Спасет ли касперский от вируса вымогателя
Вирусы ransomware: как предупредить угрозу, устранить последствия и бороться с шифровальщиками
Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.
На самом деле это основной вопрос. Например, в своем выступлении начальник ФБР порекомендовал платить (http://uk.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10). Поможет ли это? Думаю, нет. Потому что никто не даст вам гарантий, что даже после этого вы сможете получить свои данные в целости и сохранности. Кроме того, ущерб не ограничивается одной только суммой выкупа: пока вы разбираетесь со злоумышленником, ключевые процессы бизнеса простаивают, и вы теряете средства и клиентов. Общие рекомендации будут выглядеть стандартно:
По мере развития методов вымогательства совершенствуются и технологии противодействия им. На сегодня фактически это многоступенчатая защита, причем антивирусные продукты — всего лишь одна, хоть и огромная ее часть.
Необновленные приложения довольно часто имеют уязвимые места, через которые на устройство могут проникнуть вредоносные программы. Львиную долю подобных уязвимых приложений составляют широко распространенные программы — веб-браузеры и пакеты офисных программ. Так, в первом полугодии 2016 года на эти приложения в совокупности приходилось более 80% уязвимостей.
Риск, исходящий от программ, устанавливаемых без ведома пользователя, крайне высок. Во-первых, они пополняют число неиспользуемых и необновляемых приложений и таким образом способствуют увеличению числа уязвимостей на устройстве. А во-вторых, никто не может гарантировать, что эти программы не являются вредоносными.
Если же вы решитесь обновлять программное обеспечение с помощью сторонних средств, обратите внимание на Personal Software Inspector от компании Secunia. Это бесплатное программное обеспечение, с помощью которого вы сможете обновлять сторонние приложения.
Другая проблема — удаление неиспользуемого программного обеспечения. Надеюсь, в вашей организации существует утвержденный список применяемых программ? Если нет, то давно пора бы его составить. Однако следует понимать, что создавать такой список вручную долго, дорого и никому не нужно. Как быть? Стоит воспользоваться функцией аудита программного обеспечения, также реализованной в корпоративных версиях некоторых продуктов.
- Квалификация уязвимостей (Patchmanagement).
- Противодействие заражению:
— контроль запуска приложений;
— запуск приложений в безопасной среде;
— автоматическая защита от эксплойтов (AEP).
- Анализ функционирования приложений:
— контроль активности программ;
— откат вредоносных действий.
Но все же наилучшим способом защиты, а главное, беспроигрышным, является проведение регулярного резервного копирования, причем здесь важно не забывать и о мобильных устройствах, в особенности о смартфонах под управлением Android.
О пользе резервного копирования написано уже столько статей, что в них можно утонуть. И тем не менее, если уж не удалось предотвратить заражение, спасти ваши данные, а вместе с ними и бизнес, поможет именно восстановление из резервной копии. Настоятельно рекомендую вам регулярно выполнять резервное копирование своих систем и данных. Какое решение выберете вы, я не знаю. Но оно должно позволить вашей компании:
О резервном копировании для персональных пользователей также написано огромное количество статей. Что можно предложить? Для пользователей Windows проще всего задействовать встроенное решение от Microsoft, тем более что резервная копия настраивается буквально парой щелчков мыши (см. экраны 1 и 2).
.jpg) |
| Экран 1. Создание резервной копии в Windows 10 |
.jpg) |
| Экран 2. Настройка резервного копирования |
В случае использования резервного копирования от Microsoft вам будет предложено создать образ системного диска и настроить резервное копирование данных по вашему выбору или применить стандартные параметры. Но недостаток такого решения в том, что настраивать придется несколько решений: одно для компьютера, второе для смартфона, третье для планшета… Увы, потребуется масса времени.
Другой вариант настройки резервной копии используется в продуктах сторонних разработчиков, в качестве примера расскажу, как это делается в Kaspersky Total Security (см. экран 3).
.jpg) |
| Экран 3. Резервное копирование и восстановление в Kaspersky Total Security |
В ходе создания резервной копии вам будет предложено либо самому выбрать, что именно вы хотите сохранить, либо использовать стандартные решения (см. экран 4).
.jpg) |
| Экран 4. Выбор файлов для резервного копирования |
.jpg) |
| Экран 5. Главное окно Acronis True Image |
В этом окне вы сможете выбрать данные, которые хотели бы копировать, или создать полную копию компьютера (см. экран 6).
.jpg) |
| Экран 6. Выбрать источник резервного копирования |
.jpg) |
| Экран 7. Панель мониторинга |
.jpg) |
| Экран 8. Создание резервной копии учетной записи Facebook |
Если же вы захотите создать резервную копию своего мобильного устройства, то вам придется предварительно загрузить соответствующее мобильное приложение (см. экран 9).
.jpg) |
| Экран 9. Резервная копия мобильного устройства |
Чтобы обезопасить себя от ransomware, можно сделать следующее:
Поделитесь материалом с коллегами и друзьями
Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги.
Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно.
Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний.
Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу.
После упаковки файлов вирус, как правило, выдает сообщение о шифровке файлов и рекомендациям по их дешифровки (имеется ввиду методы оплаты злоумышленнику). Так же может быть создан файл в корне диска С: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или на рабочем столе может возникнуть картинка (пиратов, террористов) с сообщением о шифровке файлов.
Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию.
Система (стенд) тестирования
Виртуальная машина: VirtualBox
ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit
Антивирусные продукты:
- Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN
- Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
- Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN
Вирусы:
- Письмо с шифровщиком AUSI.COM_XQ103, AUSI.COM_XQ108
- Файлы в чистом виде шифровщиков группы NONPARTISAN
- Файл в чистом виде шифровщика KRAKEN
- Файлы неизвестного происхождения, переданные для анализа на форум ЛК
После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние
Сразу оговорюсь перед началом о том, что никакой разницы в битности и версии windows не наблюдалось. Шифровщики прекрасно чувствовали себя и шифровали файлы как в WIN XP так и WIN764-bit. В связи с этим я не буду отвлекаться на уточнение версии системы .
Kaspersky Endpoint Security (KES) 8.1.0.1042
Антивирусные базы: май 2013 г.
Установка по умолчанию, без предварительных настроек, KSN включен.
Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN: 
Рисунок 1"Блокировка запуска вируса средствами KSN"
Запуск файлов группы AUSI.COM_XQ (103,108)
Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников.
Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку .
Рисунок 2"Письмо злоумышленников"
Рисунок 5"Реакция нового правила на запуск шифратора"
Как говорится, комментарии излишни, результат достигнут.
Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения.
PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным.
PSS: Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же.
Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
антивирусные базы: март 2012 г.
Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной.
Установка по умолчанию, без предварительных настроек + проактивная защита
Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их.
Результат на лицо, а точнее на экран! Как видите ниже сообщение на экране от злоумышленников, файлы-картинки на рабочем столе зашифрованы.
Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик"
Настраиваем Проактивную защиту. Часть первая
Запуск шифровщика
Результат двойственный. Сразу после запуска вируса, проактивная защита выдала нам сообщение о подозрительном файле и запросе действия над ним. Пока я думал как ответить на запрос произошло шифрование.
Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился"
Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности"
Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин.
PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго.
Kaspersky Internet Security 2013 и 2014
Дата выпуска баз: 15.10.2012 и 11.08.2013 соответственно
Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии.
Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них.
В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г. :
PSSSSS: и в дополнение
Основные направления по предотвращению заражений шифровальщиков:
1. Провести по работу по информированию пользователей организации(й).
Разъяснение и обучение пользователей по вопросам безопасности при работе в сети интернет и интернет-почте. Здесь основные направления должны быть по следующим вопросам:
- Не оставлять своих персональных данных на открытых ресурсах:
- Не загружать ничего со случайных сайтов:
- Не проходить по ссылкам в спамовых письмах:
- Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта
2. Создавать резервные копии наиболее важных данных.
Использование внешних накопителей и облачных хранилищ, создание резервных файловых серверов, отключенных от локальных сетей.
3. Есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в ОС Windows, начиная с Windows 2000. Имеет смысл попробовать отключить данную службу, может это остановит хотя бы некоторые из модификаций данного вируса.
4. Использовать Linux\Unix системы для хранения данных или как вторичные(резервные) файловые сервера. Вирусов-Шифровщиков для данных систем пока замечено не было.
5. Пользоваться Антивирусными программами и своевременно и регулярно производить обновление программного обеспечения. Использовать тонкие настройки антивирусных продуктов.
Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.
Содержание
Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его
Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.
Как защитить бизнес от ransomware
Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet [2] . Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.
Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.
Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.
1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.
Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.
RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.
3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.
Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.
4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.
5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?
6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.
Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.
7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.
8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.
9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.
10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.
Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.
11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.
Защита от целевых атак шифровальщиков
Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:
No More Ransom
Читайте также:
