Phenquestions
В этом руководстве по предотвращению и защите от программ-вымогателей рассматривается предотвращение программ-вымогателей и шаги, которые вы можете предпринять, чтобы заблокировать и предотвратить программы-вымогатели, новое вредоносное ПО, которое делает новости повсюду по неправильным причинам.
Снова и снова мы узнаем об угрозах и новых вариантах вредоносных программ, таких как Программы-вымогатели которые представляют опасность для пользователей компьютеров. Вирус-вымогатель блокирует доступ к файлу или вашему компьютеру и требует, чтобы создатель получил выкуп за восстановление доступа, что обычно разрешается с помощью анонимного предоплаченного денежного ваучера или биткойнов. Одна конкретная угроза вымогателей, которая в последнее время сумела привлечь внимание, - это Cryptolocker, помимо вымогателей ФБР, Crilock & Locker.
Особенность программы-вымогателя заключается в том, что она может поступать сама по себе (часто по электронной почте) или через бэкдор или загрузчик, предоставляемый в качестве дополнительного компонента. Ваш компьютер может быть заражен программой-вымогателем, если вы нажмете вредоносную ссылку в электронном письме, мгновенном сообщении, на сайте социальной сети или на взломанном веб-сайте - или если вы загрузите и откроете вредоносное вложение электронной почты. Более того, как и пресловутый вирус, он может оставаться незамеченным большинством антивирусных программ. И даже если ваше антивирусное программное обеспечение способно удалить программу-вымогатель, много раз вы останетесь с кучей заблокированных файлов и данных!
Как предотвратить программы-вымогатели
Хотя ситуация вызывает беспокойство и в большинстве случаев результат оказывается фатальным, если вы не соблюдаете правила автора вредоносной программы - поскольку зашифрованные файлы могут быть повреждены без возможности восстановления - вы можете принять определенные превентивные меры, чтобы не допустить возникновения проблемы. Вы можете предотвратить шифрование программ-вымогателей! Давайте посмотрим на некоторые из Действия по предотвращению программ-вымогателей ты можешь взять. Эти шаги могут помочь вам заблокировать и предотвратить программы-вымогатели.
Обновленная ОС и программное обеспечение безопасности
Само собой разумеется, что вы используете полностью обновленная современная операционная система как Windows 10/8/7, хорошее антивирусное программное обеспечение или Internet Security Suite и обновленный безопасный браузер, и обновленный почтовый клиент. Настройте свой почтовый клиент на блокировать .EXE файлы.
Авторы вредоносного ПО считают легкой мишенью пользователей компьютеров с устаревшими версиями ОС. Известно, что они обладают некоторыми уязвимостями, которые эти отъявленные преступники могут использовать, чтобы незаметно проникнуть в вашу систему. Так что исправьте или обновите свое программное обеспечение. Используйте надежный пакет безопасности. Всегда рекомендуется запускать программу, которая сочетает в себе как антивирусное программное обеспечение, так и программный брандмауэр, чтобы помочь вам выявлять угрозы или подозрительное поведение, поскольку авторы вредоносных программ часто рассылают новые варианты, чтобы попытаться избежать обнаружения. Возможно, вы захотите прочитать этот пост о трюках с программами-вымогателями и поведении браузеров.
Прочтите о защите от программ-вымогателей в Windows 10.
Сделайте резервную копию ваших данных
Вы, безусловно, можете минимизировать ущерб, причиненный в случае заражения вашего компьютера программой-вымогателем, взяв регулярное резервное копирование. Фактически, Microsoft сделала все возможное и заявила, что резервное копирование - лучшая защита от программ-вымогателей, включая Cryptolocker.
Никогда не переходите по неизвестным ссылкам и не загружайте вложения из неизвестных источников
Это важно. Электронная почта - это распространенный вектор, используемый программами-вымогателями для проникновения на ваш компьютер. Поэтому никогда не переходите по ссылке, которая может показаться вам подозрительной. Даже если у вас есть сомнения на 1% - не! То же самое и с вложениями. Вы, безусловно, можете загрузить вложения, которые ожидаете от друзей, родственников и знакомых, но будьте очень осторожны с пересылкой почты, которую вы можете получать даже от своих друзей. Небольшое правило, которое следует помнить в таких случаях: Если есть сомнения - НЕ! Обратите внимание на меры предосторожности при открытии вложений электронной почты или перед переходом по веб-ссылкам.
RansomSaver - очень полезная надстройка для Microsoft Outlook, которая обнаруживает и блокирует электронные письма, к которым прикреплены файлы вредоносных программ-вымогателей.
Показать скрытое расширение файла
Один файл, который служит маршрутом входа для Cryptolocker, - это файл с расширением «.PDF.EXE". Вредоносные программы любят маскировать свои .exe-файлы выглядят безобидно .pdf… doc или .txt файлы. Если вы включите эту функцию, чтобы увидеть полное расширение файла, будет проще обнаруживать подозрительные файлы и в первую очередь их устранять. Чтобы показать скрытые расширения файлов, сделайте следующее:
Откройте панель управления и найдите параметры папки. На вкладке "Просмотр" снимите флажок с параметра Скрыть расширения для известных типов файлов.
Нажмите Применить> ОК. Теперь, когда вы проверяете свои файлы, имена файлов всегда будут отображаться с их расширениями, например .док, .pdf, .txt и т. д. Это поможет вам увидеть настоящие расширения файлов.
Отключить файлы, запускаемые из папок AppData / LocalAppData
Попробуйте создать и применить правила в Windows или использовать какое-либо программное обеспечение для предотвращения вторжений, чтобы запретить определенное, заметное поведение, используемое несколькими программами-вымогателями, включая Cryptolocker, для запуска своего исполняемого файла из папок данных приложения или локальных данных приложения. Cryptolocker Prevention Kit - это инструмент, созданный Third Tier, который автоматизирует процесс создания групповой политики для отключения файлов, запускаемых из папок App Data и Local App Data, а также отключение запуска исполняемых файлов из каталога Temp различных утилит для распаковки.
Белый список приложений
Внесение приложений в белый список - это хорошая практика, которую применяют большинство ИТ-администраторов для предотвращения запуска в их системе неавторизованных исполняемых файлов или программ. Когда вы это сделаете, только программное обеспечение, которое вы добавили в белый список, будет разрешено запускать в вашей системе, в результате чего неизвестные исполнительные файлы, вредоносные программы или программы-вымогатели просто не смогут работать. Узнайте, как добавить программу в белый список.
Отключить SMB1
SMB или Server Message Block - это сетевой протокол обмена файлами, предназначенный для обмена файлами, принтерами и т. Д. Между компьютерами. Существует три версии - Server Message Block (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3). Рекомендуется отключить SMB1 из соображений безопасности.
Используйте AppLocker
Используйте встроенную функцию Windows AppLocker, чтобы запретить пользователям устанавливать или запускать приложения Магазина Windows и контролировать, какое программное обеспечение следует запускать. Вы можете настроить свое устройство соответствующим образом, чтобы снизить вероятность заражения вымогателем Cryptolocker.
Вы также можете использовать его для защиты от программ-вымогателей, заблокировав исполняемый файл, не подписанный, в таких местах, как вымогатели:
\ AppData \ Local \ Temp \ AppData \ Local \ Temp \ * \ AppData \ Local \ Temp \ * \ *
В этом посте рассказывается, как с помощью AppLocker создавать правила для исполняемого файла и заносить приложения в белый список.
Использование EMET
Набор инструментов Enhanced Mitigation Experience Toolkit защищает компьютеры с Windows от кибератак и неизвестных эксплойтов. Он обнаруживает и блокирует методы эксплуатации, которые обычно используются для эксплуатации уязвимостей, связанных с повреждением памяти. Он не позволяет эксплойтам сбрасывать троян, но если вы нажмете открыть файл, он не сможет помочь. ОБНОВИТЬ: Этот инструмент сейчас недоступен. Windows 10 Fall Creators Update будет включать EMET как часть Защитника Windows, поэтому пользователям этой ОС не нужно его использовать.
Защитить MBR
Защитите основную загрузочную запись вашего компьютера с помощью фильтра MBR.
Отключить протокол удаленного рабочего стола
Большинство программ-вымогателей, включая вредоносное ПО Cryptolocker, пытается получить доступ к целевым машинам через протокол удаленного рабочего стола (RDP), служебную программу Windows, которая разрешает удаленный доступ к вашему рабочему столу. Итак, если вы обнаружите, что RDP вам не нужен, отключите удаленный рабочий стол, чтобы защитить свой компьютер от File Coder и других эксплойтов RDP.
Отключить Windows Scripting Host
Семейства вредоносных программ и программ-вымогателей часто используют WSH для запуска .js или .jse файлы, чтобы заразить ваш компьютер. Если вы не используете эту функцию, вы можете отключить Windows Scripting Host, чтобы оставаться в безопасности.
Используйте средства предотвращения или удаления программ-вымогателей
Используйте хорошее бесплатное программное обеспечение для защиты от программ-вымогателей. BitDefender AntiRansomware и RansomFree - одни из хороших. Вы можете использовать RanSim Ransomware Simulator, чтобы проверить, достаточно ли защищен ваш компьютер.
Kaspersky WindowsUnlocker может быть полезен, если программа-вымогатель полностью блокирует доступ к вашему компьютеру или даже ограничивает доступ к некоторым важным функциям, поскольку она может очистить реестр, зараженный программой-вымогателем.
Если вы можете идентифицировать программу-вымогатель, это может немного упростить задачу, поскольку вы можете использовать инструменты дешифрования вымогателя, которые могут быть доступны для этой конкретной программы-вымогателя.
Вот список бесплатных инструментов дешифрования программ-вымогателей, которые могут помочь вам разблокировать файлы.
Немедленно отключитесь от Интернета
Если у вас возникли подозрения в отношении файла, немедленно прекратите его связь с C&C сервером до того, как он завершит шифрование ваших файлов. Для этого просто немедленно отключите себя от Интернета, Wi-Fi или своей сети, потому что процесс шифрования требует времени, поэтому, хотя вы не можете свести на нет эффект от программ-вымогателей, вы, безусловно, можете уменьшить ущерб.
Используйте Восстановление системы, чтобы вернуться к заведомо чистому состоянию
Если на вашем компьютере с Windows включено восстановление системы, что, как я настаиваю, у вас есть, попробуйте вернуть систему в известное чистое состояние. Это не надежный метод, однако в некоторых случаях он может помочь.
Установите часы BIOS обратно
Большинство программ-вымогателей, включая Cryptolocker или FBI Ransomware, предлагают крайний срок или временные рамки, в течение которых вы можете произвести платеж. В случае продления цена на ключ дешифрования может значительно вырасти, и - вы даже не сможете торговаться. Что вы можете хотя бы попробовать, так это «побить время», установив часы BIOS обратно на время до того, как истечет крайний срок. Единственное средство, когда все уловки не срабатывают, поскольку это может помешать вам заплатить более высокую цену. Большинство программ-вымогателей предлагают вам период от 3 до 8 дней и могут потребовать даже до 300 долларов США или более за ключ для разблокировки ваших заблокированных файлов данных.
Хотя большинство целевых групп программ-вымогателей находились в США и Великобритании, географических ограничений не существует. Это может затронуть кого угодно - и с каждым днем обнаруживается все больше и больше вредоносных программ-вымогателей. Поэтому примите некоторые меры, чтобы предотвратить попадание программ-вымогателей на ваш компьютер. В этом посте рассказывается немного больше об атаках программ-вымогателей и часто задаваемых вопросах.
Теперь прочтите: Что делать после атаки программ-вымогателей.
