Portal de construção - Casa. Aquecedores de água. Chaminés. Instalação de aquecimento. Aquecedores. Equipamento

Como se proteger contra ransomware. ][-test: lutando contra cryptolockers no Windows

O primeiro lugar na competição foi conquistado por Anton Sevostyanov com um guia atualizado de proteção contra ransomware. Anton trabalha como administrador de sistema e treina usuários tecnologia da Informação. Mais tutoriais em vídeo podem ser encontrados em seu site.

Hoje tornaram-se uma ferramenta popular para os cibercriminosos. Com a ajuda deles, os invasores extorquem dinheiro de empresas e usuários comuns. Para desbloquear arquivos pessoais, os usuários podem pagar dezenas de milhares de rublos eproprietários de empresas - milhões (por exemplo, se a base 1C estiver bloqueada).



No guia, ofereço várias maneiras de proteção contra ransomware que ajudarão a manter seus dados o mais seguros possível.


Proteção antivírus

Dentre todos os meios de proteção, o antivírus está em primeiro lugar (eu uso). Os bancos de dados de vírus são atualizados automaticamente várias vezes ao dia sem intervenção do usuário, mas você também precisa monitorar a relevância do próprio programa. Além de atualizar bancos de dados antivírus, os desenvolvedores adicionam regularmente ferramentas modernas de proteção antivírus aos seus produtos.

Uma dessas ferramentas é o serviço em nuvem ESET LiveGrid®, que pode bloquear um vírus antes que ele seja adicionado ao banco de dados de antivírus. O sistema ESET “on the fly” analisa informações sobre um programa suspeito e determina sua reputação. Se houver suspeita de vírus, todos os processos do programa serão bloqueados.

Você pode verificar se o ESET LiveGrid® está ativado da seguinte forma: ESET NOD32 - Configurações avançadas - Utilitários - ESET LiveGrid® - Ativar o sistema de reputação ESET LiveGrid®.

Você pode avaliar a eficácia do ESET LiveGrid® no site, projetado para testar o funcionamento de qualquer produto antivírus. Clique no link Verificação de recursos de segurança - Verificação de configurações de recursos para soluções de desktop computadores pessoais) ou Verificação de configurações de recursos para soluções baseadas em Android - Teste se a proteção na nuvem está ativada. A seguir, somos convidados a baixar um arquivo de teste, e se o antivírus reagiu a ele, a proteção está ativa, caso contrário, precisamos descobrir o que há de errado.


Atualizar sistema operacional e produtos de software

Os invasores geralmente exploram vulnerabilidades conhecidas em Programas na esperança de que os usuários ainda não tenham tido tempo de instalar Ultimas atualizações. Em primeiro lugar, diz respeito ao funcionamento Sistemas Windows, portanto você deve verificar e, se necessário, ativar as atualizações automáticas do sistema operacional (Iniciar - Painel de Controle - Centro atualizações do Windows- Configurações de parâmetros - Escolha como baixar e instalar atualizações).


Desativar serviço de criptografia


O Windows fornece um serviço especial de criptografia de dados; se você não o usa regularmente, é melhor desativá-lo - algumas modificações de ransomware podem usar essa função para seus próprios fins. Para desabilitar o serviço de criptografia, faça o seguinte: Iniciar - Painel de Controle - Ferramentas Administrativas - Serviços - Sistema de Arquivos com Criptografia (EFS) e reinicialize o sistema.

Observe que se você usou criptografia para proteger quaisquer arquivos ou pastas, você deve desmarcar as caixas de seleção correspondentes (RMB - Propriedades - Atributos - Avançado - Criptografar conteúdo para proteger os dados). Caso contrário, após desabilitar o serviço de criptografia, você não conseguirá acessar esses arquivos. Descobrir quais arquivos foram criptografados é muito simples - eles estarão destacados em verde.


Uso limitado de programas

Para aumentar o nível de segurança, você pode bloquear o lançamento de quaisquer programas que não atendam aos requisitos que definimos. Por padrão, essas configurações são apenas para Pastas do Windows e arquivos de programas.

Você pode configurar uma política de grupo local como esta: Executar - gpedit - Configuração do Computador - Configuração do Windows - Opções de Segurança - Políticas uso limitado programas - RMB - Crie uma política de restrição de software.

Vamos criar uma regra que proíba o lançamento de programas de qualquer lugar que não seja permitido (Regras adicionais - RMB - Crie uma regra para o caminho - Caminho: *, ou seja, qualquer caminho - Nível de segurança: Proibido).

A janela Tipos de arquivo atribuídos lista as extensões que serão bloqueadas quando tentarem ser executadas. Aconselho você a adicionar a extensão .js - java script aqui e remover o .ink para que você possa executar programas usando atalhos.

Pode levar algum tempo para configurar de forma eficaz, mas o resultado definitivamente vale a pena.


Usando uma conta de usuário padrão


Trabalhar com uma conta de administrador não é recomendado mesmo para usuários avançados. Restringir os direitos da conta minimizará os danos em caso de infecção acidental (Ativar conta de administrador - Definir senha - Privar o usuário atual de direitos administrativos - Adicionar usuários ao grupo).

Para realizar ações com direitos de administrador, o Windows disponibiliza uma ferramenta especial - “Controle de Conta de Usuário”, que solicitará uma senha para realizar uma determinada operação. Você pode verificar as configurações aqui: Iniciar - Painel de Controle - Contas usuários - Alterar configurações de controle de conta de usuário - Padrão - Notificar-me somente quando eu tentar fazer alterações em meu computador.


Pontos de verificação de restauração do sistema

Às vezes, os vírus ainda conseguem superar todos os níveis de proteção. Nesse caso, você poderá reverter para um estado anterior do sistema. Você pode configurar a criação automática de pontos de verificação da seguinte forma: Meu computador - RMB - Propriedades - Proteção do sistema - Configurações de proteção.

Por padrão, ao instalar o sistema operacional, a proteção é habilitada apenas para a unidade do sistema, porém, o criptografador afetará o conteúdo de todas as partições do seu PC. Para restaurar arquivos usando ferramentas padrão ou o programa Shadow Explorer, você deve habilitar a proteção para todas as unidades. Os pontos de verificação ocuparão um pouco de memória, mas podem salvar seus dados em caso de infecção.


Cópia de segurança

Eu recomendo fortemente que você leia as informações mais importantes regularmente. Essa medida ajudará não apenas a proteger contra vírus, mas também servirá como seguro caso o disco rígido falhe. Certifique-se de fazer cópias dos dados e salvá-los em mídia externa ou armazenamento em nuvem.

Espero que o guia seja útil para você e ajude a proteger seus dados pessoais (e dinheiro!) contra intrusos.


Sevostyanov Anton
vencedor da competição

6 de julho de 2018 12h35 | Bitdefender Rússia |

Este tipo de vírus é considerado o mais perigoso para as informações pessoais armazenadas em um computador. Esses programas maliciosos são distribuídos na maioria dos casos sem a participação dos usuários e não têm como objetivo destruir o sistema de arquivos, mas sim criptografar os arquivos do proprietário do computador. Os golpistas cibernéticos geralmente prometem enviar chaves de descriptografia em troca de resgate, mas, como mostra a prática, não faz sentido esperar por isso.

Nos últimos dois anos, a segurança dos computadores corporativos e pessoais esteve diversas vezes em grande risco devido à ativação repentina. Durante este período, três ransomwares diferentes destruíram dados em computadores. Estes são os vírus Petya, BadRabbit e WannaCry 2.0. É difícil superestimar os danos causados ​​pelas suas actividades: a conta ascende a milhares de milhões de dólares e o número de computadores e empresas afectados ainda não foi estabelecido.

Além de atualizações de sistemas operacionais e programas, é recomendável instalar um antivírus. Se desejar, você pode instalar um antivírus gratuito. Mas como escolher?

O antivírus doméstico/comercial mais bem avaliado pela Av-Test, AV-Comparatives e Roskachestvo é o Bitdefeder. Os melhores em termos de classificações não foram apenas as versões pagas, mas também a versão gratuita do antivírus. Durante a ativação do ransomware, nenhum dos usuários do antivírus sofreu: nem a empresa nem indivíduos. Como o Bidefender pode proteger seu computador contra ransomware?

A empresa desenvolveu uma solução especial anti-Ransomware gratuita. Ele foi projetado para proteger contra vírus ransomware, incluindo WannaCry, NonPetya, BadRabbit e outros. Para fazer isso, o programa salva os arquivos no dispositivo de uma forma especial que evita que malware os criptografe.

A proteção ideal para o lar será antivírus. O programa permite criar pastas seguras para arquivos importantes. Pastas recebem proteção aprimorada de ransomware, e quando é feita uma tentativa de atacá-los, o usuário recebe uma notificação sobre a ameaça. Outra medida eficaz é o consultor de segurança Wi-Fi integrado. Protegerá transações bancárias, compras e uso de aplicativos ou navegadores. No caso de uma ameaça, o consultor não permitirá que o criptografador e o ciberfraudador obtenham acesso ao dispositivo.

A empresa também está desenvolvendo ativamente antivírus para empresas. A funcionalidade mais completa é apresentada no programa. O antivírus permite bloquear o acesso a aplicativos ou páginas da web, usa proteção de firewall, consultor de pesquisa e filtragem da web para proteção contra hackers. A operação do antivírus é configurada usando o console da nuvem. O antivírus em 2017 foi apontado pelo laboratório AV-Test como a solução que menos consome recursos das máquinas virtuais.


Os vírus ransomware são um tipo de ameaça bem conhecido. Eles apareceram quase ao mesmo tempo que os banners de SMS e ficaram próximos a estes últimos, no topo da classificação dos vírus ransomware.

O modelo de monetização do vírus ransomware é simples: bloqueia parte das informações ou totalmente o computador do usuário e, para recuperar o acesso aos dados, requer o envio de SMS, dinheiro eletrônico ou a reposição do saldo do número do celular através do terminal .

No caso de um vírus que criptografa arquivos, tudo é óbvio - para descriptografar os arquivos é preciso pagar uma certa quantia. Além disso, ao longo dos últimos anos, estes vírus mudaram a abordagem às suas vítimas. Se eles foram distribuídos anteriormente esquemas clássicos através de warez, sites pornográficos, spoofing e correspondências de spam em massa, enquanto infectam os computadores de usuários comuns, agora as cartas são endereçadas, manualmente, a partir de caixas de correio em domínios "normais" - mail.ru, gmail, etc. E eles tentam infectar entidades legais, onde bancos de dados e contratos se enquadram nas cifras.

Aqueles. Os ataques evoluíram de quantidade para qualidade. Em uma das empresas, o autor teve a oportunidade de encontrar um criptógrafo experiente que chegou pelo correio com um currículo. A infecção ocorreu imediatamente após a abertura do arquivo pelos diretores de pessoal, a empresa estava apenas em busca de pessoal e o arquivo não levantava suspeitas. Era um docx com AdobeReader.exe incorporado :)

O mais interessante é que nenhum dos sensores heurísticos e proativos do Kaspersky Anti-Virus funcionou. Outro ou dois dias após a infecção, o vírus não foi detectado por dr.web e nod32

Então, o que fazer com essas ameaças? O antivírus é inútil?

Antivírus somente de assinatura estão ficando sem tempo.

Proteção Total de Dados G 2015 — melhor defesa de ransomware
com módulo de backup integrado. Clique e compre.

Para todos os afetados pela ação ransomware - código promocional com desconto na compra de G DATA - GDTP2015. Basta inserir este código promocional na finalização da compra.

Os vírus ransomware provaram mais uma vez o fracasso dos programas antivírus. Os banners de SMS, ao mesmo tempo, “mesclavam” livremente os usuários na pasta temporária e simplesmente eram lançados em toda a área de trabalho e interceptados pressionando todas as combinações de serviço do teclado.

O programa antivírus funcionou muito bem naquela época :) O Kaspersky, como no modo normal, exibiu sua inscrição “Protegido pelo Kaspersky LAB”.

Banner não é um malware astuto como os rootkits, mas um programa simples que altera 2 chaves no registro e intercepta a entrada do teclado.

Os vírus que criptografam arquivos atingiram um novo nível de fraude. Este é novamente um programa normal que não está incorporado no código do sistema operacional, não substitui arquivos do sistema, não lê áreas memória de acesso aleatório outros programas.

Ele simplesmente é executado por um curto período de tempo, gera uma chave pública e privada, criptografa os arquivos e envia a chave privada ao invasor. Um monte de dados criptografados e um arquivo com os contatos dos hackers são deixados no computador da vítima para pagamento adicional.

Razoável pensar: E por que então você precisa de um antivírus se ele é capaz de encontrar apenas programas maliciosos que conhece?

Realmente, programa antivírus necessário - protegerá contra todas as ameaças conhecidas. No entanto, muitos novos tipos de código malicioso são demasiado difíceis para ela. Para se proteger contra vírus ransomware, você precisa tomar medidas; o antivírus por si só não é suficiente aqui. E direi imediatamente: “Se seus arquivos já estão criptografados, você está dentro. Não é fácil recuperá-los."

:

Não se esqueça do seu antivírus

Backup de sistemas de informação e dados importantes Cada serviço possui seu próprio servidor dedicado.

Faça backup de dados importantes.

:

O que fazer com o próprio vírus?

Ações independentes com arquivos criptografados

Experiência de comunicação com suporte técnico de antivírus, o que esperar?

Entrando em contato com a polícia

Tome cuidado com as precauções no futuro (veja a seção anterior).

Se tudo mais falhar, talvez valha a pena pagar?

Se você ainda não foi vítima de um vírus ransomware:

*A presença de software antivírus no computador com as atualizações mais recentes.

Vamos ser francos: “Os antivírus são terríveis para lidar com novos tipos de ransomware, mas são excelentes para combater ameaças conhecidas”. Portanto é necessária a presença de um antivírus na estação de trabalho. Se já houver vítimas, pelo menos você evitará a epidemia. Qual antivírus escolher depende de você.

Por experiência própria - o Kaspersky "consome" mais memória e tempo de processador, e para laptop Discos rígidos com revoluções de 5200 - isso é um desastre (muitas vezes com atrasos de leitura do setor de 500 ms ..) O Nod32 é rápido, mas pega pouco. Você pode comprar o antivírus GDATA - a melhor opção.

*Backup de sistemas de informação e dados importantes. Cada serviço possui seu próprio servidor.

Portanto, é muito importante transferir todos os serviços (1C, contribuinte, estações de trabalho específicas) e quaisquer softwares dos quais dependa a vida da empresa, para um servidor separado, melhor ainda - um terminal. Melhor ainda, coloque cada serviço em seu próprio servidor (físico ou virtual - decida você mesmo).

Não armazene o banco de dados 1c em domínio público, na rede. Muitas pessoas fazem isso, mas é errado.

Se o trabalho com 1s for organizado em uma rede com acesso compartilhado de leitura/gravação para todos os funcionários, leve 1s para um servidor de terminal e deixe os usuários trabalharem com ele via RDP.

Se houver poucos usuários e não houver dinheiro suficiente para um sistema operacional de servidor, você poderá usar o Windows XP normal como servidor de terminal (sujeito à remoção das restrições no número de conexões simultâneas, ou seja, você precisa corrigir). Embora, com o mesmo sucesso, você possa instalar um não licenciado versão do Windows servidor. Felizmente, a Microsoft permite que você use, mas compre e ative depois :)

O trabalho dos usuários de 1s através do RDP, por um lado, reduzirá a carga na rede e agilizará o trabalho dos 1s, por outro lado, evitará que os bancos de dados sejam infectados.

Não é seguro armazenar arquivos de banco de dados em uma rede compartilhada e, se não houver outras perspectivas, cuide do backup (veja a próxima seção).

* Faça backup de dados importantes.

Se você ainda não fez backups (backup) - você é um burro, me perdoe. Bem, ou diga olá ao administrador do sistema. Os backups salvam não apenas de vírus, mas também de funcionários negligentes, hackers e, finalmente, de “quedas” de discos rígidos.

Como e do que fazer backup - você pode ler em um artigo separado sobre. O antivírus GDATA, por exemplo, possui módulo de backup em duas versões – proteção total e segurança de endpoint para organizações ( você pode comprar proteção total GDATA).

Se você encontrar arquivos criptografados em seu computador:

*O que fazer com o próprio vírus?

Desligue o computador e entre em contato com o serviço de informática + suporte do seu antivírus. Se você tiver sorte, o corpo do vírus ainda não foi removido e pode ser usado para descriptografar arquivos. Se você não tiver sorte (como costuma acontecer), o vírus, após a criptografia dos dados, envia a chave privada aos invasores e todos os seus rastros são excluídos. Isso é feito para que não seja possível determinar como e por qual algoritmo eles são criptografados.

Se você ainda tiver um e-mail com um arquivo infectado, não o exclua. Envie para o laboratório de antivírus para produtos populares. E não abra novamente.

*Ações independentes com arquivos criptografados

O que pode ser feito:

Entre em contato com o suporte antivírus, obtenha instruções e, possivelmente, um descriptografador para o seu vírus.

Escreva uma declaração para a polícia.

Pesquise na Internet a experiência de outros usuários que já encontraram esse problema.

Tome medidas para descriptografar os arquivos após copiá-los para uma pasta separada.

Se você tiver o Windows 7 ou 8, poderá restaurar versões anteriores dos arquivos (clique com o botão direito na pasta com os arquivos). Novamente, não se esqueça de copiá-los com antecedência.

O que não fazer:

Reinstale o Windows

Exclua arquivos criptografados, renomeie-os e altere a extensão. O nome do arquivo é muito importante ao descriptografar no futuro

*Experiência em comunicação com suporte técnico de antivírus, o que esperar?

Quando um de nossos clientes detectou um criptovírus .hardended, que ainda não estava nos bancos de dados de antivírus, as solicitações foram enviadas para dr.web e Kaspersky.

Gostamos do suporte técnico do dr.web, o feedback apareceu imediatamente e até demos conselhos. E depois de alguns dias eles disseram honestamente que não podiam fazer nada e desistiram instruções detalhadas como enviar um pedido através das autoridades competentes.

No Kaspersky, ao contrário, o bot respondeu primeiro, depois o bot informou que instalar um antivírus com os bancos de dados mais recentes resolveria o meu problema (lembro que o problema são centenas de arquivos criptografados). Uma semana depois, o status da minha solicitação mudou para “enviado ao laboratório antivírus” e, alguns dias depois, quando o autor perguntou modestamente sobre o destino da solicitação, os representantes da Kaspersky responderam que não receberíamos uma resposta de o laboratório ainda, dizem, estamos esperando.

Depois de algum tempo, recebi uma mensagem informando que meu pedido foi encerrado com uma proposta de avaliação da qualidade do serviço (tudo isso enquanto aguardava uma resposta do laboratório) .. “Vai se foder!” pensou o autor.

O NOD32, aliás, começou a pegar esse vírus no 3º dia após seu aparecimento.

O princípio é este: você está sozinho com seus arquivos criptografados. Os laboratórios das principais marcas de antivírus só irão ajudá-lo se se você tiver uma chave para o produto antivírus correspondente e se em O cripto-vírus tem uma vulnerabilidade. Se os invasores criptografarem o arquivo com vários algoritmos ao mesmo tempo e mais de uma vez, você provavelmente terá que pagar.

A escolha do antivírus é sua, não o negligencie.

*Entre em contato com a polícia

Se você foi vítima de um criptovírus e sofreu algum dano, mesmo na forma de informações pessoais criptografadas, pode entrar em contato com a polícia. Instruções de aplicação, etc. Há .

*Se tudo mais falhar, vale a pena pagar?

Dada a relativa inatividade dos antivírus em relação ao ransomware, às vezes é mais fácil pagar aos invasores. Para arquivos protegidos, por exemplo, os autores do vírus pedem cerca de 10 mil rublos.

Para outras ameaças (gpcode, etc.), o preço pode variar de 2 mil rublos. Na maioria das vezes, esse valor é menor do que as perdas que a falta de dados pode causar e menor do que o valor que os artesãos podem pedir para descriptografar manualmente os arquivos.

Em resumo, a melhor proteção contra vírus ransomware é fazer backup de dados importantes dos servidores e estações de trabalho dos usuários.

Como proceder depende de você. Boa sorte.

Os usuários que leem esta entrada geralmente leem:

Em contato com

Um vírus ransomware é um malware que entra no PC do usuário por meios fraudulentos, infecta arquivos do disco rígido e exige uma recompensa monetária pela descriptografia dos dados. Basicamente, arquivos .mp3, .doc, .docx, .pdf, .jpg, .rar tornam-se vítimas. e outros.

Como proteger seu PC contra vírus ransomware? Tomemos o Windows 7 como exemplo.

Configurando a segurança do PC contra vírus ransomware

Para proteger seu PC contra vírus ransomware, você deve seguir as instruções.

Clique em “Win ​​+ R” e digite “gpedit.msc”.

O Editor de Política de Grupo Local é aberto. Vamos ao endereço: "Configuração do Computador", "Configuração do Windows", "Configurações de Segurança", "Política de Restrição de Software". Abra o arquivo Tipos de arquivo atribuídos.

Exclua o atalho LNK.

Após adicionar as extensões, vá até a pasta “Política de Uso Restrito” e depois em “Regras Adicionais”.

Na pasta "Regras adicionais", clique com o botão direito em lugar vazio e selecione "Criar uma regra para o caminho".

Na unidade "D" crie uma pasta "Instalar". Na caixa de diálogo "Criar regra de caminho", insira o endereço da pasta "D:\Install". Defina o nível de segurança como ilimitado, clique em “Aplicar” e “OK”.

Agora criamos novamente uma nova regra para o caminho. Só que em vez do nome colocamos * e o nível de segurança é definido como "Proibido". Clique em "Aplicar" e "OK".

Reinicie o PC.

Agora lançamos o Winrar não inferior à terceira versão. Clique em “Opções” e “Configurações”.

Vá para a guia "Segurança". Colocamos toda a lista de nossas extensões e marcamos "Oferecer uma opção de scanner antivírus".

Reiniciamos o PC. Agora seu computador está completamente protegido contra vírus ransomware.

Compartilhe com amigos:
Postagens semelhantes