Как защититься от вируса шифровальщика касперский

Обновлено: 28.03.2024

Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги.

Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно.

Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний.

Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу.

Методы проникновения .

Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию.

Система (стенд) тестирования

Виртуальная машина: VirtualBox

ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit

Антивирусные продукты:

  • Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN
  • Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
  • Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN

Базы сигнатур во всех антивирусных продуктах были устаревшими (от месяца и более)

Вирусы:

Приманка: Несколько стандартных картинок и документов на рабочем столе для шифровальщика.

После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние

Сразу оговорюсь перед началом о том, что никакой разницы в битности и версии windows не наблюдалось. Шифровщики прекрасно чувствовали себя и шифровали файлы как в WIN XP так и WIN764-bit. В связи с этим я не буду отвлекаться на уточнение версии системы

Kaspersky Endpoint Security (KES) 8.1.0.1042

Антивирусные базы: май 2013 г.

Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN:

Рисунок 1"Блокировка запуска вируса средствами KSN"

Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников.

Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку .

Рисунок 2"Письмо злоумышленников"

Очень и очень плачевно, дальнейшие манипуляции с настройками не приводили к желаемому результату.

Термин это достаточно не новый и в рамках нашего эксперимента наша замкнутая программная среда будет достаточно поверхностной и простой, поверьте бывают и более жесткие.

Описание: если желаете, то можете дать описание вашему правилу

Рисунок 3"Правило замкнутой среды"

Рисунок 4"Создание среды"

Попробуем запустить вирус из письма повторно.

Рисунок 5"Реакция нового правила на запуск шифратора"

Как говорится, комментарии излишни, результат достигнут.

Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения.

PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным.

PSS : Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же.

Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611

антивирусные базы: март 2012 г.

Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной.

Установка по умолчанию, без предварительных настроек + проактивная защита

Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их.

Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик"

Настраиваем Проактивную защиту. Часть первая

Рисунок 7 "Настройка проактивной защиты - анализ активности, часть 1"

Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился"

Настраиваем Проактивную защиту. Часть Вторая .

Результат был мгновенным.

Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности"

  • Активность, характерная для Троянских программ
  • Скрытая установка драйвера
  • Скрытый процесс

Рисунок 10 "Настройки блокировки вируса-шифровальщика"

Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин.

PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго.

Kaspersky Internet Security 2013 и 2014

Дата выпуска баз: 15.10.2012 и 11.08.2013 соответственно

Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии.

  • KIS сразу сообщает о том, что найден PDM:Trojan.Win32.Generic
  • После выдает запрос на лечение с перезагрузкой или без (без перезагрузки справился прекрасно и удалил вирус)
  • Выполнил автоматически откат вредоносных действий

Рисунок 11 "KIS2013 в действии"

Рисунок 12 "KIS2014 в действии"

Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них.

Наумов Кирилл ,

форум ЛК: DWState,

____________ДОБАВЛЕНО____________

В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г. :

PSSSSS: и в дополнение

Основные направления по предотвращению заражений шифровальщиков:

Разъяснение и обучение пользователей по вопросам безопасности при работе в сети интернет и интернет-почте. Здесь основные направления должны быть по следующим вопросам:

  • Не оставлять своих персональных данных на открытых ресурсах:
  • Не загружать ничего со случайных сайтов:
  • Не проходить по ссылкам в спамовых письмах:
  • Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта

Использование внешних накопителей и облачных хранилищ, создание резервных файловых серверов, отключенных от локальных сетей.

3. Есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в ОС Windows, начиная с Windows 2000. Имеет смысл попробовать отключить данную службу, может это остановит хотя бы некоторые из модификаций данного вируса.

4. Использовать Linux\Unix системы для хранения данных или как вторичные(резервные) файловые сервера. Вирусов-Шифровщиков для данных систем пока замечено не было.

5. Пользоваться Антивирусными программами и своевременно и регулярно производить обновление программного обеспечения. Использовать тонкие настройки антивирусных продуктов.

Что такое вирусы вымогатели (ransomware)?

Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.

Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.

Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

Сколько денег требуют шифровальщики в качестве выкупа?

Можно расшифровать зараженные файлы без выкупа?

Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.

Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.

Как платят выкуп?

Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.

Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти — когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.

Как на мой компьютер могут попасть вымогатели?

Cамый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.

Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).

Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.

Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.

Каких файлов стоит опасаться?

Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).

Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?

У меня Mac. Для них же нет вымогателей?

Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.

Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.

А я с телефона. Мне не страшны шифровальщики?

Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.

Что, даже для iPhone есть вымогатели?

Как можно понять, что подцепил вирус шифровальщик?

Шифровальщик непременно расскажет вам об этом сам. Вот так:

rfaq-teslacrypt-screen-1

rfaq-dedcryptor-screen

rfaq-eda2-screen

А блокировщики делают это как-нибудь так:

rfaq-locker-screen

Самые известные шифровальщики, кто они?

Как вылечить компьютер, если я подцепил вымогателя?

От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.

С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.

Следующий этап — восстановление зашифрованных файлов.

Если есть резервная копия, то проще всего восстановить файлы из нее.

Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.

Почему не стоит платить выкуп?

Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.

Во-вторых, не стоит поддерживать преступный бизнес.

Я нашел нужный декриптор, но он не помогает. Что делать?

Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий. Но и мы не дремлем и постоянно обновляем наши утилиты. Заходите на этой сайт периодически и, возможно, мы найдем для вас лечение.

Как остановить заражение шифровальщиком, если вовремя заметил угрозу?

В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.

А если я делаю бэкапы, я в безопасности?

Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.

Антивируса достаточно, чтобы не заразиться?

Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.

rfaq-system-watcher-ru-screen

В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.

Можно что-то настроить на компьютере, чтобы защититься от вируса шифровальщика?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

Установите Kaspersky Total Security,
чтобы уберечь свой компьютер от вымогателей

Инфографика о шифровальщиках
Инфографика о шифровальщиках

Видео

kaspersky-video

play

19.05.2021 Пять вещей, обновления которых нельзя откладывать
Программное обеспечение, обновление которого критически важно на всех устройствах.

16.04.2021 11 типов фишинга. Часть 1
Фишинг – это тип кибер-преступления, при котором преступники выдают себя за надежный источник в Интернете, чтобы вынудить жертву передать им личную информацию (например, имя пользователя, пароль номер банковской карты и пр.).

21.02.2021 Как выбрать лучший антивирус Лаборатории Касперского для защиты Ваших домашних и рабочих ПК и серверов
Поможем определиться с выбором защиты. Рассказываем и показываем.

05.10.2020 Что делать, если Вы попались на фишинговую атаку?
Ответим сразу: если Вы попались на фишинговое письмо, то есть ввели конфиденциальные данные, незамедлительно смените пароль от того сервиса, который просил авторизацию.

Новая ошибка в Alexa, недавно обнаруженная исследователями по информационной безопасности, показала, что хакеры могут атаковать конкретных людей и получать несанкционированный доступ к их голосовой библиотеке и учетной записи.

11.09.2020 Самые распространенные вирусы
Рассказываем о самых распространенных типах вирусов, которые будут опасны все пользователям в этом и следующем году.

20.05.2020 Какой антивирус выбрать
Не можете выбрать антивирус? Мы поможем вам определится с выбором!

Подобрать антивирус для защиты домашних устройств совсем не сложно. Расскажем о достоинствах основных продуктов Лаборатории Касперского.

Как купить билет на грандиозный концерт и не быть обманутым?

20.02.2020 Можно ли верить цифровой подписи PDF-файла?
Исследователи постарались изменить содержимое подписанного PDF-файла так, чтобы подпись оставалась валидной.

Мошенники используют уханьский коронавирус как приманку, чтобы воровать учетные данные электронной почты.

Сравниваем Windows Defender и Kaspersky Internet Security. Функции и расширения, которые недоступны пользователям Microsoft.

23.10.2019 Корпоративный фишинг: теперь под видом аттестации
Осторожность во всем. Под благими намерениями может скрываться опасность.

08.10.2019 Ботнет Smominru ежедневно заражает более 4700 компьютеров
Массовое заражение началось! Узнайте как обезопасить себя и свой бизнес.

Опасность там, где ее никто не ждет.

05.09.2019 Рекордсмен среди вирусов
Если у вирусов есть "Книга рекордов", то этот червь явно на первых строчках!

19.08.2019 Защита ребенка в Ваших руках
Вы уверены в безопасности сайтов, которые посещают Ваши дети?

13.10.2016 Как настроить Kaspersky Security Center, чтобы защититься от шифровальщиков
Знаете ли вы, что такое вирус-шифровальщик? И как он может навредить вашему бизнесу? Если нет, то ответ в нашей статье.

07.10.2016 Какой антивирус выбрать для домашнего компьютера?
Не все пользователи компьютеров разбираются в антивирусах, но хотят защитить свой домашний ПК от вредосного программного обеспечения, поэтому наша редакция поможет вам определится с типом антивируса.

04.10.2016 Как защитить свои личные данные в открытых Wi-Fi сетях
Нередко злоумышленники используют незащищенные сети Wi-Fi, чтобы похищать чужой трафик и получать из него пароли и другую ценную информацию. Подробнее в нашей статье.

22.08.2016 90% людей игнорируют уведомления антивирусов
На сегодняшний день осведомленность пользователей о безопасности их устройств значительно повысилась. Но исследования специалистов Университета Бригама Янга (США) говорят о том, что люди не придают значения уведомлениям безопасности.

17.08.2016 Возможно ли взломать вибратор?
Сейчас, когда все бытовые приборы умеют выходить в интернет через Wi-Fi, появление продвинутых секс-игрушек было только вопросом времени.

12.08.2016 Как узнать, следят ли за вами веб-камеры?
В современном мире корпорации постоянно следят за вашими действиями в сети, злоумышленники интересуются вашим счетом в банке, а автоматизированные системы научились распознавать лица и по фото находить аккаунт в Вконтакте.

01.07.2016 Большой брат следит за вами. Как защитить веб-камеру от взлома
В ноябре 2015 года компания ESET, проведя исследование, обнаружила, что около 25% российских пользователей боятся взлома веб-камер, ПК и телефонов. Около 17% граждан заклеивают камеры своих устройств изолентой. Взлом послужил поводом для создания мемов на эту тематику в интернете, но как оказалось шутили зря.

24.05.2016 9 простых правил как защитить себя от хакеров и придумать сложный пароль
Всегда помните, что хакеры стремятся попасть на ваш компьютер, чтобы найти файл содержащий пароли или другую подсказку.

KL FC Bot

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

KL FC Bot

View the full article

KL FC Bot

View the full article

KL FC Bot

View the full article

KL FC Bot

View the full article

KL FC Bot

Рынок не терпит пустоты: после ухода нашумевших группировок BlackMatter и REvil неизбежно должны были появиться новые игроки. И вот один из них: в декабре прошлого года на хакерских форумах появилась реклама сервисов группировки ALPHV, также известной как BlackCat. После нескольких инцидентов наши эксперты из подразделения Global Research and Analysis Team (GReAT) решили тщательно исследовать схему работы этой группировки и обнародовать результаты в посте на сайте Securelist.
Еще в рекламе злоумышленники говорили, что они изучили ошибки и проблемы предшественников и создали улучшенный вариант зловреда. Однако, судя по некоторым признакам, их связь с BlackMatter и REvil может быть куда более тесной, чем они пытаются показать.
Что за группировка и чем она атакует жертвы?
Создатели шифровальщиков из BlackСat предлагают свои услуги по схеме Ransomware-as-a-Service (RaaS), то есть предоставляют другим злоумышленникам доступ к своей инфраструктуре и вредоносному коду за процент от выкупов. Кроме того, они, вероятно, берут на себя переговоры с жертвой. Таким образом, все, что остается оператору — получить доступ к корпоративной среде, так что разработки BlackCat применяются для атак на компании разного размера по всему миру.
В арсенале BlackCat имеется одноименный шифровальщик. Он написан на языке Rust, благодаря чему злоумышленникам удалось добиться определенной кроссплатформенности: варианты зловреда существуют и под Windows и под Linux.

Читайте также: