правоохранительных органов и специалистов по компьютерной безопасности. Данный тест сложно подготовить, а его проведение займет длительное время, что несоразмерно с динамикой развития троянов-шифровальщиков.

С полным отчетом вы можете ознакомиться по (английский, pdf).