Рекомендации по вирусам шифровальщикам

Обновлено: 24.04.2024

Вирусы-шифровальщики представляют собой семейство троянских программ (Trojan.Encoder), которые зашифровывают файлы на жестких дисках персональных компьютеров пользователей, внешних жестких дисках и usb-накопителях, сетевых дисках, облачных хранилищах, web-сайтах, web-серверах — в зависимости от своего механизма действия и от настроек того окружения, в которое попала троянская программа. Шифрованию могут подвергаться отдельные файлы или целые разделы жестких дисков. Чаще всего шифруются изображения, офисные документы и архивы, аудио- и видеофайлы, файлы базы данных 1С.

Шифровальщики подразделяются на те, которым для начала работы необходима связь с командным центром (то есть доступ в Интернет), и на те, которые могут работать в оффлайн режиме. Связь с командным центром может осуществляться для выработки ключей шифрования или передачи информации для последующей расшифровки файлов жертвы.

Содержимое файлов шифруется с помощью симметричных алгоритмов, а ключ шифрования защищается асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник. Используемые шифровальщиком алгоритмы шифрования могут быть самыми разными: DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES (Rijndael), ГОСТ 28 147–89, IDEA, Tea, CAST-128, CAST-256, ICE, Twofish, Serpent, MARS, MISTY1 и др.

Рекомендации по защите

Действия в случае инцидента

Первое, что следует предпринять — это остановка процесса шифрования и изоляция зараженных узлов сети. Прервать процесс шифрования можно просто отключив питание компьютера. Изоляция зараженных узлов позволит избежать распространения вируса по сети, взаимодействия вируса с командным центром, шифрования удаленных хранилищ, смонтированных в файловые системы зараженных узлов.

Следует определить, какой именно шифровальщик атаковал информационную систему. Сканирование антивирусным ПО рекомендуется производить не из-под зараженной операционной системы. Лучше загрузиться с live-cd или подключить жесткий диск к другому компьютеру. Имеет смысл поискать информацию о вирусе в базах производителей антивирусов. Некоторые шифровальщики содержат ошибки в реализации, которые позволяют создать утилиты для расшифровки файлов. Ссылки на такие утилиты есть в базах вендоров антивирусного ПО.

Рекомендуется определить путь проникновения и механизм распространения шифровальщика, чтобы очертить контур узлов сети, которые возможно подверглись заражению. Также следует учитывать, что антивирусные продукты могут не выявлять некоторые типы вредоносного ПО. В некоторых случаях имеет смысл использовать комбинацию из двух антивирусных программ. Существуют специальные средства защиты информации, которые позволяют использовать для выявления вредоносных программ сразу несколько антивирусных ядер.

Большая часть вирусов-шифровальщиков будет пытаться удалять любые теневые копии, которые будут обнаружены. Иногда, по разным причинам, им не удается это сделать. В этом случае после удаления вируса из системы можно попытаться восстановить зашифрованные файлы из теневых копий.

Мы категорически не рекомендуем идти на поводу у злоумышленников и выполнять их требования. Следует понимать, что плата злоумышленникам за расшифровку файлов ничего не гарантирует. Известны случаи, когда после оплаты данные восстанавливали частично, либо вообще не восстанавливали.


Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender.

Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?

Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.

Немного о шифровальщиках

Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.

Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети. После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.

Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).

Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов. Превентивные меры – это лучшее решение для предотвращения неприятных событий!

Почему стоит обратить внимание на периметр сети?

Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.

Пример защиты от шифровальщиков на периметре сети

В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое. Данное решение поставляется в аппаратной, программной и виртуальной версии.

С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.

1. Используйте антивирус Panda

Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок, и на закладке Антивирус Panda настройте опции работы антивируса.



2. Используйте службу IPS

Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.

Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений, где нажмите на переключатель Включить IPS, если он выключен.


После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.



У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.


3. Используйте файервол для исходящих соединений

Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.

В консоли управления Panda GateDefender перейдите в раздел Межсетевой экран → Исходящий трафик.


Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение у опции Источник/Тип.


Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция.
В результате в списке правил вы увидите примерно следующее:



Здесь перейдите на закладку Веб-фильтр, где внесите изменения в существующий профиль или создайте новый.


В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites.

Кстати, этот метод лучше использовать в сочетании со следующим методом.

На этой же странице с опциями проверьте, что опция Активировать антивирусное сканирование включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.



7. Включите SMTP-прокси 1/2: Антивирусная проверка

Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.

В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси. Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы, чтобы активировать антивирусный движок для почтового трафика.


Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.

8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения

Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.jpg.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.jpg), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл. Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.

Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).


Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению, чтобы активировать систему проверки почтовых вложений.
После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.

9. Включите DNS-прокси

Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender. В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.

Для этого перейдите в раздел Прокси → DNS.


Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.

Заключение

В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.
Более подробная информация о Panda GateDefender

Важной составляющей стратегии защиты данных всегда было наличие резервных копий, из которых можно выполнить восстановление. Рассмотрим же несколько рекомендаций от моего коллеги Rick Vanover относительно того, как как уберечь СХД резервных копий от шифровальщиков (вне зависимости от того, используете вы решения Veeam или других производителей). Итак, добро пожаловать под кат.




Эта общечеловеческая рекомендация особенно актуальна в эпоху троянов-шифровальщиков.

  • Резонно использовать для доступа к хранилищу бэкапов специально выделенные для этого учетные записи.
  • Следует избегать назначения прав доступа к хранилищу всевозможным пользователям, за исключением тех, кому они необходимы для выполнения резервного копирования.
  • И, конечно, не стоит повсеместно использовать учетку доменного админа.

2. Имейте резервные копии, хранящиеся offline (без подключения к инфраструктуре)

Весьма действенный способ обезопасить себя от проникновения трояна-шифровальщика – сохранять резервные копии offline (то есть вне работающей инфраструктуры). Например, если вы используете решение Veeam, то можно рассмотреть следующие опции:

Где хранить данные Пояснение
Магнитная лента Всегда offline (если только не в процессе чтения-записи).
Реплика ВМ Обычно выключена; в большинстве случаев будет задействована в среде с аутентификацией, отдельной от продакшена (например, хосты vSphere и Hyper-V в разных доменах).
Аппаратные снимки производственных СХД Можно использовать для восстановления; обычно задействуются в среде с аутентификацией, отдельной от продакшена.
Бэкапы в Cloud Connect Не подключаются непосредственно к инфраструктуре резервного копирования; задействуют иной механизм аутентификации.
Сменные носители (например, внешний жесткий диск) Всегда offline (если только не в процессе чтения-записи).

Если вы используете выделенную СХД только для хранения резервных копий, то обычно такое хранилище используется только во время окна резервного копирования (скажем, только ночью). В этом случае отдельным простым способом перевода резервной копии в оффлайн будет настройка расписания автоматического выключения/включения СХД на период времени, когда оно не требуется.

Предупредить распространение шифровальщиков можно, используя разные файловые протоколы. Например, если держать репозиторий на Linux, то в этом случае при резервном копировании и восстановлении с помощью Veeam будет использоваться аутентификация Linux, а файловая система может быть как ext3, так и ext4 (или другая). Таким образом можно дополнительно защитить свои резервные копии. Вот несколько примеров систем хранения резервных копий с таким подходом:

  • СХД Data Domain со встроенной дедупликацией и использованием DDBoost (рекомендованный метод) или с монтированием NFS в случае, если DDBoost не используется
  • СХД Hewlett Packard Enterprise (HPE) StoreOnce со встроенной дедупликацией и использованием Catalyst
  • ExaGrid со встроенной дедупликацией и использованием Veeam agent



Это простое правило поможет вам практически в любой аварийной ситуации, при которой потребуется восстановить данные, и при этом оно не требует применения какой-либо специфической технологии. В эпоху шифровальщиков будет разумным добавить еще одну единичку к этому правилу, подразумевая, что один из носителей должен храниться offline. Приведенные выше опции (см. пункт 2) помогут вам с выбором носителя и способа хранения, что, в свою очередь, укрепит вашу инфраструктуру в противостоянии шифровальщикам.

Одна из угроз, которые несут с собой шифровальщики — это потенциальная возможность распространения на другие системы. Поэтому важно контролировать работу оборудования, процессов и приложений с целью выявления подозрительной активности. Так, Veeam ONE 9.5 предлагает вашему вниманию новое встроенное оповещение Possible ransomware activity (вероятная активность шифровальщика). Оно срабатывает, если замечена повышенная активность в использовании ЦПУ и рост количества операций записи на диск.


Для того, чтобы получить точку восстановления, хранящуюся на удаленной СХД и имеющую свою политику хранения (отличную от той, что задана в настройках бэкапа), удобно использовать задание переноса резервных копий Backup Copy Job. Это задание берет данные из репозитория резервных копий и на их основе создает точки восстановления на удаленной СХД. Так, например, если вы добавили еще одну СХД к инфраструктуре резервного копирования (допустим, Linux), то можно создать соответствующий репозиторий и затем настроить задание переноса для работы с ним.

mike 1

Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино:

Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям.


1. Никогда не открывайте почтовые вложения от неизвестных отправителей!

В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д.

hasHU05.jpg

Рис. 1 Архив с вирусом

На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо.

Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов.

KqcmP8X.jpg

Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию

Kaspersky Anti-Ransomware Tool for Business

Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы.

Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий.

2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы:

Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика.

На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса!

Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке.

gp3oxP2.jpg

Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости.


3. Не работайте под учетной записью Администратора!

Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора!

На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора".

Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления!

4. Настройте доступ к общим сетевым папкам.

Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.

5. Регулярно делайте резервные копии важных данных.

Рекомендации по настройке параметров Windows

Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу:

yUFsx6I.jpg

aYTwsbE.jpg

С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr . Теперь давайте вспомним какие файлы относятся к исполняемым?

Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные.

На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например:

LnDnZC.jpg

Для отключения этой настройки, выполните следующий скрипт в AVZ:


2. Включите службу теневого копирования для всех дисков.

Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия:

L1FrYWr.jpg

В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.

4JhbZqO.jpg

Выберите диск, а затем нажмите кнопку Настроить.

ErSCtWM.jpg

В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить".

BiMIAzp.jpg


На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска.

Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже:

1. У Вас имеются зашифрованные файлы, которые нужно восстановить.

7053155.jpg

2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора.

7060323.jpg

3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export"

Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель.

7064418.jpg

4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК"

7058274.jpg

5. Дождитесь окончания работы программы.

Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей).

Заключение:

Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!

Как защититься от шифровальщиков

Что такое вирус шифратор

Вирус шифровальщик - это разновидность троянской программы, в задачи которой входит заражение рабочей станции пользователя, выявления на нем файлов необходимого формата (например, фото, аудиозаписи, видео файлы) их последующее шифрование со сменой типа файла, в результате чего пользователь их больше не сможет открыть, без специальной программы дешифратора. Выглядит это вот так.

вирус зашифровал все файлы

Форматы зашифрованных файлов

Самыми распространенными форматами файлов после шифрования являются:

Последствия вируса шифровальщика

Опишу самый распространенный случай в котором задействован вирус шифратор. Представим себе обычного пользователя в любой абстрактной организации, в 90 процентах случаев у пользователя есть интернет за его рабочим местом, так как с помощью него он приносит прибыль компании, он совершает серфинг в интернет пространстве. Человек не робот и может отвлекаться от работы, просматривая интересные ему сайты, или сайты которые ему посоветовал его друг. В результате этой деятельности, он может заразить свой компьютер шифровальщиком файлов, сам того не подозревая и узнать об этом, тогда, когда уже будет поздно. вирус сделал свое дело.

Вирус в момент своей работы старается обработать все файлы, к которым у него есть доступ, тут и начинается, что важные документы в папке отдела, к которым у пользователя есть доступ, вдруг превращаются в цифровой мусор, локальные файлы и многое другое. Понятно, что должны быть резервные копии файловых шар, но как быть с локальными файлами, которые могут составлять всю работу человека, в результате компания теряет деньги, за простой работы, а системный администратор выходит из зоны комфорта и тратит свое время на расшифровку файлов.

То же самое может быть и у рядового человека, но последствия тут локальные и касаются лично его и его семьи, очень печально видеть случаи, когда вирус зашифровал все файлы, включая семейных архив фотографий и у людей не осталось резервной копии, ну не принято у обычных пользователей ее делать.

С облачными сервиса все не так просто, если вы все храните там и не используете толстого клиента у себя в операционной системе Windows, одно дело, там в 99% вам ничего не грозит, но вот если вы используете, например, "Яндекс диск" или "mail Облако" синхронизируя файлы со своего компьютера на него, то заразившись и получив, что все файлы зашифрованы, программа их отправит прямиком облако и вы так же все потеряете.

все файлы зашифрованы

Запомните, что ни один современный антивирус, на сегодняшний момент не может обеспечить windows защиту от шифровальщиков, по одной простой причине, что данный троян ничего подозрительного с его точки зрения не делает, он по сути ведет себя как пользователь, он читает файлы, записывает, в отличии от вирусов он не пытается изменить системные файлы или добавить ключи реестра, поэтому его обнаружение такое сложное, нет грани отличающий его от пользователя

Источники троянов шифровальщиков

Давайте попытаемся выделить основные источники проникновения шифратора к вам на компьютер.

  1. Электронная почта > очень часто людям приходят непонятные или фейковые письма с ссылками или зараженными вложениями, кликнув по которым, жертва начинает устраивать себе бессонную ночь. Как защитить электронную почту я вам рассказывал, советую почитать.
  2. Через программное обеспечение - вы скачали программу из неизвестного источника или поддельного сайта, в ней зашит вирус шифратор, и при установке ПО вы его себе заносите в операционную систему.
  3. Через флешки - люди до сих пор очень часто ходят друг к другу и переносят через флешки кучу вирусов, советую вам почитать "Защита флешки от вирусов"
  4. Через ip камеры и сетевые устройства имеющие доступ в интернет - очень часто из-за кривых настроек на роутере или ip камере подключенной в локальную сеть, хакеры заражают компьютеры в той же сети.

Как защитить от вируса шифровальщика ваш ПК

Защищает от шифровальщиков грамотное использование компьютера, а именно:

  • Не открывайте не известную вам почту и не переходите по непонятным ссылкам, каким бы образом они к вам не попали, будь то почта или любой из мессенджеров
  • Максимально быстро устанавливайте обновления операционной системы Windows или Linux, они выходят не так часто, примерно раз в месяц. Если говорить про Microsoft, то это второй вторник, каждого месяца, но в случае с шифровальщиками файлов, обновления могут быть и нештатные.
  • Не подключайте к своему компьютеру неизвестные флешки, просите друзей скинуть лучше ссылку на облако.
  • Убедитесь, что если вашему компьютеру не нужно быть доступным в локальной сети для других компьютеров, то выключите доступ на него.
  • Ограничьте права доступа на файлы и папки
  • Установка антивирусного решения
  • Не устанавливайте непонятные программы, взломанные непонятно кем

С первыми тремя пунктами все понятно, а вот на оставшихся двух я остановлюсь подробнее.

Отключаем сетевой доступ к вашему компьютеру

Когда меня спрашивают как организовывается в windows защита от шифровальщиков, то первым делом я рекомендую людям отключить "службу доступа к файлам и принтерам сетей Microsoft", которая позволяет другим компьютерам получить доступ к ресурсам данного компьютера с помощью сетей Microsoft. Это так же актуально от любопытных системных администраторов, работающих у вашего провайдера.

Отключить данную службу и защититься от шифровальщиков в локальной или провайдерской сети, можно следующим образом. Нажимаем сочетание клавиш WIN+R и в открывшемся окне выполнить, вводим команду ncpa.cpl. Я это покажу на своем тестовом компьютере с операционной системой Windows 10 Creators Update.

ncpa.cpl Windows 10

Выбираем нужный сетевой интерфейс и кликаем по нему правой кнопкой мыши, из контекстного меню выбираем пункт "Свойства"

как защитить компьютер от шифровальщиков

Находим пункт "Общий доступ к файлам и принтерам для сетей Microsoft" и снимаем с него галку, после чего сохраняем, все это поможет защитить компьютер от вируса шифровальщика в локальной сети, ваша рабочая станция просто не будет доступна.

как защитить компьютер от вируса шифровальщика

Ограничение прав доступа

Защита от вируса шифровальщика в windows может быть реализована вот таким интересным способом, я расскажу как я сделал для себя. И так основная проблема в борьбе с шифровальщиками, заключается в том, что антивирусы, просто не могут в режиме реального времени с ними бороться, ну не может он на сегодняшний момент защитить вас, поэтому будем хитрее. Если у вирус шифратора нет прав на запись, то он и не сможет ничего сделать с вашими данными. Приведу пример, у меня есть папка фотографии, она хранится локально на компьютере, плюс есть две резервные копии на разных жестких дисках. На своем локальном компьютере я сделал на нее права, только на чтение, для той учетной записи под которой сижу за компьютером. Если бы вирус попал, то прав у него просто не хватило бы, все как видите просто.

Как все это реализовать, чтобы защититься от шифровальщиков файлов и все уберечь, делаем следующее.

  • Выбираем нужные вам папки. Старайтесь использовать именно папки, с ними проще назначать права. А в идеале создайте папку, под названием только для чтения, и уже в нее помещайте все нужные вам файлы и папки. Чем хорошо, назначив на верхней папке права, они автоматически будут применены и для других, находящихся в ней папок. Как только скопируете все нужные файлы и папки в нее, переходите к следующему пункту
  • Щелкаем по папке правым кликом из из меню выбираем "Свойства"

защита от шифровальщиков средствами windows

  • Переходим на вкладку "Безопасность" и нажимаем кнопку "Изменить"

защита от вируса шифровальщика windows

  • Пробуем удалить группы доступа, если получаете окно с предупреждением, что "Невозможно удалить группу, так как этот объект наследует разрешения от своего родителя", то закрываем его.

как защититься от шифровальщиков файлов

  • Нажимаем кнопку "Дополнительно". В открывшемся пункте, нажмите "отключить наследования"

Как защититься от шифровальщиков-2

  • На вопрос "Что вы хотите сделать с текущим унаследованными разрешениями" выберите "Удалить все унаследованные разрешения из этого объекта"

Отключаем наследование у папки для защиты от шифровальщика

защита от шифровальщиков-2

  • Сохраняем изменения. Обратите внимание, что теперь только владелец папки может изменять разрешения.

как бороться с шифровальщиками

  • Теперь на вкладке "Безопасность" нажмите "Изменить"

защита от вируса шифровальщика

как защитить компьютер от вируса шифровальщика-2

  • Нам необходимо добавить группу "Все", для этого нажмите "Поиск" и выберите нужную группу.

как защитить компьютер от вируса шифровальщика-3

  • Для защиты Windows от шифровальщика, у вас для группы "Все" должны быть выставлены права, как на картинке.

windows 10 защита от шифровальщиков

  • Все теперь никакой вирус шифратор вам для ваших файлов в данной директории не грозит.

windows 10 защита от шифровальщиков-2

Я надеюсь, что Microsoft и другие антивирусные решения смогут улучшить свои продукты и защитят компьютеры от шифровальщиков, до их вредоносной работы, но пока этого не произошло, соблюдайте те правила, что я вам описал и делайте всегда резервные копии важных данных.

Читайте также: