Direkte rettet mot brukerne med sikte på å ta ut store pengesummer, en av de farligste formene for malware, ransomware nettstedet gir store utfordringer for produsenter antivirus, Tvunget til å ty til aggressive metodiske prosedyrer for å sikre at brukerne ikke er berørt. Dessverre, uansett hvor god antivirus program som brukes, utvinning av alle filer kompromittert siden infeksjon ransomware er ikke garantert, er forebygging den eneste måten å opprettholde virkelig effektiv beskyttelse.
En type malware i stand til å fjerne samling av bilder og dokumenter i enhetens minne, slik at krypterte versjoner som kan åpnes bare med en nøkkel tilgang ransomware er den digitale versjonen av ran med gisler.
Hvis den første formen for ransomware tydde til relativt elementære metoder, og krypterer filene ved hjelp av krypteringsnøkler unike brukere, relativt enkelt å komme seg for antivirus-produsenter, som ga for desinfisering verktøy, i stand til å gjenopprette filer som er låst på en integrert måte, det samme kan ikke være sa mer avanserte versjoner (ex. Cryptowall) Som genererer unike krypteringsnøkler for hver enhet infisert, de sender ut en samling server i besittelse av angriperne. I de fleste tilfeller kan filer kryptert på denne måten ikke gjenopprettes, skaden er betydelig påvirket brukere og bedrifter.
Avhengig av versjonen, kan denne typen malware utbredes utnytte sårbarhetene til nettleserAktivert besøke en ondsinnet nettside, eller ved et uhell å installere en utvidelse eller plugin komponent foreslått å besøke en nettside. En annen måte mindre kjent autorun virus på datamaskiner krypterings ofrene og deres innhold er feste filer til e-post infisert formulert overbevisende, noen ganger tilpasset til målet. Dette er den foretrukne metode for CryptowallEn avansert versjon CryptolockerSom krypterer dokumenter fra infiserte datamaskiner og deretter kreve penger fra brukeren, i bytte for den dekrypteringsnøkkel. Infisert fil festet til e-post, ved hjelp CHM forlengelseAssosiert HTML-format samlet en tilsynelatende harmløs filtype, som normalt brukes til å levere manualer og Programvare. Faktisk er disse filene er interaktive og driver en rekke teknologier inkludert Javascript, Å kunne omdirigere brukeren til en ekstern adresse. Ved å åpne CHM filDet uavhengig utføre ulike handlinger med den ultimate produksjon av infeksjoner.
Relativt nytt, Trojan.DownLoad3.35539 (Variant CTB-Locker) Er spres via e-post, som et vedlegg i ZIP-arkivSom inneholder en fil SCR forlengelse. Hvis filen åpnes, trekker det infiserte programmet ut hard disk en RTF-dokument som den vises på skjermen. I mellomtiden, i bakgrunnen, blir krypteringsprogrammet lastet ned fra en server under angripernes kontroll. Når dekomprimeres og aktiveres, skanner den lagringsenheter for brukerens personlige dokumenter, som de griper, og erstatter originalen med krypterte versjoner. Etter at oppdraget er fullført, blir brukeren varslet med en melding om at han må betale for innløsning av personopplysninger.
Hvordan Cryptowall hindre smitte og andre lignende former for ransomware?
Tar dine eksperter BitDefender, vanlige brukere og administratorSystemet kan redusere risikoen for infeksjon betraktelig, så vel som skaden forårsaket av det, ved å ta hensyn til noen få grunnleggende regler:
- Bruker en kontinuerlig oppdatert datasikkerhetsløsning som er i stand til aktiv skanning.
- Tidsplan back-up filer på en eller flere hard diskeksterne enheter som ikke forblir permanent tilkoblet PC-en eller i det lokale nettverket eller bruker tjeneste sky lagring.
- Unngår å besøke ukjente nettsteder, lenker eller ikke tilgang til filer som inngår som et vedlegg til e-postmeldinger med usikker opprinnelse og ikke å oppgi personlig informasjon offentlige samtaler eller fora. Noen ganger er det mulig at meldinger med infiserte vedlegg som skal mottas, inkludert kjente adresser, hvis PC i den andre enden har blitt kompromittert, eller støtende e-postadresse har blitt lagt til i avsenderfeltet.
- Implementere / lock aktiverer en kreativ løsning, og Antispam.
- Bruke en nettleser med støtte for virtualizares eller helt deaktivere støtte for avspilling av innhold Blitz.
- Arbeidsgivere bør trene sine ansatte i form av social engineering forsøker å identifisere og phishingVed hjelp av e-postmeldinger.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"På samme tid, administratorSystemet må styrke gruppepolicyer for å blokkere kjøringen av viruset fra bestemte steder. Dette kan gjøres på Windows Profesjonell eller Windows Serverutgave. alternativ Programvarebegrensningspolicyer kan finnes i editoren Security Policy Lokal. Etter få tilgang knapp Nye programvarebegrensningspolicyer nedenfor Addgrunnleggende reglerVil bli brukt neste bane~~POS=TRUNC Regler med “Dissallowed” sikkerhetsnivå:
Ved hjelp av disse mekanismene bør begrense eller blokkere CryptowallMen for mer beskyttelse, Bitdefender foreslår Cryptowall Immunizer. Som fungerer som ekstra beskyttende mekanisme, som arbeider parallelt med antivirus permanent aktivert, verktøyet tillater brukere å immunisere datamaskiner og blokkere ethvert forsøk filkrypteringFør det skjer.
