Denne gangen sjekket vi hvordan de håndterer løsepenge-trojanere. komplekse midler antivirusbeskyttelse. For dette ble et utvalg løsepengevare laget og til og med skrevet eget program som imiterer handlingene til en ukjent krypteringstrojaner. Signaturen er definitivt ikke i databasene til noen deltakere i dagens testing. La oss se hva de er i stand til!
ADVARSEL
Denne artikkelen ble skrevet for forskningsformål. All informasjon i den er kun til informasjonsformål. Alle prøver er hentet fra åpne kilder og sendt til virusanalytikere.
Gamle rettsmidler for nye trusler
Klassiske antivirus er til liten hjelp for å beskytte mot trojanere som krypterer filer og krever løsepenger for å dekryptere dem. Teknisk sett består slik løsepengevare helt eller nesten utelukkende av legitime komponenter, som hver ikke utfører noen ondsinnede handlinger på egen hånd. Malware kombinerer dem ganske enkelt til en kjede, noe som fører til et katastrofalt resultat - brukeren blir fratatt muligheten til å jobbe med filene sine til han dekrypterer dem.
I det siste har det vært mange spesialiserte verktøy for å beskytte mot løsepenge-trojanere. De prøver enten å utføre en ikke-signaturanalyse (det vil si identifisere nye versjoner av løsepengevare ved deres oppførsel, filomdømme og andre indirekte tegn), eller ganske enkelt forby programmer fra å gjøre endringer som er nødvendige for handlingene til løsepengevare.
I har vi sett at slike verktøy er praktisk talt ubrukelige. Selv de strengeste restriksjonene spesifisert i dem (der det ikke lenger er mulig å jobbe normalt) gir ikke en pålitelig barriere mot løsepenge-trojanere. Disse programmene forhindrer noen infeksjoner, men dette skaper bare en falsk følelse av sikkerhet for brukeren. Den blir mer hensynsløs og blir offer for løsepengevare enda raskere.
Hovedproblemet i kampen mot klassiske ransomware-trojanere er at alle handlingene deres utføres kun med brukerens filer og ikke påvirker systemkomponenter... Brukeren kan ikke forhindres i å endre og slette filene sine. Representanter for løsepengevare av høy kvalitet har svært få eller ingen åpenbare særtrekk i oppførselen deres. Nettverkstilkobling nå kjører den de fleste programmer (i det minste for å se etter oppdateringer), og krypteringsfunksjoner er innebygd i selv tekstredigerere.
Det viser seg at for midlene til forebyggende beskyttelse er det ingen tydelige tegn som hjelper til med å skille en annen løsepenge-trojaner fra et legitimt program. Hvis signaturen til trojaneren ikke er i databasene, er sjansen for at antivirusprogrammet oppdager den svært liten. Den heuristiske modulen reagerer kun på grove modifikasjoner velkjent løsepengevare, og atferdsanalysatoren oppdager vanligvis ingen mistenkelig aktivitet i det hele tatt.
Sikkerhetskopier til sikkerhetskopier er annerledes!
I dag blir tusenvis av datamaskiner infisert av løsepengevare hver dag og, som regel, av brukerne selv. Antivirusselskaper aksepterer forespørsler om fildekryptering (fra sine klienter – gratis), men analytikerne deres er heller ikke allmektige. Noen ganger er det mulig å samle inn for lite data for vellykket dekryptering, eller selve trojanerens algoritme inneholder feil som gjør det umulig å gjenopprette filer i sin opprinnelige form. Nå behandles søknader om dekryptering fra to dager til seks måneder, og i løpet av denne tiden mister mange av dem rett og slett sin relevans. Det gjenstår å lete ekstra midler beskyttelse uten å stole på en antivirusskanner.
Lang tid universell beskyttelse fra noen virusangrep det var sikkerhetskopier. I tilfelle infeksjon med ny skadelig programvare, var det mulig å gjenopprette alt fra sikkerhetskopien ved å overskrive de krypterte filene med originalversjonene og kansellere eventuelle uønskede endringer. Moderne ransomware-trojanere har imidlertid også lært å identifisere og ødelegge sikkerhetskopier. Hvis de er konfigurert automatisk opprettelse, så er sikkerhetskopieringslagringen tilkoblet og tilgjengelig for opptak. En avansert trojaner skanner alle lokale, eksterne og nettverksstasjoner, definerer katalogen med sikkerhetskopier og krypterer dem eller sletter dem, og overskriver den ledige plassen.
Å lage sikkerhetskopier manuelt er for kjedelig og upålitelig. Det er vanskelig å utføre en slik operasjon hver dag, og for mer langsiktig mye faktisk data vil samle seg, og det vil ikke være noe sted å gjenopprette det. Hvordan være?
I dag tilbyr de fleste utviklere, i tillegg til klassiske antivirus, komplekse løsninger for sikkerhet. Nå inneholder de i tillegg til brannmuren, IDS og andre kjente komponenter en ny – sikker backuplagring. I motsetning til en vanlig katalog med sikkerhetskopier, er det bare antiviruset selv som har tilgang til det og styres av driveren. Ekstern kontroll katalogen er fullstendig deaktivert - ikke engang en administrator kan åpne eller slette den via filbehandler... La oss se hvor god denne tilnærmingen er.
Testteknikk
For våre eksperimenter laget vi kloner av en virtuell maskin med rene vinduer 10 og de siste settene fikser. Hver av dem hadde sitt eget antivirus installert. Umiddelbart etter oppdatering av databasene sjekket vi antivirusresponsen til testsettet og simulatoren vår. Testsettet inneholder 15 prøver. Av disse var 14 ulike modifikasjoner av kjente løsepenge-trojanere, og den femtende var en nedlastertrojaner som lastet ned en annen løsepengevare fra et eksternt nettsted.
Alle prøvene hadde en .tst-utvidelse uavhengig av det faktiske filformatet. Et program spesielt skrevet for disse testene med et ukomplisert navn EncryptFiles etterlignet den typiske oppførselen til en ransomware-trojaner. Når den ble lansert med standardparametere, krypterte den umiddelbart innholdet i filene fra "Mine dokumenter"-katalogen uten spørsmål. For klarhetens skyld lagret vi ekkomeldinger i programmet og plasserte dem i dokumentkatalogen nåværende bruker par tekstfiler i OEM-866-kodingen for å umiddelbart vise innholdet direkte i konsollen. Den ene filen inneholdt sitater fra Strugatskys verk (ren uformatert tekst), og den andre inneholdt linseparametrene i form av en tabell (formatert tekst).
Etter installasjon og oppdatering av hvert antivirus, ble prøvene for løsepenger kopiert til nedlastingskatalogen fra en nettverksressurs som var montert i skrivebeskyttet modus. Deretter ble de kopierte filene skannet i tillegg av antiviruset (tvungen skanning på forespørsel) i standardinnstillingene. Prøvene som var igjen etter kontrollen ble tildelt deres egentlige utvidelse, hvoretter de ble lansert. Hvis systemet ikke var infisert, ble antivirusresponsen til simulatoren sjekket. Hvis filene ble kryptert, prøvde vi å gjenopprette de opprinnelige versjonene ved hjelp av antivirusverktøy og loggførte resultatet.
Kaspersky Total Security
I en av de virtuelle testmaskinene installerte vi Kaspersky Total Sikkerhet, som lovet "beskyttelse mot løsepengevare, forhindrer skadelig programvare i å ødelegge filer." KTS gjenkjente nesten alle trusler allerede når de prøvde å kopiere løsepengevareprøver fra en nettverksmappe.
Bare én av femten fil kom inn i nedlastingskatalogen - nd75150946.tst - dette er akkurat Trojan.Downloader, og det har vært kjent i lang tid. Med ham ytterligere bekreftelse på forespørsel fant KTS igjen filen trygg. Førtifem antivirusskannere VirusTotal var uenig med ham.
Vi åpnet denne prøven med en Hex-editor for å bestemme dens sanne utvidelse. Den kjente overskriften 50 4B 03 04 og navnet på en annen fil inni - åpenbart er dette et ZIP-arkiv. Inne i arkivet var mistenkelig fil: ikonet samsvarer PDF-dokument og utvidelsen var .scr - skjermsparer, det vil si at det er kjørbar kode.
Når du prøvde å kjøre en fil med filtypen .scr fra arkivet, blokkerte KTS den automatisk utpakkede kopien i brukerens midlertidige katalog. Basert på resultatene av skyanalyse gjennom KSN-nettverket, bestemte han denne filen som et ukjent skadelig objekt og tilbød seg å fjerne det med en omstart. V i dette tilfellet dette var en overdreven forholdsregel, siden trojaneren ikke fikk kontroll og kunne fjernes på noen måte, akkurat som en vanlig fil.
Det er bemerkelsesverdig at Kaspersky Total sikkerhet lærer ikke av sine feil. Da arkivet ble skannet igjen, ble det igjen gjenkjent som rent, selv om den utpakkede filen fra det nettopp hadde utløst en trigger ifølge resultatene av analysen i KSN.
I begynnelsen av neste teststadium sjekket vi den opprinnelige tilstanden katalogen "Mine dokumenter" og dumpet innholdet i et par tekstfiler fra den til konsollen.
Deretter åpnet vi "Sikkerhetskopiering og gjenoppretting"-modulen og sikkerhetskopierte disse dokumentene til Sikkerhetskopieringsmappen rett på systempartisjon... I en reell situasjon er det verdt å velge et annet sted (f.eks. ekstern stasjon), men det spiller ingen rolle for testen vår. Tilgang til denne mappen styres uansett ved hjelp av KTS, og gjennom standard driver filsystemet, kan ikke trojanere samhandle med det.
På vanlig måte selv administratoren kan bare se egenskapene til denne mappen. Når du prøver å angi det, starter KTS backup manager automatisk og ber om et passord hvis det ble satt tidligere.
Selve er laget av Kaspersky veldig beskrivende. Du kan velge standardkataloger, spesifisere dine egne eller ekskludere separate filer... Antall filer av hver type vises umiddelbart i vinduet til venstre, og deres størrelse - i egenskapene til høyre.
I tillegg til å skrive sikkerhetskopier til lokale og flyttbare stasjoner KTS støtter å sende dem til Dropbox. Å bruke skylagring er spesielt praktisk hvis skadelig programvare hindrer datamaskinen i å starte og koble til eksterne medier.
Jeg ignorerte simulatoren vår KTS. Hun krypterte stille filene, og gjorde innholdet deres til vrøvl. Nektelse av tilgang til underkatalogene «Mine videoer», «Mine bilder» og «Min musikk» er en feil i selve programmet, som ikke på noen måte påvirker dets evne til å kryptere filer i % USERPROFILE% Documents.
Hvis dekrypteringsfunksjonen i programmet vårt utføres ganske enkelt når den startes med / dekrypteringsnøkkelen, starter den ikke alltid i trojanere selv etter at løsepengekravene er oppfylt. Den eneste er nok raskt alternativ gjenopprette krypterte filer, i dette tilfellet vil de bli overskrevet fra en tidligere opprettet sikkerhetskopi. Med bare noen få klikk gjenopprettet vi selektivt en av de krypterte filene til den opprinnelige plasseringen. På samme måte kan du gjenopprette en eller flere hele kataloger.
Dr.Web Security Space
I likhet med KTS oppdaget Dr.Web SS 14 av 15 prøver allerede da han prøvde å kopiere dem til "Nedlastinger"-katalogen.
Men i motsetning til KTS, oppdaget den fortsatt Trojan.Downloader i den gjenværende prøven etter å ha endret utvidelsen til ZIP og kjørt en tvungen skanning.
De fleste av Dr.Web SS-innstillingene er låst som standard. For å aktivere den må du først klikke på låseikonet og angi passordet, hvis det er angitt.
Sikkerhetskopier opprettes i Dr.Web SS ved å bruke verktøyet Data Loss Protection. Innstillingene er minimale. Du kan velge standard brukerkataloger for sikkerhetskopiering eller spesifisere dine egne, angi en av de valgte begrensningene for antall kopier, spesifisere plassering av sikkerhetskopier og sette opp en tidsplan for sikkerhetskopiering. Opplasting til skylagring støttes ikke av Dr.Web SS, så du må begrense deg til lokale disker.
Beskyttelsen av katalogen med sikkerhetskopier i Dr.Web SS er mer aggressiv enn KTS. Administratoren kan ikke engang se egenskapene gjennom utforskeren.
Vi tok sikkerhetskopi av dokumentene og gikk videre til andre del av testen.
Dr.Web SS-imitasjonsprogrammet gjenkjente ikke og forstyrret ikke driften på noen måte. På et brøkdels sekund ble alle filene kryptert.
Ved å kjøre Data Loss Protection igjen, gjenopprettet vi de originale filene. Imidlertid ble de ikke bevart i det hele tatt der det var forventet.
Når du spesifiserer målmappe"Mine dokumenter" en underkatalog med dagens dato og tid som navn. De lagrede filene fra sikkerhetskopien er allerede pakket ut i den, og med gjenoppretting av alle relative stier. Det viser seg å være ekstremt upraktisk en lang vei som lett kan overskride den vanlige grensen på 255 tegn.
Norton Security Premium
Når vi husket Norton Ghost, som ble standarden for sikkerhetskopiering på nittitallet, var det lett å forutsi utseendet til slik funksjonalitet i Symantec antivirus. Overraskende nok tok det to tiår før denne åpenbare løsningen ble etterspurt. Det ville ikke være noen lykke, men ulykke hjalp.
Mens han forsøkte å kopiere prøvekatalogen for løsepenger, identifiserte og satte NSP 12 av de 15 truslene i karantene.
Alle de tre gjenværende filene gjenkjennes som skadelige når de analyseres av VirusTotal, inkludert to av dem av Symantec antivirus. Det er bare det at standardinnstillingene er laget slik at NSP ikke sjekker noen filer ved kopiering. Utfører en tvungen skanning ... og NSP oppdager ytterligere to trojanere i samme katalog.
Som tidligere antivirus, lar NSP nedlasteren Trojan være i det omdøpte ZIP-arkiv... Når du prøver å kjøre .scr-filen fra arkivet, blokkerer NSP lanseringen av den utpakkede kopien av trojaneren fra den midlertidige katalogen til gjeldende bruker. I dette tilfellet behandles ikke selve arkivet på noen måte.
Arkivet anses som rent selv om det skannes på nytt umiddelbart etter at en trojaner som er pakket ut fra det er oppdaget. Spesielt morsom er inskripsjonen: "Hvis det etter din mening fortsatt er trusler, klikk her." Når du klikker på den, oppdateres databasene (eller ikke, hvis de allerede er ferske).
Overraskende nok oppdages noen av de eldre løsepengevareprøvene fortsatt kun av NSP heuristisk analysator og skyverifiseringsverktøy. Det ser ut til at Symantecs virologer er for late til å holde databasene oppdatert. Antiviruset deres blokkerer ganske enkelt alt mistenkelig og venter på brukerens reaksjon.
Den andre testfasen fant sted tradisjonelt. Vi sikkerhetskopierte filer fra My Documents-katalogen og prøvde deretter å kryptere dem.
Backup-sjefen i NSP var først fornøyd med logikken. Han bruker klassisk prinsipp"Hva? Hvor? Når?", Kjent fra DOS-tider. Imidlertid, i moderne versjon den overskygges av overdreven abstrakthet. I stedet for direkte å liste objekter med fulle stier og filer etter utvidelse, deres virtuelle plassering og betingede gruppering etter type brukes. Det gjenstår å se hvilke filer NSP vil anse som finansiell informasjon, og hvilke den ganske enkelt vil legge inn i delen "Andre".
Tilleggsinnstillinger er mulig (for eksempel ved å følge lenken "Legg til eller ekskluder filer og mapper"), men det er veldig vanskelig å lage dem. For et par filer (hver mindre enn en kilobyte) må du fortsatt sikkerhetskopiere et halvt katalogtre og eventuelt søppel som desktop.ini, og sikkerhetskopieringsveiviseren foreslår å udødeliggjøre dette på en CD-R. Det ser ut som det 21. århundre ikke er for alle.
På den annen side får NSP-brukere 25 GB sikkerhetskopier i skyen. For å laste opp sikkerhetskopiene der, trenger du bare å velge "Sikker nettverkslagring" som målplassering.
Etter å ha laget en lokal sikkerhetskopi, lanserte vi et program som etterligner handlingene til en løsepenge-trojaner. NSP gjorde ingenting for å forhindre det og tillot at filene ble kryptert.
Å gjenopprette dem fra en sikkerhetskopi var raskere og mer praktisk enn å bruke Dr.Web SS. Det var nok til å bekrefte overskrivingen, og filene i sin opprinnelige form dukket umiddelbart opp på de opprinnelige stedene.
K7 Ultimate Security
Tidligere ble dette produktet fra det indiske selskapet K7 Computing kalt Antivirus pluss... Denne utvikleren har fortsatt litt forvirring med navnene. For eksempel har ikke K7 Total Security-distribusjonen sikkerhetskopieringsverktøy. Det er derfor vi testet Ultimate versjon- den eneste som er i stand til å ta sikkerhetskopi.
I motsetning til antivirus kjent i Russland, var denne utviklingen en mørk hest i våre tester. Uttrykket "indisk kode" regnes som en forbannelse av programmerere, og vi forventet ikke mye av det. Som testene har vist - forgjeves.
K7 Ultimate Security er det første antivirusprogrammet som umiddelbart oppdager alle 15 truslene i vårt utvalg. Han tillot ikke engang fullføring av kopiering av prøver til "Nedlastinger"-katalogen og ville ha slettet dem direkte i nettverksmappe hvis den ikke hadde vært tilkoblet i skrivebeskyttet modus.
Utformingen av programmet er stålkamuflasje. Tilsynelatende er utviklerne glade i å spille stridsvogner eller bare prøver å vekke assosiasjoner til noe pålitelig på denne måten. Sikkerhetskopieringsalternativer i K7 er satt på omtrent samme måte som i NSP. Totalt sett er imidlertid K7s grensesnitt mindre rotete og lettere å få til tweaks.
K7 reagerte ikke på lanseringen av simulatoren og filkryptering. Som alltid måtte jeg gjenopprette originalene fra sikkerhetskopien.
Når du gjenoppretter, kan du enkelt velge individuelle filer og skrive dem til deres opprinnelige plassering. Ved å svare bekreftende på overskrivingsforespørselen eksisterende fil, gjenopprettet vi lenses.txt med et par klikk til den opprinnelige plasseringen.
Som en del av denne testen er det ikke noe mer å legge til om ytelsen til K7. Suksess det er suksess.
konklusjoner
På tross av fine resultater testing, generelle konklusjoner viste seg å være skuffende. Til og med fullversjoner populær betalt antivirusprogramvare mangler noen løsepengevarealternativer i standardinnstillingene. Selektiv skanning på forespørsel garanterer heller ikke sikkerheten til de skannede filene. Langkjente modifikasjoner av trojanere kan også unngås ved å bruke primitive triks (som å endre en utvidelse). Ny malware blir nesten alltid sjekket for ingen oppdagelse før den slippes ut i naturen.
Ikke stol på atferdsanalysator, skysjekking, filomdømmeegenskaper og andre ikke-signaturanalyseverktøy. Det er en viss mening med disse metodene, men svært liten. Til og med vårt primitive simulatorprogram med null omdømme og uten digital signatur ikke blokkert av noe antivirus. Som mange løsepenge-trojanere, inneholder den mange feil, men dette hindrer den ikke i å fritt kryptere filer umiddelbart etter lansering.
Automatisk sikkerhetskopiering brukerfiler– ikke en konsekvens av fremgang, men et nødvendig tiltak. Det kan være ganske effektivt bare med permanent beskyttelse lagring av sikkerhetskopier ved hjelp av selve antiviruset. Det vil imidlertid være effektivt helt til antiviruset er lastet ut fra minnet eller i det hele tatt avinstallert. Derfor er det alltid verdt å lage flere kopier til noen sjeldent tilkoblede medier eller laste dem opp til skyen. Selvfølgelig, hvis du stoler nok på skyleverandøren.
Kaspersky Anti-Ransomware-verktøy for forretninger- et verktøy utviklet av Kaspersky Lab for å beskytte Windows-datamaskiner mot handlinger fra løsepengeprogramvare.
Trojanere som er laget for å presse penger fra et offer kalles løsepengevare. Disse inkluderer også løsepengevare som har blitt utbredt de siste årene.
Den ondsinnede aktiviteten til disse truslene er rettet mot å blokkere driften av en datamaskin eller kryptere data på en disk med blokkering av tilgang til viktige filer... Som et resultat krever nettkriminelle betaling for å angre endringer som ble gjort av trojaneren på offerets datamaskin. Dette fører til betydelige tap, spesielt i et bedriftsmiljø.
Det gratis Kaspersky Anti-Ransomware Tool for Business er kompatibelt med tredjeparts antivirusprogrammer og kan tjene som ekstra beskyttelse mot løsepenge- og løsepenge-trojanere ved hjelp av avansert teknologi.
Nøkkelfunksjoner i Kaspersky Anti-Ransomware Tool for Business
- Gratis og lett løsning
- Premium Business Solutions Ransomware Detection (KES for Windows)
- Beskyttelsesteknologier: skynettverk Kaspersky Security Nettverk + "Aktivitetsmonitor"
- Kompatibel med tredjeparts antivirusløsninger
- Brukerstøtte populære systemer: fra Windows 7 til 10, inkludert server OS Windows Server
- Deteksjonsrapporter av e-post for administrator
Beskyttelsesteknologier
Kaspersky Anti-Ransomware Tool for å beskytte datamaskiner på Windows basert bruker ulike metoder oppdagelse av trusler. Verktøyet identifiserer ondsinnede applikasjoner basert på informasjonen i antivirusdatabasene. Verktøyet bruker to revolusjonerende teknologier for å oppdage den typiske oppførselen til løsepengevare: Kaspersky Security Network og Activity Monitor.
Skyet Kaspersky-nettverket Sikkerhetsnettverket gir en raskere respons på ukjente trusler. EN unike muligheter"Aktivitetsovervåking" inkluderer muligheten til å blokkere og rulle tilbake farlige endringer i systemet.
Takket være brukerne som deltar i Kaspersky Security Network, er Kaspersky Lab i stand til raskt å samle inn informasjon om nye typer og kilder til trusler, samt utvikle løsninger for å nøytralisere dem. Deltakelse i Kaspersky Security Network innebærer å sende statistikk samlet inn av Kaspersky Anti-Ransomware Tool for Business på datamaskinen din.
Hvordan Kaspersky Anti-Ransomware Tool for Business fungerer
Når en trussel oppdages, blokkerer Kaspersky Anti-Ransomware Tool den automatisk og legger den til listen over blokkerte programmer. Før blokkering kan løsepengevaren ha tid til å kjøre uønskede handlinger i operativsystemet (for eksempel opprette eller endre filer, eller gjøre endringer i registeret). For å rulle tilbake handlingene til et ondsinnet program, lagrer Kaspersky Anti-Ransomware Tool historien om programaktivitet.
Kaspersky Anti-Ransomware Tool plasserer filer laget av skadelig programvare i en spesiell lagring. Filer plassert i lagringen kan gjenopprettes av spesialister fra Kaspersky Lab. Hvis det blir nødvendig å gjenopprette filer fra depotet, anbefales det å søke råd på utviklerens forum.
Før du kontakter tjenesten teknisk støtte, må du gjøre deg kjent med
Førsteplassen i konkurransen ble tatt av Anton Sevostyanov med en oppdatert veiledning om beskyttelse mot løsepengevare. Anton jobber Systemadministrator og utdanner brukere informasjonsteknologi. Flere videoopplæringer finnes på hjemmesiden hans.
I dag har blitt et populært verktøy for nettkriminelle. Med deres hjelp presser angripere penger fra selskaper og vanlige brukere... For å låse opp personlige filer kan brukere betale titusenvis av rubler, ogForretnings eiere - millioner (for eksempel hvis 1C-basen er blokkert).
I denne guiden tilbyr jeg flere måter å beskytte mot løsepengeprogramvare som vil bidra til å holde dataene dine så sikre som mulig.
Antivirusbeskyttelse
Blant alle beskyttelsesmidlene er antivirus i første omgang (jeg bruker). Virusdatabaser oppdateres automatisk flere ganger om dagen uten brukerintervensjon, men du må også overvåke relevansen til selve programmet. I tillegg til å oppdatere antivirusdatabasene, legger utviklere regelmessig til produktene sine moderne fasiliteter virusbeskyttelse.
Et slikt verktøy er skytjenesten ESET LiveGrid®, som kan blokkere et virus før det inkluderes i anti-virus database... ESET-systemet analyserer informasjon om et mistenkelig program i farten og fastslår omdømmet. Ved mistanke om virus vil alle programprosesser bli blokkert.
Du kan sjekke om ESET LiveGrid® er aktivert som følger: ESET NOD32 - Avanserte innstillinger - Verktøy - ESET LiveGrid® - Aktiver ESET LiveGrid® omdømmesystem.
Du kan evaluere effektiviteten til ESET LiveGrid® på nettstedet designet for å teste arbeidet til alle antivirusprodukter... Klikk på lenken Kontroll av sikkerhetsfunksjoner - Funksjonsinnstillinger Se etter skrivebordsløsninger personlige datamaskiner) eller funksjonsinnstillinger Se etter Android-baserte løsninger – Test om skybeskyttelsen er aktivert. skybeskyttelse). Deretter er vi invitert til å laste ned testfil, og hvis antiviruset reagerte på det, er beskyttelsen aktiv, hvis ikke, må du finne ut hva saken er.
Oppdater operativsystem og programvareprodukter
Angripere utnytter ofte kjente sårbarheter i programvare i håp om at brukerne ennå ikke har rukket å installere Siste oppdateringer... Dette gjelder først og fremst operasjonsstuen. Windows-systemer, så du bør sjekke og om nødvendig aktivere automatiske OS-oppdateringer (Start - Kontrollpanel - Senter windows oppdateringer- Stille inn parametere - Velg metoden for å laste ned og installere oppdateringer).
Deaktiver krypteringstjenesten
Windows gir spesiell tjeneste datakryptering; hvis du ikke bruker den regelmessig, er det bedre å deaktivere den - noen modifikasjoner av løsepengevare kan bruke denne funksjonen til sine egne formål. For å deaktivere krypteringstjenesten må du kjøre følgende handlinger: Start - Kontrollpanel - Administrative verktøy - Tjenester - Kryptert filsystem(EFS) og start systemet på nytt.
Vær oppmerksom på at hvis du brukte kryptering for å beskytte filer eller mapper, bør du fjerne merket for de tilsvarende avmerkingsboksene (RMB - Egenskaper - Attributter - Avansert - Krypter innhold for å beskytte data). Ellers, etter at du har deaktivert krypteringstjenesten, vil du ikke få tilgang til disse filene. Det er veldig enkelt å finne ut hvilke filer som ble kryptert - de vil være uthevet i grønt.
Begrenset bruk av programmer
For å øke sikkerhetsnivået kan du blokkere lanseringen av programmer som ikke oppfyller kravene vi har spesifisert. Som standard er disse innstillingene kun satt for Windows-mapper og programfiler.
Du kan konfigurere lokal gruppepolicy slik: Kjør - gpedit - Datamaskinkonfigurasjon - Windows-konfigurasjon- Sikkerhetsalternativer - Retningslinjer begrenset bruk programmer - PKM - Lag en policy for å begrense bruken av programmer.
La oss lage en regel som forbyr lansering av programmer fra andre steder enn de som er tillatt ( Ytterligere regler- RMB - Lag en regel for en bane - Bane: *, dvs. Uansett - Sikkerhetsnivå: Forbudt).
"Tilordnede filtyper"-vinduet indikerer utvidelsene som vil bli blokkert når du forsøker å starte. Jeg anbefaler deg å legge til .js - java script-utvidelsen her og fjerne .ink slik at du kan kjøre programmer ved hjelp av snarveier.
På effektiv tuning kan forlate Viss tid men resultatet er definitivt verdt det.
Bruker en vanlig brukerkonto
Det anbefales ikke å jobbe med en administratorkonto, selv for avanserte brukere. Begrensning av kontorettigheter vil minimere skade i tilfelle utilsiktet infeksjon (Aktiver administratorkonto - Angi passord - Frata gjeldende bruker administrative rettigheter - Legg til brukere i gruppen).
For å utføre handlinger med administratorrettigheter i Windows, er det en spesialverktøy- "Brukerkontokontroll", som vil be om et passord for å utføre en bestemt operasjon. Du kan sjekke innstillingene her: Start - Kontrollpanel - Kontoer brukere - Endre innstillinger for brukerkontokontroll - Som standard - Varsle kun når det gjøres forsøk på å gjøre endringer på datamaskinen.
Kontrollpunkter systemgjenoppretting
Noen ganger klarer virus fortsatt å overvinne alle beskyttelsesnivåer. I dette tilfellet bør du kunne rulle tilbake til en tidlig tilstand av systemet. Du kan konfigurere automatisk opprettelse av sjekkpunkter som følger: Min datamaskin - RMB - Egenskaper - Systembeskyttelse - Beskyttelsesinnstillinger.
Som standard, når du installerer operativsystemet, er beskyttelse kun aktivert for systemdisk løsepengevare vil imidlertid påvirke innholdet i alle seksjoner på PC-en din. For å gjenopprette filer med standard midler eller Shadow Explorer bør aktivere beskyttelse for alle stasjoner. Sjekkpunkter vil ta opp noe minne, men de kan lagre dataene dine i tilfelle en infeksjon.
Sikkerhetskopiering
Jeg anbefaler på det sterkeste å gjøre det selv regelmessig. viktig informasjon... Dette tiltaket vil ikke bare bidra til å beskytte mot virus, men også tjene som forsikring i tilfelle en utgang. hardisk ute av drift. Sørg for å lage kopier av dataene dine og lagre dem på eksterne medier eller i skylagring.
Jeg håper denne veiledningen vil være nyttig for deg og vil hjelpe deg med å beskytte dine personlige data (og penger!) mot inntrengere.
Sevostjanov Anton
vinner av konkurransen
Vet du hva et løsepengevirus er? Og hvordan kan det skade bedriften din?
Krypteringer er trojanere som kommer inn på datamaskinen din, blokkerer og krypterer filene dine, og deretter krever et gebyr for å dekryptere dem.
Ransomware-virus har blitt de virkelige kongene i verden av cyberangrep. Trojanere slår til i det mest uleilige øyeblikket, når informasjon er så akutt nødvendig at det virker lettere å betale. Brukere og bedrifter betaler store summer penger for å returnere dine personopplysninger.
Løsepengene for vanlige brukere kan nå titusenvis av rubler, og for store selskaper rundt flere millioner rubler. Men i 9 tilfeller av 10 vil ikke betaling løse problemet, og det samme problemet kan oppstå igjen. Og hvis et helt bedriftsnettverk er infisert med et virus, kan bedriften din være ute av drift i lang tid, og bare én dag med nedetid kan være svært dyrt for bedriften.
For å forhindre katastrofebruk - løsning for omfattende beskyttelse bedriftsnettverk med innebygd beskyttelse mot løsepengeprogramvare.
La oss ta en titt på hvordan det fungerer når Kaspersky er installert på alle datamaskiner i bedriftsnettverket. Endpoint Security for Windows, kontrollert via Kaspersky Sikkerhetssenter .
Åpne Kaspersky Security Center Administration Server. Gå til Administrerte datamaskiner.
Gå deretter til egenskapene til den aktive policyen for Kaspersky-endepunkt Sikkerhet
Aktiver systemovervåking i disse egenskapene, aktiver bruk av BSS og farlige atferdsmønstre på alle datamaskiner i nettverket ditt.
Det er alt! Datamaskinene dine er pålitelig beskyttet mot løsepengeprogramvare, bare ikke glem å sette opp automatisk oppdatering av antivirusdatabaser.
Ta vare på sikkerheten til bedriftens nettverk med.
I vår nettbutikk kan du kjøpe alt du trenger for å beskytte deg selv og din bedrift mot for eksempel krypteringsvirus.
I det siste har ransomware-krypteringsvirus blitt en av hovedtruslene, og hver dag lærer vi om nye angrep, nye ransomware-virus eller deres versjoner, og dessverre om ofre som nettkriminelle krever løsepenger for å få tilbake tilgang til krypterte data. Derfor Kaspersky Lab til System Watcher-komponenten Nyeste Produkter inkludert et spesielt undersystem for å bekjempe kryptering av skadelig programvare, Kaspersky Cryptomalware Countermeasures Subsystem. Takket være et sett med unike teknologier, i Latvia og i verden blant brukere av de nyeste Kaspersky-produktene som riktig brukte egenskapene som tilbys av produktene, Det er praktisk talt ingen ofre for ransomware-angrep med kryptering! Og dette er ikke magi og ikke en konspirasjon, som til og med eksperter noen ganger sier, og ser hvordan fans av Kaspersky-produkter, i motsetning til brukere av andre antivirus, forblir uskadd i angrep ved å kryptere løsepengevirus. Dette er bare teknologier oppfunnet og implementert av utviklerne av Kaspersky Lab!
Hvilke produkter inkluderer System Watcher og Kaspersky Cryptomalware Countermeasures Subsystem?
Spesifikke teknologier for å bekjempe ransomware-virus for kryptering er inkludert i gjeldende versjoner av følgende produkter for Windows-operativsystemet eller komponenten for Windows.
Småbedriftsprodukter:
Produkter bedriftsbeskyttelse:
* Alle produkter 30 dager gratis full funksjonell prøveversjon tilgjengelig med lokal teknisk støtte. For å prøve å installere også.
Hvordan fungerer System Watcher og Kaspersky Cryptomalware Countermeasures Subsystem?
Kaspersky Lab behandler i gjennomsnitt 315 000 nye prøver av skadelig programvare daglig. Med en så stor tilstrømning av ny skadelig programvare, må antivirusselskaper svært ofte beskytte brukere mot skadevareangrep de ennå ikke kjenner. I analogi med den virkelige verden vil dette være det samme som å identifisere en kriminell før fingeravtrykk, fotografier og andre data er innhentet. Hvordan gjøre det? Observere og analysere atferd. Dette er nøyaktig hva System Watcher-komponenten, innebygd i de nyeste produktene til Kaspersky Lab, gjør.
System Watcher overvåker prosesser som skjer i systemet og oppdager ondsinnede handlinger ved å bruke Behavior Stream Signatures (BSS) signaturer og dermed tillate å identifisere og stoppe arbeidet til helt ny og ukjent skadelig programvare ved deres oppførsel. Men det er ikke alt. Inntil det blir klart at et eller annet program er skadelig, kan det ha tid til å gjøre noe. Derfor en annen funksjon System Watcher er muligheten til å rulle tilbake endringer i systemet gjort av et ondsinnet program.
For å rulle tilbake endringene som ble gjort av den nye krypteringsmalwaren, la Kaspersky Lab-spesialister til et undersystem for å bekjempe krypteringsskadelig programvare til System Watcher-komponenten. Kaspersky-virus Cryptomalware Countermeasures Subsystem, som lager sikkerhetskopier av filer hvis de åpnes av et mistenkelig program, og deretter, om nødvendig, gjenoppretter dem fra de lagrede kopiene. Selv om krypteringsviruset er nytt, det vil si at antiviruset ikke har sine "fingeravtrykk", og det ikke identifiseres av andre mekanismer, oppdager System Watcher det ved sin oppførsel og returnerer datamaskinen ved å bruke det allerede nevnte undersystemet. systemet med tilstanden det var før angrepet av skadelig programvare.
Gjenkjennelse av en ukjent krypteringsskadelig programvare ved dens oppførsel, stoppe driften og rulle tilbake endringene som er gjort av den (erstatte krypterte filer med ukrypterte kopier) kan sees i demovideoen nedenfor.
Her er det nødvendig å klargjøre at for hver enkelt bruker kan situasjoner der det er nødvendig å bruke Kaspersky Cryptomalware Countermeasures Subsystem forekomme ekstremt sjelden, siden informasjon om hver hendelse med ukjent skadelig programvare i løpet av sekunder kommer inn i skyen til Kaspersky Security Network og andre brukere Kaspersky-løsninger fra det øyeblikket er de allerede beskyttet mot den nye trusselen av systemet for tidlig oppdagelse. Dette betyr at ytterligere forsøk på å infisere datamaskiner Kaspersky-brukere vil bli blokkert av en tidlig signatur. Det er handlingen til slike unike mekanismer som forklarer det faktum at i Latvia var det praktisk talt ingen ofre blant brukerne av de nyeste Kaspersky-produktene, siden det fungerer som et globalt immunsystem for alle 400 millioner Kaspersky-brukere over hele verden!
For mer informasjon om System Watcher og Kaspersky Cryptomalware Countermeasures Subsystem på engelske språk kan finnes i PDF-dokumenter:
Hva annet trenger du å vite om System Watcher og Kaspersky Cryptomalware Countermeasures Subsystem?
System Watcher og sammen med det automatisk Kaspersky Cryptomalware Countermeasures Subsystem er aktivert som standard i samsvar med produsentens startinnstillinger. Etter å ha installert produktene, trenger ikke brukeren å lage noen ytterligere handlingerå bruke teknologiene beskrevet ovenfor.
Det bør spesielt bemerkes at System Watcher ikke er inkludert i produktet Kaspersky Anti-Virus for Windows Workstation 6.0 (utgitt i 2007), som fortsatt noen ganger brukes. Brukere av dette produktet oppfordres til å bruke den gratis oppgraderingen til mer nye Kaspersky Endpoint Security for Windows. Juridiske brukere kan laste ned og installere de nyeste versjonene av produktene gratis, for eksempel fra ""-delen av denne siden.
