Как узнать, какая программа-вымогатель зашифровала файлы

Обновлено: 24.11.2024

Вторым наиболее распространенным типом инцидентов с вредоносным ПО является печально известная атака программ-вымогателей. Согласно отчету Verizon 2020 Data Breach Investigations, основная цель атаки программ-вымогателей — «достаточно сильно и надолго нарушить работу, чтобы организация заплатила выкуп». Средний размер выкупа во втором квартале 2020 года составил колоссальные 178 254 доллара США, что на 60 % больше, чем в первом квартале.

В этой статье объясняется, что такое программы-вымогатели, почему программы-вымогатели представляют собой уникально сложную угрозу кибербезопасности и как компании могут предотвращать, обнаруживать и реагировать на заражение программами-вымогателями:

Программы-вымогатели – это тип вредоносных программ, которые ограничивают доступ целевого пользователя к системам или данным до тех пор, пока злоумышленнику не будет выплачен выкуп. Хакеры обычно шифруют данные жертвы и скрывают ключ дешифрования до тех пор, пока не будет выплачен выкуп.

Хотя злоумышленники иногда угрожают уничтожить или опубликовать конфиденциальные данные, наиболее острой проблемой для организаций обычно является непрерывность бизнеса: поскольку данные в скомпрометированной системе зашифрованы, они недоступны для пользователей и программных приложений, поэтому бизнес-процессы останавливаются. .

Проблема обнаружения программ-вымогателей

Атаки программы-вымогателя трудно обнаружить достаточно быстро, чтобы предотвратить ущерб. Киберпреступники используют хитрые методы социальной инженерии для установки программ-вымогателей и алгоритмов шифрования военного уровня для шифрования конфиденциальных данных. Как только компьютер или другое конечное устройство заражено, программы-вымогатели могут распространяться по сети и выполняться очень быстро, что делает практически невозможным своевременный ответ. Часто целевая организация узнает о заражении только тогда, когда программа-вымогатель зашифровала ее данные и сообщила о своем присутствии организации, чтобы потребовать оплаты.

Наиболее распространенные способы заражения программами-вымогателями

  • Спам и фишинговые электронные письма. Авторы программ-вымогателей часто выдают себя за законных пользователей, чтобы заставить других загружать вредоносные программы. Убедитесь, что у вас есть надежная система защиты электронной почты, которая проверяет, кто отправил сообщения, и проверяет вложения электронной почты.
  • Вредоносные веб-сайты. На некоторых веб-сайтах размещаются вредоносные программы и средства фишинга для получения конфиденциальной информации, например учетных данных для входа. Этот метод часто требует взаимодействия с пользователем, например нажатия на поддельные объявления или ссылки в социальных сетях и ввода информации в поддельные поля входа, поэтому убедитесь, что политики просмотра в компании настроены на безопасный просмотр.
  • Зараженные съемные диски. USB-накопители могут содержать вредоносное ПО, которое автоматически устанавливается при подключении диска к компьютеру. Убедитесь, что компьютеры запускают проверку безопасности съемных дисков и отключают функцию автозапуска.
  • Вредоносные приложения и подключаемые модули. Авторы вредоносных программ часто связывают свои вирусы с программным обеспечением, распространяемым через сторонние веб-сайты. Убедитесь, что вы внимательно читаете то, что устанавливаете, и загружаете программное обеспечение только с официальных сайтов. Кроме того, убедитесь, что у обычных пользователей нет разрешений на загрузку и установку программного обеспечения на свои компьютеры.

В 2020 году также увеличилось количество вторжений протокола удаленного рабочего стола, которые не требуют ввода данных пользователем и которые особенно сложно обнаружить.

Распространенные источники программ-вымогателей

Типы программ-вымогателей

  • Программа-вымогатель Locker. Этот тип вредоносного ПО ограничивает доступ к зараженным. Возможно, это самый опасный тип программы-вымогателя. Это вредоносное ПО ограничивает доступ к хранимым данным и файлам. Он шифрует данные пользователя и требует выкуп в обмен на ключ дешифрования. Однако уплата выкупа не гарантирует получение ключа.
  • Мобильные программы-вымогатели. Этот тип вредоносного ПО распространяется с мобильного устройства на компьютер и обычно отображает сообщение о том, что устройство заблокировано из-за какой-либо незаконной деятельности.

Некоторые признаки атаки программы-вымогателя включают:

  • Аномальная активность файловой системы, например сотни неудачных модификаций файлов (из-за попытки программы-вымогателя получить доступ к этим файлам)
  • Увеличение нагрузки на ЦП и диск без видимой причины (из-за того, что программа-вымогатель ищет, шифрует и удаляет файлы данных)
  • Невозможность доступа к определенным файлам (в результате шифрования программой-вымогателем, удаления, переименования или перемещения данных)
  • Подозрительные сетевые подключения (вызванные взаимодействием программы-вымогателя с сервером управления и контроля злоумышленников)

Ни один бизнес не застрахован от угроз кибербезопасности, но есть несколько рекомендаций, которые снизят риск стать жертвой атаки вредоносного ПО и позволят выявлять атаки в процессе.

Обучите своих сотрудников

Предоставьте сотрудникам список действий, которые необходимо предпринять, если они столкнутся с подозрительным электронным письмом или ссылкой. Расскажите им о тревожных признаках вредоносных электронных писем, таких как:

  • Корпоративные учетные записи электронной почты
  • Подозрительные вложенные файлы
  • Подозрительные ссылки на внешние URL

Контролируйте свои системы

Контролируйте свои системы на наличие признаков подозрительной активности:

  • Сканировать файловые системы на наличие нетипичных действий, таких как. сотни неудачных модификаций файлов.
  • Записывать весь входящий и исходящий трафик.
  • Определите базовый уровень нормальной активности пользователей и активно ищите отклонения.
  • Незамедлительно расследуйте любые необычные действия.

Создать приманки

Приманки — это приманки — поддельные хранилища файлов, которые выглядят как настоящие хранилища. Хакеры нацелятся на приманки, что позволит вам их обнаружить. Раннее обнаружение помогает безопасно удалить вредоносное ПО и защищает вашу инфраструктуру от компрометации. Защита от программ-вымогателей FSRM — отличный пример использования приманки.

Используйте программные решения

Используйте программное обеспечение для внесения в белый список с инструментами защиты от вирусов и программ-вымогателей, которые предупредят вас об угрозах.

Проверить содержимое электронной почты

Проверять и систематически фильтровать спам или подозрительное содержимое электронной почты:

  • Настройте параметры электронной почты для автоматической фильтрации входящей почты и предотвращения попадания подозрительных сообщений в папку "Входящие" пользователя.
  • Запретить файлы с определенными расширениями в почтовых вложениях, например исполняемые файлы.

Заключение

Программы-вымогатели — это чрезвычайно сложная форма вредоносного ПО для обнаружения и защиты от него. Но, приняв необходимые меры предосторожности, такие как информирование сотрудников о распространенных тревожных признаках и уязвимостях, создание процессов и систем для профилактического мониторинга, а также установку программного обеспечения и инструментов для защиты от программ-вымогателей, организации могут эффективно защитить свои системы и свои конфиденциальные данные.

Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.

Загрузите записку о выкупе и 1 зашифрованный файл для идентификации шифровальщика-вымогателя.

Загрузить файлы

Какие вымогатели идентифицируются?

Наш сервис идентифицирует 1060 вымогателя(ей). Вот заполняемый список того, что уже принято:

Можно ли расшифровать мои данные?

Нет. Данный сервис используется только для определения вымогателя, зашифровавшего файлы. Мы хотим указать правильное направление, чтобы вы знали, есть ли способ расшифровки файлов. Способ восстановления может и не быть, т.к. каждый случай индивидуальный.

Это конфиденциально?

Все загружаемые файлы сразу анализируются по базе данных. Если есть результат, они удаляются полностью. Если нет результата, то файлы передаются доверенным аналитикам, чтобы помочь с будущим детектом и идентификацией нового вымогателя.

Данные передаются на сервер через SSL, т.е. третья сторона не перехватит соединение.

Поэтому я не гарантирую 100% конфиденциальность файла. Данные временно обнаружены на общем хостинге, и я не отвечаю за то, что может быть с ними сделано.

Электронная почта и BitCoin-адрес загруженных в ID файлов программ-вымогателей, предоставляемых доверенным аналитикам или органом правопорядка. Никакие личные данные не сохраняются.

Почему у меня разные результаты?

Многие вымогатели имеют распространенные "признаки", например, могут совпадать присваемое расширение. Это обязательно идентификация и иногда не дает 100% точности. Результаты отсортированы попарно, чтобы точнее определить вымогателей.

Можно ли загрузить образец вредоноса или подозрительный файл?

Нет. Этот сервис только для загрузки записок о выкупе и зашифрованных файлов для определения вымогателя. Для анализа файлов отпишите их на VirusTotal или HybridAnalysis.

Могу ли я сделать пожертвование?

ID Вымогателей всегда будет стандартной услугой для всех. Сейчас это личный проект, который я создал, чтобы помочь жертвам найти достоверную информацию по вымогателям, инфицировавшим их систему. Кроме прямого развития и подписки на сам сайт — это плод большого опыта.

Я не прошу свои деньги за услуги. И очень желательно, чтобы вы инвестировали в резервное место, чтобы не стать жертвой в будущем — вымогатели неединственная причина потери данных! Есть облачные сервисы, предлагающие превентивные акции против атак вымогателей, в том числе других опасностей.

Хотя, если я или сайт вам помогли, и вы хотите отблагодарить, не стесняйтесь бросить 1-2 доллара за помощь с расходами на хостинг.

По данным ФБР, программы-вымогатели – вид вредоносного ПО, при котором файлы и папки блокируются злоумышленниками и не выпускаются до тех пор, пока не будет выплачен выкуп, – вызывает все большую озабоченность.Это, в сочетании с новыми предупреждениями о массовом доступе с помощью FileAudit, вызвало множество вопросов как у клиентов, так и у потенциальных клиентов о том, как обнаруживать эти атаки с помощью FileAudit.

Учитывая всплеск интереса, я хотел ответить на некоторые из этих вопросов.

FileAudit играет важную роль в защите сети от таких атак, поэтому ниже представлен обзор передового опыта использования, а также практическое тестовое шифрование, включая результаты. Поэтому, если вы хотите использовать FileAudit для защиты от программ-вымогателей, читайте дальше!

Как работает шифрование программ-вымогателей?

Давайте начнем с объяснения того, как именно работает программа-вымогатель.

Шифрующая программа-вымогатель обычно приходит через вложение электронной почты, которое открывает жертва — невольный сотрудник компании. Затем через эксплойт или брешь в системе безопасности запускается вредоносный код, который позволяет загрузить и установить программу на компьютер жертвы.

Затем программа свяжется с удаленным сервером, принадлежащим злоумышленникам, где будет сгенерирована пара ключей асимметричного шифрования. Закрытый ключ хранится на сервере злоумышленника, а открытый ключ хранится на компьютере жертвы. Затем программа может начать шифрование всех документов, к которым у пользователя есть доступ, путем создания случайного симметричного ключа шифрования для каждого файла, шифрования файла с помощью этого ключа и добавления в конец файла ключа шифрования, зашифрованного с помощью открытого асимметричного ключа.

Это сделано потому, что шифрование данных напрямую асимметричным ключом в 1000 раз медленнее, чем симметричным ключом, но в обоих случаях результат одинаков. Без закрытого ключа невозможно расшифровать файлы.

Это означает, что если у жертвы нет резервной копии всех зашифрованных файлов, злоумышленник сможет заставить ее заплатить выкуп, чтобы получить закрытый ключ.

Эшелонированная защита

Итак, как мы можем защититься от такой угрозы? Существует ряд практических мер:

  1. Очевидно, что вы должны научить своих пользователей не открывать странные вложения электронной почты!
  2. Вы можете запретить файлы с определенными расширениями в почтовых вложениях (например, исполняемые файлы, типы файлов, которые не нужны в вашем бизнесе).
  3. Вы должны убедиться, что программы, которым разрешено открывать вложения, обновлены. при использовании последних версий Microsoft Word или Acrobat Reader.
  4. Обычные пользователи должны быть лишены возможности запускать программы из мест, куда им разрешено писать (например, из их папок с документами). Они должны иметь возможность запускать только программы, утвержденные администратором. В Windows это можно реализовать с помощью AppLocker.
  5. Учетная запись администратора никогда не должна использоваться для выполнения основных пользовательских задач, таких как чтение электронной почты, работа в Интернете или выполнение обычной офисной работы.
  6. Пользователи должны иметь возможность изменять только файлы, необходимые для выполнения их работы. Файлы, которые им не нужно изменять, должны иметь доступ только для чтения.
  7. На вашем почтовом сервере и на рабочих станциях должно быть установлено актуальное антивирусное программное обеспечение для обнаружения инфекций и защиты от них.
  8. У вас должен быть способ обнаружения массивного шифрования файлов на ваших файловых серверах. Чем раньше вы обнаружите атаку, тем быстрее вы сможете ее остановить, что означает меньше потерь данных и меньше работы по устранению беспорядка! В этом вам может помочь FileAudit при настройке массовых оповещений.
  9. У вас должна быть резервная копия всех ваших файлов в надежном месте.

AppLocker — это отличная линия защиты, поскольку большинство вредоносных программ не смогут заразить компьютер, если пользователю разрешено только запускать программы, а не записывать их из определенных папок, таких как «c:\Program files» и «c:\Windows».

Однако сложность заключается в том, что все больше и больше облачных приложений запускаются из профиля пользователя, чтобы иметь возможность автоматически обновляться. Таким образом, администратору может потребоваться обрабатывать множество исключений в правилах AppLocker, в зависимости от того, какие приложения разрешены пользователям. Вторая трудность заключается в том, что AppLocker доступен только в редакциях Windows Enterprise и Ultimate.

Как настроить FileAudit для обнаружения массового шифрования

Итак, теперь, когда у нас есть хорошее представление о том, как FileAudit может сыграть роль в нашей защите, как нам его настроить?

Если программа-вымогатель шифрует файлы в папке или общем ресурсе, проверенном FileAudit, это приведет к большому количеству событий доступа в FileAudit, и мы можем использовать оповещения о массовом доступе, чтобы обнаружить это.

Но какие виды доступа к файлам возникают при шифровании файла? Во-первых, содержимое файла необходимо прочитать, чтобы загрузить его в память. Затем данные шифруются в памяти, зашифрованные данные записываются в новый файл и, наконец, исходный файл удаляется.

В результате в FileAudit мы должны увидеть три последовательные файловые операции: чтение, запись и удаление.Таким образом, чтобы обнаружить массовую шифровальную атаку на файловый сервер, мы должны установить три массовых оповещения: одно для массового чтения, одно для массовой записи и одно для массового удаления. Если мы получим три оповещения одновременно, мы, скорее всего, столкнемся с шифровальной атакой.

Чтобы проверить это, я разработал небольшой инструмент для шифрования всех файлов в определенной папке.

Этот инструмент позволяет создать дерево папок с большим количеством файлов. Все имена файлов в папке будут соответствовать шаблону EncryptMe*.*, чтобы избежать ошибок позже, когда я запущу задачу шифрования. Файлы, не соответствующие шаблону, не будут зашифрованы. В папке около 8000 файлов.

После создания дерева папок нам нужно настроить папку для аудита в FileAudit.

Затем мы можем создать три массовых оповещения в FileAudit, отфильтрованных по Типу доступа соответственно Чтение, Запись и Удалить.

Пока мы сохраняем пороговые значения по умолчанию. Позже мы увидим, нужно ли нам их настроить.

В предупреждениях, добавленных к отслеживаемым путям FileAudit, мы указываем звездочку (*), чтобы отслеживать все проверенные пути.

По завершении мы сохраняем оповещение и проверяем правильность настройки SMTP в настройках FileAudit.

Примечание. Вы также можете настроить «предупреждение об однократном доступе» для расширений файлов, которые могут быть созданы программами-вымогателями, например .cryptlocker. На снимке экрана ниже показан список распространенных расширений программ-вымогателей.

Запуск имитации программы-вымогателя

Теперь в FileAudit все готово. Открываем сеанс на рабочей станции с учетной записью Bob, запускаем инструмент шифрования и указываем ранее созданную папку с UNC-путем. Затем нажимаем кнопку Зашифровать.

Сразу проверяем корневую папку и видим, что расширения файлов были изменены, и что если мы попытаемся отобразить содержимое файла, то будут только случайные данные.

Затем мы проверяем почтовый ящик администратора и видим три предупреждения, как и ожидалось. Но мы также получаем последовательные оповещения каждую минуту, потому что шифрование заняло больше времени, чем период задержки (в данном случае более одной минуты).

В средстве просмотра доступа к файлам FileAudit мы видим подтверждение наших подозрений. Для каждого файла файл читается, новый файл записывается, а исходный файл удаляется.

Если мы посмотрим на статистику в FileAudit, пользователь, ответственный за массовое шифрование, находится в 5 лучших пользователей, а IP-адрес, с которого было выполнено шифрование, находится в 5 лучших источников.

Теперь, когда мы узнали, как обнаружить атаку, давайте посмотрим, как ее остановить. С выпуском FileAudit 6 вы теперь можете реагировать на атаки, чтобы избежать значительного ущерба, используя сценарий, который можно создавать и выполнять каждый раз, когда инициируется определенное предупреждение.

В этом случае вы можете выполнить сценарий для автоматического выхода пользователя из системы при срабатывании трех предупреждений о чтении, записи и удалении. Таким образом, вы немедленно остановите атаку, а не только тогда, когда вмешается ИТ-отдел.

Поэтому мы возвращаемся к настройке наших предупреждений. Для каждого оповещения на вкладке выполнения мы настраиваем скрипт для обнаружения трех оповещений следующим образом:

Подробнее, поле аргумента(ов):

Для всех трех предупреждений должен быть настроен один и тот же сценарий.

Примечание 1. Чтобы загрузить сценарий, нажмите здесь.

Примечание 2. Учетная запись пользователя, которая запускает сценарий, должна быть учетной записью администратора домена, поскольку сценарий закрывает сеанс пользователя, вызвавший оповещения (это учетная запись, в которой запущен процесс программы-вымогателя).

Реалистична ли имитация программ-вымогателей?

Тест прошел успешно, но была ли эта симуляция похожа на реальную атаку шифровальщика-вымогателя?

Например, при среднем размере файла 200 КБ, если я зашифрую папку с 7810 файлами до общего размера 1,6 ГБ с помощью инструмента моделирования, это займет 40 секунд. Это соответствует скорости шифрования 40 МБ/с или 200 файлов в секунду (или 12 000 файлов в минуту). Это говорит о том, что наш инструмент эмулирует скорость шифрования, аналогичную реальной программе-вымогателю.

Кроме того, известно, что программы-вымогатели используют 256-битное шифрование AES для шифрования файлов, как и наш инструмент моделирования. Так что нет никакой причины, по которой мы должны получить разницу в скорости.

Пороговое значение по умолчанию в FileAudit, равное 100 обращениям в минуту, вызовет оповещение. Конечно, средний размер файла может отличаться, что влияет на скорость изменения файлов в минуту, но известно, что программы-вымогатели шифруют только первый МБ больших файлов. Поскольку порог в 100 раз меньше, чем мы можем ожидать во время атаки, есть запас, чтобы справиться с этим.

Есть также небольшая деталь, которую следует упомянуть об инструменте моделирования. Зашифрованные файлы создаются с тем же именем, но с добавлением расширения .crypt. Это особенность нашей симуляции. Шифрование программ-вымогателей может иметь другое поведение. Расширение нового файла может быть другим, а иногда зашифрованы и имена зашифрованных файлов. Это очень затрудняет поиск определенного файла среди всех зашифрованных файлов. В любом случае это не влияет на обнаружение FileAudit.

И наконец, в моделировании шифрование происходило в одной папке, проверенной FileAudit. Но в реальной жизни вам нужно будет настроить аудит для всех папок, совместно используемых вашими файловыми серверами, потому что шифрование файлов, не проверенных FileAudit, останется незамеченным.

Заключение

Теперь вы знаете, как обнаруживать и останавливать программы-шифровальщики в вашей сети с помощью FileAudit!

Однако, как и во многих других сферах информационной безопасности, не следует полагаться на одну линию защиты. Глубина обороны является неотъемлемой частью сильной стратегии защиты, и ваша главная линия защиты всегда должна быть резервной. FileAudit может обнаружить атаку только после начала шифрования. Поэтому, даже если вы сможете быстро остановить программу-вымогатель, у вас всегда будут файлы для восстановления.

Заражение программами-вымогателями означает, что ваши данные были зашифрованы или ваша операционная система заблокирована киберпреступниками. Эти преступники обычно требуют выкуп в обмен на расшифровку данных. Программа-вымогатель может проникнуть на устройство разными способами. Наиболее распространенные пути включают заражение с вредоносных веб-сайтов, нежелательных надстроек в загрузках и спама. Целями атак программ-вымогателей являются как частные лица, так и компании. Для защиты от атак программ-вымогателей могут быть приняты различные меры, при этом бдительный взгляд и правильное программное обеспечение являются важными шагами в правильном направлении. Атака программ-вымогателей означает либо потерю данных, либо трату крупных сумм денег, либо и то, и другое.

Обнаружение программ-вымогателей

Как узнать, заражен ли ваш компьютер? Вот несколько способов обнаружить атаку программы-вымогателя:

  • Антивирусный сканер подает сигнал тревоги. Если на устройстве есть антивирусный сканер, он может обнаружить заражение программами-вымогателями на ранней стадии, если его не удалось обойти.
  • Проверьте расширение файла. Например, нормальное расширение файла изображения — «.jpg». Если это расширение изменилось на незнакомую комбинацию букв, это может означать заражение программой-вымогателем.
  • Изменение имени. Имеют ли файлы имена, отличные от тех, которые вы им дали? Вредоносная программа часто меняет имя файла при шифровании данных. Следовательно, это может быть подсказкой.
  • Увеличенная активность ЦП и диска. Повышенная активность диска или основного процессора может указывать на то, что программа-вымогатель работает в фоновом режиме.
  • Подозрительная сетевая связь: программное обеспечение, взаимодействующее с киберпреступником или сервером злоумышленника, может привести к подозрительной сетевой связи.
  • Зашифрованные файлы. Поздним признаком активности программ-вымогателей является невозможность открытия файлов.

Наконец, окно с требованием выкупа подтверждает наличие заражения программой-вымогателем. Чем раньше обнаружена угроза, тем проще бороться с вредоносным ПО. Раннее обнаружение заражения трояном-шифровальщиком может помочь определить, какой тип программы-вымогателя заразил конечное устройство. Многие троянцы-вымогатели удаляют себя после выполнения шифрования, чтобы их нельзя было проверить и расшифровать.

Произошло заражение программой-вымогателем. Что делать?

Программы-вымогатели обычно делятся на два типа: программы-вымогатели для шкафчиков и программы-вымогатели-шифровальщики. Вирус-вымогатель шкафчика блокирует весь экран, а крипто-вымогатель шифрует отдельные файлы. Независимо от типа криптотроянца у жертв обычно есть три варианта действий:

  1. Они могут заплатить выкуп и надеяться, что киберпреступники сдержат свое слово и расшифруют данные.
  2. Они могут попытаться удалить вредоносное ПО с помощью доступных инструментов.
  3. Они могут сбросить компьютер до заводских настроек.

Удаление троянов-шифровальщиков и расшифровка данных — как это делается

Существенное влияние на борьбу с вирусом оказывают как тип программы-вымогателя, так и стадия, на которой обнаруживается заражение программой-вымогателем. Удаление вредоносного ПО и восстановление файлов возможно не для каждого варианта программы-вымогателя. Вот три способа борьбы с инфекцией.

Обнаружение программ-вымогателей – чем раньше, тем лучше!

Если программа-вымогатель обнаружена до того, как будет затребован выкуп, вы можете удалить вредоносную программу. Данные, которые были зашифрованы до этого момента, остаются зашифрованными, но вирус-вымогатель можно остановить. Раннее обнаружение означает, что можно предотвратить распространение вредоносного ПО на другие устройства и файлы.

Если вы создадите резервную копию своих данных извне или в облачном хранилище, вы сможете восстановить зашифрованные данные. Но что делать, если у вас нет резервной копии ваших данных? Мы рекомендуем вам иметь надежное решение для обеспечения безопасности в Интернете. Возможно, уже существует инструмент для расшифровки программ-вымогателей, жертвой которых вы стали. Вы также можете посетить сайт проекта No More Ransom. Эта отраслевая инициатива была запущена, чтобы помочь всем жертвам программ-вымогателей.

Инструкции по удалению программы-вымогателя с шифрованием файлов

Если вы стали жертвой атаки программы-вымогателя с шифрованием файлов, выполните следующие действия, чтобы удалить трояна-шифровальщика.

Шаг 1. Отключитесь от Интернета

Во-первых, удалите все подключения, как виртуальные, так и физические. К ним относятся беспроводные и проводные устройства, внешние жесткие диски, любые носители информации и облачные учетные записи. Это может предотвратить распространение программ-вымогателей в сети. Если вы подозреваете, что другие области были затронуты, выполните следующие шаги резервного копирования и для этих областей.

Шаг 2. Проведите расследование с помощью программного обеспечения для обеспечения безопасности в Интернете

Выполните сканирование на наличие вирусов с помощью установленного вами программного обеспечения для обеспечения безопасности в Интернете. Это поможет вам идентифицировать угрозы. При обнаружении опасных файлов их можно либо удалить, либо поместить в карантин. Вы можете удалить вредоносные файлы вручную или автоматически с помощью антивирусного программного обеспечения. Удаление вредоносных программ вручную рекомендуется только для пользователей, разбирающихся в компьютерах.

Шаг 3. Используйте инструмент для расшифровки программ-вымогателей

Если ваш компьютер заражен программой-вымогателем, которая шифрует ваши данные, для восстановления доступа вам потребуется соответствующий инструмент дешифрования. В «Лаборатории Касперского» мы постоянно изучаем новейшие типы программ-вымогателей, чтобы предоставить подходящие инструменты дешифрования для противодействия этим атакам.

Шаг 4. Восстановите резервную копию

Если вы создали резервную копию своих данных извне или в облачном хранилище, создайте резервную копию своих данных, которая еще не была зашифрована программой-вымогателем. Если у вас нет резервных копий, очистка и восстановление компьютера будет намного сложнее. Чтобы избежать такой ситуации, рекомендуется регулярно создавать резервные копии.Если вы часто забываете о таких вещах, используйте службы автоматического облачного резервного копирования или установите напоминания в календаре.

Как удалить программу-вымогатель, блокирующую экран

В случае программы-вымогателя, блокирующей экран, жертва сначала сталкивается с проблемой фактического доступа к защитному программному обеспечению. При запуске компьютера в безопасном режиме есть вероятность, что действие блокировки экрана не загрузится, и жертва сможет использовать свою антивирусную программу для борьбы с вредоносным ПО.

Платить выкуп – да или нет?

Платить выкуп обычно не рекомендуется. Как и в случае политики отказа от переговоров в реальной ситуации захвата заложников, аналогичный подход следует применять при захвате данных. Платить выкуп не рекомендуется, поскольку нет никакой гарантии, что вымогатели действительно выполнят свое обещание и расшифруют данные. Кроме того, оплата может способствовать расцвету этого вида преступлений. .

Если вы планируете заплатить выкуп, вам не следует удалять программу-вымогатель со своего компьютера. На самом деле, в зависимости от типа программы-вымогателя или плана киберпреступника в отношении дешифрования, программа-вымогатель может быть единственным способом применить код дешифрования. Преждевременное удаление программного обеспечения сделало бы код дешифрования, купленный за большие деньги, непригодным для использования. Но если вы действительно получили код дешифрования и он работает, вы должны удалить программу-вымогатель с устройства сразу после расшифровки данных.

Существует множество различных типов программ-вымогателей, некоторые из которых можно удалить всего за несколько кликов. Однако, напротив, существуют также широко распространенные варианты вируса, удаление которых значительно сложнее и требует больше времени.

В зависимости от типа программы-вымогателя существуют различные способы удаления и расшифровки зараженных файлов. Не существует универсально применимого инструмента дешифрования, который работал бы для всех многочисленных вариантов программ-вымогателей.

  • Вирус какого типа заразил устройство?
  • Есть ли подходящая программа для расшифровки и если да, то какая?
  • Как вирус попал в систему?

Рюк мог войти в систему, например, через Emotet, что подразумевает разницу в способе решения проблемы. Если это заражение Petya, безопасный режим — хороший способ удалить его. Подробнее о различных вариантах программ-вымогателей можно узнать здесь.

Заключение

Даже при соблюдении максимальных мер безопасности нельзя с полной уверенностью исключить атаку программы-вымогателя. В худшем случае отличное программное обеспечение для обеспечения безопасности в Интернете, например, от Kaspersky, хорошая подготовка и осторожные действия могут помочь смягчить последствия атаки. Помня о предупредительных признаках атаки программы-вымогателя, вы можете обнаружить заражение и бороться с ним на ранней стадии. Однако, даже если требуется выкуп, у вас есть различные варианты и вы можете выбрать правильный в зависимости от вашей конкретной ситуации. Помните, что регулярное резервное копирование данных значительно уменьшит последствия атаки.

Статьи по теме:

Удаление программ-вымогателей | Расшифровка данных – как убить вирус

Обнаружение троянских программ-шифровальщиков, удаление программ-вымогателей с вашего компьютера и расшифровка ваших данных. Вот как это сделать.

Читайте также: