Лаборатория касперского вирусы шифровальщики

Обновлено: 28.03.2024

О программе

Kaspersky Anti-Ransomware Tool – бесплатный инструмент для защиты от шифровальщиков и программ-вымогателей, которые блокируют доступ к устройству или выполняют шифрование данных на диске

Что нового

Новое в Kaspersky Anti-Ransomware Tool 5.0

Системные требования

Общие требования

  • Процессор: Intel Pentium III 1 GHz 32-bit (x86) / 64-bit (x64) или выше (или совместимый аналог).
  • Оперативная память (RAM): 1 ГБ для 32-bit ОС; 2 ГБ для 64-bit ОС.
  • Жесткий диск: 350 MB свободного дискового пространства (зависит от размера антивирусных баз).
  • Интернет соединение (для обновления базы данных и программных модулей).

Требования для планшетных компьютеров

  • Microsoft Tablet PC;
  • процессор Intel Celeron 1.66 ГГц или выше;
  • 1000 MБ свободной оперативной памяти.

Требования для нетбуков

  • процессор Intel Atom 1600 МГц или выше;
  • 1024 МБ свободной оперативной памяти;
  • дисплей 10.1 дюймов с разрешением 1024x600;
  • графический чипсет Intel GMA 950.

Операционные системы

  • Microsoft Windows 11 Enterprise, Pro, Home
  • Microsoft Windows 10 Enterprise, Pro, Home x86/x64
  • Microsoft Windows 8.1 Core, Pro, Enterprise x86/x64
  • Microsoft Windows 8 Core, Pro, Enterprise x86/x64
  • Microsoft Windows 7 Home Basic, Home Premium, Professional x86/x64
  • Windows Server Standard, Enterprise, Datacenter
  • Windows Server 2022 Standard, Enterprise, Datacenter

Ограничения

  • Не совместим с другими антивирусными программами "Лаборатории Касперского"
  • Нет централизованного управления (удаленная тихая установка, настройка)
  • Нет технической поддержки (будет доступен форум поддержки для публичной бета-версии)
  • Локализация: только английский язык

Полезные ссылки

Подробное описание

Троянские программы, предназначенные для вымогания денег у жертвы, называются программы-вымогатели (ransomware). К ним также относятся распространенные в последнее время шифровальщики.

Вредоносная деятельность данных угроз направлена на блокировку работы компьютера или шифрование данных на диске с блокировкой доступа к важным файлам. В результате злоумышленники требуют плату за отмену изменений, которые были произведены троянской программой в компьютере жертвы. Это приводит к значительным убыткам, особенно в корпоративной среде.

Бесплатный инструмент Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий.

Основные возможности Kaspersky Anti-Ransomware Tool

Технологии защиты

Как работает Kaspersky Anti-Ransomware Tool

При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю активности приложений.

Перед обращением в службу технической поддержки, необходимо ознакомиться с правилами поддержки продуктов.

Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги.

Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно.

Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний.

Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу.

Методы проникновения .

Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию.

Система (стенд) тестирования

Виртуальная машина: VirtualBox

ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit

Антивирусные продукты:

  • Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN
  • Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
  • Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN

Базы сигнатур во всех антивирусных продуктах были устаревшими (от месяца и более)

Вирусы:

Приманка: Несколько стандартных картинок и документов на рабочем столе для шифровальщика.

После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние

Сразу оговорюсь перед началом о том, что никакой разницы в битности и версии windows не наблюдалось. Шифровщики прекрасно чувствовали себя и шифровали файлы как в WIN XP так и WIN764-bit. В связи с этим я не буду отвлекаться на уточнение версии системы

Kaspersky Endpoint Security (KES) 8.1.0.1042

Антивирусные базы: май 2013 г.

Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN:

Рисунок 1"Блокировка запуска вируса средствами KSN"

Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников.

Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку .

Рисунок 2"Письмо злоумышленников"

Очень и очень плачевно, дальнейшие манипуляции с настройками не приводили к желаемому результату.

Термин это достаточно не новый и в рамках нашего эксперимента наша замкнутая программная среда будет достаточно поверхностной и простой, поверьте бывают и более жесткие.

Описание: если желаете, то можете дать описание вашему правилу

Рисунок 3"Правило замкнутой среды"

Рисунок 4"Создание среды"

Попробуем запустить вирус из письма повторно.

Рисунок 5"Реакция нового правила на запуск шифратора"

Как говорится, комментарии излишни, результат достигнут.

Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения.

PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным.

PSS : Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же.

Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611

антивирусные базы: март 2012 г.

Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной.

Установка по умолчанию, без предварительных настроек + проактивная защита

Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их.

Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик"

Настраиваем Проактивную защиту. Часть первая

Рисунок 7 "Настройка проактивной защиты - анализ активности, часть 1"

Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился"

Настраиваем Проактивную защиту. Часть Вторая .

Результат был мгновенным.

Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности"

  • Активность, характерная для Троянских программ
  • Скрытая установка драйвера
  • Скрытый процесс

Рисунок 10 "Настройки блокировки вируса-шифровальщика"

Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин.

PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго.

Kaspersky Internet Security 2013 и 2014

Дата выпуска баз: 15.10.2012 и 11.08.2013 соответственно

Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии.

  • KIS сразу сообщает о том, что найден PDM:Trojan.Win32.Generic
  • После выдает запрос на лечение с перезагрузкой или без (без перезагрузки справился прекрасно и удалил вирус)
  • Выполнил автоматически откат вредоносных действий

Рисунок 11 "KIS2013 в действии"

Рисунок 12 "KIS2014 в действии"

Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них.

Наумов Кирилл ,

форум ЛК: DWState,

____________ДОБАВЛЕНО____________

В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г. :

PSSSSS: и в дополнение

Основные направления по предотвращению заражений шифровальщиков:

Разъяснение и обучение пользователей по вопросам безопасности при работе в сети интернет и интернет-почте. Здесь основные направления должны быть по следующим вопросам:

  • Не оставлять своих персональных данных на открытых ресурсах:
  • Не загружать ничего со случайных сайтов:
  • Не проходить по ссылкам в спамовых письмах:
  • Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта

Использование внешних накопителей и облачных хранилищ, создание резервных файловых серверов, отключенных от локальных сетей.

3. Есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в ОС Windows, начиная с Windows 2000. Имеет смысл попробовать отключить данную службу, может это остановит хотя бы некоторые из модификаций данного вируса.

4. Использовать Linux\Unix системы для хранения данных или как вторичные(резервные) файловые сервера. Вирусов-Шифровщиков для данных систем пока замечено не было.

5. Пользоваться Антивирусными программами и своевременно и регулярно производить обновление программного обеспечения. Использовать тонкие настройки антивирусных продуктов.

Программы-шифровальщики в последние годы из экзотики превратились в проблему для сотен тысяч людей . Вы тоже можете попасть под раздачу. Кибервымогательство стало массовой индустрией , в ней даже появилось разделение труда: одни преступники пишут вредоносы, другие выбирают цели и занимаются заражениями, получая процент от выкупа.

Последние пару лет вымогатели фокусировались на организациях, но это не значит, что обычные пользователи могут расслабиться. Так что если вы не хотите остаться без любимых фотографий и документов, почитайте про защиту от шифровальщиков.

Что такое вирус-шифровальщик

Дальше бывает несколько вариантов:

  • Злоумышленники высылают ключ и инструкции по расшифровке.
  • Преступники просто собирают деньги и ничего не отвечают.
  • Иногда файлы повреждаются так, что вернуть их уже не получится.

Вирус-шифровальщик может попасть на ваш компьютер разными путями, скажем, через чужую флешку или с незнакомого сайта. Обыкновенно для заражения используют электронные письма с опасными вложениями или ссылками на опасные сайты. Иногда шифровальщики распространяются среди подключенных к единой сети устройств. Поймав зловреда на одно устройство, ожидайте атаки и на все. Так, один шифровальщик на рабочем устройстве может привести к краху всех коммуникаций компании.

Что делать, если данные зашифровали

Если ваши данные зашифровали, не паникуйте. Это крайне неприятно, но, возможно, вы еще сможете восстановить файлы. Вот несколько советов:

Теперь, когда вы знаете врага в лицо, самое время выучить пару правил информационной гигиены, которые помогут вам избежать вымогательств.

1. Делайте резервные копии

Регулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск. Бэкапьте фото раз в неделю, а важные документы раз в день или раз в пару дней. Долго и лениво? У нас есть советы по автоматизации бэкапов . И не откладывайте это: резервная копия поможет и при атаке шифровальщиков, и если отчет удалит прогулявшийся по клавиатуре кот — но только если копии свежие.

Несколько правил успешного бэкапа: 1) подключайте резервный жесткий диск только тогда, когда работаете с ним: если он окажется подключен к компьютеру в момент нападения шифровальщика, его тоже зашифруют, и вся затея потеряет смысл. 2) защитите доступ к облаку надежным паролем и двухфакторной аутентификацией, чтобы никто там не безобразничал.

Шифровальщики чаще всего обитают во вложениях к письмам, поэтому к каждому неожиданному письму относитесь с осторожностью.

Включите проверку почтового трафика в защитном решении, если она там есть. Спам-фильтр оградит вас от части подобных писем.

3. Избегайте подозрительных сайтов

Чтобы заставить жертву скачать т.оян, преступники используют широкий арсенал уловок, не ограничиваясь ссылками. Если после клика на баннер появляется совсем не тот веб-ресурс, который вы ожидали, или на экране возникает предложение загрузить что-то на ваш компьютер, немедленно закрывайте страницу. Скорее всего, ваш компьютер пытаются заразить.

4. Вовремя обновляйте программы

Чтобы проникнуть на устройства, злоумышленники часто эксплуатируют известные уязвимости, для которых уже выпустили заплатки. Если вы не обновляетесь вовремя, вы рискуете. Включите автообновление везде, где это возможно, и регулярно проверяйте апдейты для приложений, которые не имеют такой функции.

5. Установите защитное решение

Современные решения умеют распознавать и оперативно блокировать вредоносные программы. К примеру, Kaspersky Internet Security включает целый спектр средств защиты от шифровальщиков. Даже если зловред проберется через файловый антивирус, он не сможет сделать свое черное дело: специальная система анализирует действия запущенных файлов и блокирует попытки шифровать файлы или отменяет действия вредоносов, если они все же успели как-то навредить данным.

рейтинг

2022-04-22

Бесплатный антивирусный сканер для поиска и удаления из системы вируса WannaCry, а также других шпионов и программ-вымогателей

рейтинг

2022-04-21

AppCheck - защита в реальном времени от шифраторов, программ-вымогателей и других вредоносных программ, а также защита системы от эксплоитов и неизвестных угроз

рейтинг

2022-04-15

Malwarebytes Anti-Ransomware – инструмент для защиты от программ-вымогателей (CryptoLocker, CryptoWall или CTBLocker), который отслеживает активность угроз в системе, используя проактивные технологии. Решение совместимо с любым антивирусом

рейтинг

2022-04-11

Kaspersky RannohDecryptor - бесплатная утилита для расшифровки файлов после заражения троянами вымогателями и шифровальщиками (Trojan-Ransom) семейства Polyglot, Rannoh, AutoIt, Fury, Crybola, Cryakl или CryptXXX

рейтинг

2022-02-17

Kaspersky RakhniDecryptor - специальная утилита от "Лаборатории Касперского" для расшифровки файлов с расширениями .locked, .kraken, .oshit и другими, зашифрованных вредоносной программой Trojan-Ransom.Win32.Rakhni

рейтинг

2022-02-14

Kaspersky Anti-Ransomware Tool – бесплатный инструмент для защиты от шифровальщиков и программ-вымогателей, которые блокируют доступ к устройству или выполняют шифрование данных на диске

рейтинг

2021-11-30

Abelssoft AntiRansomware – программа для безопасности важных файлов, обеспечивающая защиту в режиме реального времени от шифраторов и программ-вымогателей

рейтинг

2021-07-10

ZoneAlarm Anti-Ransomware предоставляет проактивную 0-day защиту от шифровальщиков и восстанавливает данные после атаки. Разработчики обещают защиту от известного трояна-вымогателя WannaCry

рейтинг

2021-07-03

CryptoPrevent Malware Prevention защищает систему Windows от шифровальщиков, троянов-вымогателей и других угроз, которые шифруют личные файлы на ПК пользователя с последующим предложением восстановить их за деньги

рейтинг

2020-02-10

360 Document Protector - бесплатная утилита для защиты от шифровальщиков путем отслеживания и автоматического резервного копирования изменяемых файлов и документов

Acronis Ransomware Protection - бесплатный инструмент для защиты от шифровальщиков в режиме реального времени. Использует технологию Acronis Active Protection и предоставляет бесплатно 5 ГБ в облачном хранилище для защиты важных документов

Бесплатная утилита Kaspersky ScatterDecryptor от "Лаборатории Касперского" предназначена для расшифровки файлов, зашифрованных вредоносной программой Trojan-Ransom.BAT.Scatter. Cодержит ключи для файлов с расширениями: .pzdc, .crypt, .good

XoristDecryptor борется с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev

Читайте также: