На этот раз мы проверили, как справляются с троянами-шифровальщиками комплексные средства антивирусной защиты. Для этого была сделана подборка ransomware и даже написана отдельная программа, имитирующая действия неизвестного трояна-шифровальщика. Ее сигнатуры точно нет в базах ни одного участника сегодняшнего тестирования. Посмотрим, на что они способны!

WARNING

Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Все образцы получены из открытых источников и отправлены вирусным аналитикам.

Старые средства от новых угроз

Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату - юзер лишается возможности работать со своими файлами, пока не расшифрует их.

В последнее время появилось много специализированных утилит для защиты от троянов-шифровальщиков. Они либо пытаются выполнять несигнатурный анализ (то есть определять новые версии ransomware по их поведению, репутации файла и другим косвенным признакам), либо просто запрещают любым программам вносить изменения, необходимые для действий шифровальщиков.

В мы убедились, что такие утилиты практически бесполезны. Даже заданные в них максимально жесткие ограничения (при которых уже нельзя нормально работать) не обеспечивают надежный барьер от троянов-вымогателей. Часть заражений эти программы предотвращают, но этим лишь создают у пользователя ложное чувство защищенности. Он становится более беспечным и оказывается жертвой ransomware еще быстрее.

Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.

Получается, что для средств превентивной защиты не остается каких-то явных признаков, помогающих отличить очередного трояна-шифровальщика от легитимной программы. Если сигнатуры трояна нет в базах, шанс, что антивирус его обнаружит, очень мал. Эвристический модуль реагирует только на грубые модификации известных шифровальщиков, а поведенческий анализатор обычно не определяет какой-то подозрительной активности вовсе.

Бэкапы бэкапам рознь!

Сегодня тысячи компьютеров заражаются ransomware ежедневно и, как правило, руками самих же пользователей. Антивирусные компании принимают заявки на расшифровку файлов (у своих клиентов - бесплатно), однако и их аналитики не всесильны. Порой данных для успешной дешифровки удается собрать слишком мало или сам алгоритм трояна содержит ошибки, приводящие к невозможности восстановить файлы в исходном виде. Сейчас заявки на расшифровку обрабатываются от двух суток до полугода, и за это время многие из них просто теряют актуальность. Остается искать дополнительные средства защиты, не уповая на антивирусный сканер.

Долгое время универсальной защитой от любых вирусных атак были резервные копии. В случае заражения новой малварью можно было просто восстановить всё из бэкапа, перезаписав зашифрованные файлы их оригинальными версиями и отменив любые нежелательные изменения. Однако современные трояны-шифровальщики научились определять и портить резервные копии тоже. Если настроено их автоматическое создание, то хранилище бэкапов подключено и доступно на запись. Продвинутый троян сканирует все локальные, внешние и сетевые диски, определяет каталог с резервными копиями и шифрует их или удаляет с затиранием свободного места.

Делать же бэкапы вручную слишком утомительно и ненадежно. Ежедневно такую операцию выполнять сложно, а за более длительный срок накопится много актуальных данных, восстановить которые будет неоткуда. Как же быть?

Сегодня большинство разработчиков предлагает, помимо классических антивирусов, комплексные решения для обеспечения безопасности. Теперь, кроме файрвола, IDS и других хорошо знакомых компонентов, они содержат новый - защищенное хранилище резервных копий. В отличие от обычного каталога с бэкапами доступ к нему есть только у самого антивируса и контролируется его драйвером. Внешнее управление каталогом полностью отключено - даже администратор не может открыть или удалить его через файловый менеджер. Посмотрим, насколько хорош такой подход.

Методика тестирования

Для наших экспериментов мы сделали клоны виртуальной машины с чистой Windows 10 и последними наборами исправлений. В каждой из них был установлен свой антивирус. Сразу после обновления баз мы проверяли реакцию антивируса на тестовую подборку и нашу программу-имитатор. В тестовую подборку вошли 15 образцов. Из них 14 представляли собой различные модификации известных троянов-шифровальщиков, а пятнадцатый был трояном-даунлоадером, загружавшим очередного шифровальщика с удаленного сайта.

Все образцы имели расширение.tst независимо от реального формата файла. Специально написанная для этих тестов программа с незамысловатым названием EncryptFiles имитировала типичное поведение трояна-шифровальщика. При запуске с дефолтными параметрами она сразу шифровала содержимое файлов из каталога «Мои документы» безо всяких вопросов. Для наглядности мы сохранили в программе echo-сообщения и поместили в каталог с документами текущего пользователя пару текстовых файлов в кодировке OEM-866, чтобы сразу отображать их содержимое прямо в консоли. В одном файле были цитаты из произведений Стругацких (простой неформатированный текст), а в другом - параметры объективов в виде таблицы (форматированный текст).

После установки и обновления каждого антивируса образцы ransomware копировались в каталог «Загрузки» из сетевой папки, подключенной в режиме «Только чтение». Затем скопированные файлы дополнительно проверялись антивирусом (принудительная проверка по запросу) в настройках по умолчанию. Оставшимся после проверки образцам присваивалось их реальное расширение, после чего они запускались. Если заражения системы не происходило, далее следовала проверка реакции антивируса на программу-имитатор. В случае успешного шифрования файлов мы пытались восстановить их исходные версии средствами антивируса и протоколировали результат.

Kaspersky Total Security

В одну из тестовых виртуалок мы установили Kaspersky Total Security, в котором была обещана «защита от программ-шифровальщиков, предотвращающая порчу файлов вредоносными программами». KTS распознал почти все угрозы уже при попытке скопировать образцы ransomware из сетевой папки.

В каталог «Загрузки» попал только один файл из пятнадцати - nd75150946.tst - это как раз Trojan.Downloader, причем давно известный. При его дополнительной проверке по запросу KTS вновь счел файл безопасным. Сорок пять антивирусных сканеров на VirusTotal с ним не согласились.

Мы открыли этот образец Hex-редактором, чтобы определить его истинное расширение. Знакомый заголовок 50 4B 03 04 и имя другого файла внутри - очевидно, перед нами ZIP-архив. Внутри архива находился подозрительный файл: его иконка соответствовала документу PDF , а расширение при этом было.scr - экранная заставка, то есть это исполняемый код.

При попытке запустить файл с расширением.scr из архива KTS заблокировал его автоматически распакованную копию во временном каталоге пользователя. По результатам облачного анализа через сеть KSN он определил данный файл как неизвестный вредоносный объект и предложил удалить его с перезагрузкой. В данном случае это была избыточная предосторожность, так как троян не получил управления и мог быть удален любым способом, как обычный файл.

Примечательно, что Kaspersky Total Security не учится на своих ошибках. При повторной проверке архива тот снова был признан чистым, хотя распакованный из него файл только что вызвал срабатывание по результатам анализа в KSN.

В начале следующего этапа тестирования мы проверили исходное состояние каталога «Мои документы» и вывели содержимое пары текстовых файлов из него в консоль.

После чего мы открыли модуль «Резервное копирование и восстановление» и забэкапили эти документы в папку Backup прямо на системном разделе. В реальной ситуации стоит выбирать другое расположение (например, внешний диск), но для нашего теста оно роли не играет. Доступ к этой папке в любом случае контролируется средствами KTS, и через стандартный драйвер файловой системы трояны не могут с ней взаимодействовать.

Штатными средствами даже администратор может только посмотреть свойства этой папки. При попытке войти в нее автоматически запускается менеджер бэкапов KTS и просит ввести пароль, если он был задан ранее.

Сам менеджер резервных копий сделан у Касперского очень наглядным. Можно выбрать стандартные каталоги, указать свои или исключить отдельные файлы. Количество файлов каждого типа сразу отображается в окне слева, а их размер - в свойствах справа.

Помимо записи бэкапов на локальные и съемные диски, KTS поддерживает их отправку в Dropbox. Использование облачного хранилища особенно удобно в том случае, если малварь препятствует запуску компьютера и подключению внешних носителей.

Нашу программу-имитатор KTS проигнорировал. Она спокойно зашифровала файлы, превратив их содержимое в абракадабру. Отказ в доступе к подкаталогам «Мои видеозаписи», «Мои рисунки» и «Моя музыка» - недоработка в самой программе, никак не влияющая на ее способность шифровать файлы в %USERPROFILE%Documents .

Если в нашей программе функция дешифровки выполняется просто при запуске с ключом /decrypt , то у троянов она не всегда запускается даже после выполнения требований о выкупе. Единственным достаточно быстрым вариантом восстановления зашифрованных файлов в таком случае остается их перезапись из ранее созданной резервной копии. Буквально в несколько кликов мы выборочно восстановили один из зашифрованных файлов в его исходном расположении. Точно так же можно восстановить один или несколько каталогов целиком.

Dr.Web Security Space

Как и KTS, Dr.Web SS определил 14 из 15 образцов уже при попытке скопировать их в каталог «Загрузки».

Однако в отличие от KTS он все же обнаружил Trojan.Downloader в оставшемся образце после изменения его расширения на ZIP и запуска принудительной проверки.

Большинство настроек Dr.Web SS по умолчанию заблокированы. Чтобы его активировать, надо сначала нажать на пиктограмму замка и ввести пароль, если он был задан.

Резервные копии создаются в Dr.Web SS при помощи инструмента «Защита от потери данных». Настройки доступны минимальные. Можно выбрать для бэкапа стандартные пользовательские каталоги или указать свои, задать одно из выбранных ограничений на объем копий, указать расположение резервных копий и настроить расписание бэкапа. Загрузка в облачные хранилища у Dr.Web SS не поддерживается, поэтому приходится ограничиваться локальными дисками.

Защита каталога с бэкапами у Dr.Web SS более агрессивная, чем у KTS. Администратор даже не может просмотреть его свойства через проводник.

Мы сделали резервные копии документов и приступили ко второй части теста.

Программу-имитатор Dr.Web SS не распознал и никак не воспрепятствовал ее работе. Через долю секунды все файлы были зашифрованы.

Запустив снова «защиту от потери данных», мы восстановили исходные файлы. Однако сохранились они совсем не там, где ожидали.

При указании целевой папки «Мои документы» в ней автоматически создается подкаталог с текущей датой и временем в качестве имени. Уже в него распаковываются из бэкапа сохраненные файлы, причем с восстановлением всех относительных путей. Получается крайне неудобный длинный путь, который запросто может превысить распространенное ограничение в 255 символов.

Norton Security Premium

Помня о Norton Ghost, ставшем эталоном бэкапа еще в девяностых, легко было спрогнозировать появление подобной функциональности в антивирусе от Symantec. Удивительно, что прошло два десятка лет, прежде чем это очевидное решение стало востребованным. Не было бы счастья, да несчастье помогло.

При попытке скопировать каталог с образцами ransomware NSP определил и поместил в карантин 12 из 15 угроз.

Все три оставшихся файла распознаются как вредоносные при анализе на VirusTotal, в том числе два из них - антивирусом от Symantec. Просто настройки по умолчанию сделаны так, что NSP не проверяет при копировании некоторые файлы. Выполняем принудительное сканирование... и NSP обнаруживает еще два трояна в том же каталоге.

Как и предыдущие антивирусы, NSP оставляет троян-даунлоадер в переименованном архиве ZIP. При попытке запустить файл.scr из архива NSP блокирует запуск распакованной копии трояна из временного каталога текущего пользователя. При этом сам архив никак не обрабатывается.

Архив считается чистым даже при его повторном сканировании сразу после того, как был обнаружен распакованный из него троян. Особенно забавно выглядит надпись: «Если, по вашему мнению, еще остались угрозы, нажмите здесь». При клике по ней происходит обновление баз (или не происходит, если они и так свежие).

Удивительно, что некоторые из старых образцов ransomware до сих пор детектируются NSP только эвристическим анализатором и средствами облачной проверки. Похоже, вирусологам Symantec лень поддерживать базы в актуальном состоянии. Их антивирус просто блокирует все подозрительное и ждет реакции пользователя.

Второй этап тестирования проходил традиционно. Мы создали резервные копии файлов из каталога «Мои документы», а затем попытались их зашифровать.

Менеджер резервных копий в NSP сначала порадовал своей логичностью. Он использует классический принцип «Что? Где? Когда?», знакомый еще с досовских времен. Однако в современной версии его омрачает излишняя абстрактность. Вместо прямого перечисления объектов с полными путями и файлов по расширениям используется их виртуальное расположение и условная группировка по типам. Остается догадываться, какие файлы NSP сочтет относящимися к финансовой информации, а какие просто поместит в раздел «Другие».

Дополнительные настройки возможны (например, по ссылке «Добавить или исключить файлы и папки»), однако сделать их весьма непросто. Ради пары файлов (каждый менее килобайта) все равно приходится бэкапить полдерева каталогов и всякий мусор вроде desktop.ini , а мастер резервного копирования предлагает увековечить это на CD-R. Похоже, XXI век наступил не для всех.

С другой стороны, пользователям NSP предоставляется под бэкапы 25 Гбайт в облаке. Чтобы загружать резервные копии туда, достаточно выбрать в качестве целевого расположения «Безопасное сетевое хранилище».

Создав локальный бэкап, мы запустили программу, имитирующую действия трояна-шифровальщика. NSP никак не воспрепятствовал ей и позволил зашифровать файлы.

Их восстановление из резервной копии прошло быстрее и удобнее, чем в Dr.Web SS. Достаточно было подтвердить перезапись, и файлы в исходном виде сразу оказались на прежних местах.

K7 Ultimate Security

Ранее этот продукт от индийской компании K7 Computing назывался Antivirus Plus. С названиями у этого разработчика и сейчас есть небольшая путаница. Например, дистрибутив K7 Total Security не имеет средств резервного копирования. Именно поэтому мы тестировали версию Ultimate - единственную способную делать бэкап.

В отличие от известных в России антивирусов эта разработка была в наших тестах темной лошадкой. Фраза «индийский код» считается ругательством у программистов, и многого мы от него не ждали. Как показали тесты - зря.

K7 Ultimate Security - первый антивирус, который сразу обнаружил все 15 угроз из нашей подборки. Он даже не позволил завершить копирование семплов в каталог «Загрузки» и поудалял бы их прямо в сетевой папке, если бы она не была подключена в режиме «Только чтение».

Оформление у программы камуфляжно-стальное. Видимо, разработчики увлекаются игрой в танки или просто пытаются таким образом вызывать ассоциации с чем-то надежным. Параметры резервного копирования в K7 задаются примерно так же, как и в NSP. Однако в целом интерфейс K7 менее перегружен, и в нем проще добраться до тонких настроек.

На запуск программы-имитатора и шифрование файлов K7 никак не отреагировал. Как всегда, пришлось восстанавливать оригиналы из бэкапа.

Удобно, что при восстановлении можно выбрать отдельные файлы и записать их на прежнее место. Ответив утвердительно на запрос о перезаписи существующего файла, мы восстановили lenses.txt в пару кликов на прежнем месте.

В рамках этого теста про работу K7 больше добавить нечего. Success он и есть success.

Выводы

Несмотря на хорошие результаты тестирования, общие выводы получились неутешительными. Даже полные версии популярных платных антивирусов пропускают некоторые варианты ransomware в настройках по умолчанию. Выборочное сканирование по запросу также не дает гарантии безопасности проверенных файлов. С помощью примитивных трюков (вроде смены расширения) обнаружения избегают и давно известные модификации троянов. Новая же малварь почти всегда проверяется на отсутствие детекта перед выпуском в дикую среду.

Не стоит уповать на поведенческий анализатор, облачную проверку, репутационные характеристики файлов и прочие средства несигнатурного анализа. Какой-то толк от этих методов есть, но весьма небольшой. Даже нашу примитивную программу-имитатор с нулевой репутацией и без цифровой подписи не заблокировал ни один антивирус. Как и многие трояны-шифровальщики, она содержит массу недоработок, однако это не мешает ей беспрепятственно шифровать файлы сразу при запуске.

Автоматическое резервное копирование пользовательских файлов - не следствие прогресса, а вынужденная мера. Она может быть достаточно эффективной только с постоянной защитой хранилища бэкапов средствами самого антивируса. Впрочем, действенной она будет ровно до тех пор, пока антивирус не выгрузят из памяти или не деинсталлируют вовсе. Поэтому всегда стоит делать дополнительные копии на какой-то редко подключаемый носитель или загружать их в облако. Конечно, если ты достаточно доверяешь облачному провайдеру.

Сегодня многие уже на себе ощутили результаты действий киберпреступников, основное оружие которых — вирусы-шифровальщики. Основная цель – с их помощью вымогать деньги у пользователей. За разблокировку личных файлов могут требовать десятки тысяч гривен, а с владельцев бизнеса - миллионы (например, за заблокированную базу 1С).
Надеемся, что наши советы помогут максимально обезопасить Вашу базу данных.

Антивирусная защита

Конечно, главное средство защиты — это антивирус. Обязательно надо следить за актуальностью антивирусной программы, ведь вирусные базы данных автоматически (без участия пользователя) обновляются несколько раз в день. Надо регулярно отслеживать появление новых надежных антивирусных программ, и добавлять их в свои продукты.
Одна из таких программ — облачный сервис ESET LiveGrid®, который блокирует вирус раньше, чем он попадает в антивирусную базу. Система ESET сразу анализирует подозрительную программу и определяет степень ее опасности, при подозрении на вирус процессы программы блокируются.

Так же можно воспользоваться бесплатным антивирусом AVG, он конечно немного уступает ESET но имеет хорошую степень зашиты от вирусов, а для полной зашиты можно купить и лицензию на AVG

В начале 2017 года эксперты из MRG Effitas провели тестирование 16 популярных антивирусных продуктов для использования их у домашних пользователей на операционной системе Microsoft Windows 10, 64-битной. В испытаниях надежности антивирусов использовалось 386 образцов различных вредоносных кодов, включая 172 трояна, 51 бэкдор, 67 банковских вредоносных программ, 69 шифраторов и 27 потенциально опасных и рекламных программ.

Вот результаты тестирования

По данной диаграмме можно определить лучший бесплатный антивирус 2017 года так же и лучший платный антивирус, а какой уже ставить себе для зашиты на компьютер или ноутбука, решать Вам.

Если же Ваш выбрал пал на платный антивирус, и Вы остановилась на NOD32, то обизательнно проверять, включена ли функция ESET LiveGrid®, можно так: ESET NOD32 - Дополнительные настройки - Служебные программы - ESET LiveGrid® - Включить систему репутации ESET LiveGrid®.

Злоумышленники всегда надеются на то, что пользователи не успели установить последние обновления, и им удастся использовать уязвимости в программном обеспечении. Прежде всего, это касается операционной системы Windows, поэтому надо проверить и активировать автоматические обновления ОС (Пуск - Панель управления - Центр обновления Windows - Настройка параметров - Выбираем способ загрузки и установки обновлений).

Если Вы не используете службу шифрования, которая предусмотрена в Windows, лучше ее отключить, ведь некоторые модификации шифровальщиков используют эту функцию в своих целях. Для ее отключения надо выполнить такие шаги: Пуск - Панель управления - Администрирование - Службы - Шифрованная файловая система (EFS) и перезагрузить систему.
Но если Вы уже применяли шифрование для защиты каких-либо файлов или папок, то надо убрать галочки в соответствующих чекбоксах (ПКМ - Свойства - Атрибуты - Дополнительно - Шифровать содержимое для защиты данных). Если этого не сделать, то после отключения службы шифрования, Вы потеряете доступ к этой информации. Узнать, какие файлы были зашифрованы, легко - они выделены зеленым цветом.

Ограниченное использование программ

Чтобы повысить уровень безопасности, можно заблокировать запуск программ, которые не соответствуют заданным требованиям. Такие настройки, по умолчанию, установлены для Windows и Program Files.

Настроить локальную групповую политику можно так:
Нажимаем выполнить и вводим команду: gpedit.msc («Пуск — Выполнить (Win+R) — secpol.msc»)

Выбираем:

• «Конфигурация компьютера»
• «Конфигурация Windows»
• «Параметры безопасности»
• «Политики ограниченного использования программ» нажимаем правую кнопку мышки и жмем

После чего, нужно создать правило, которое запрещает запуск программ из каких-либо мест, кроме разрешенных

Заходим в раздел «Дополнительные правила» и нажимаем правую кнопку. В появившемся окне жмем на пункт «Создать правило для пути»

В поле путь ставим звездочку «*», т.е. любой путь и выбираем уровень безопасности: Запрещено.

И так продолжим работать в «Политики ограниченного использования программ» и жмем правой кнопкой мышки на пункт «Применение» и выбираем «Свойства».

Данные настройки можно оставить, как они есть по умолчания или включить применение ко всему без исключений, а так же, можно переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (если у вас на компьютере заведены учетные записи пользователя и администратора).

И в пункте «Назначенные типы файлов» выбираем расширение каких типов файлов будет поставлен запрет на запуск. В этом окне указаны расширения, которые блокируются при попытке запуска.

Лучше добавить еще расширение .js - java script .

Эффективная настройка займет какое-то время, но результат этого стоит.

Запрет на запуск определённых программ мили файлов можете настроить на своё усмотрение, в зависимости от поставленных задача и целей.

После чего правила нужно запустить, и что бы это сделать переходим в «Уровни безопасности» и нажимаем правую кнопку мышки на «Запрещено». В появившемся окне жмем «По умолчанию» и наши правила применены.

Советуем не работать с учетной записи администратора. Это позволит уменьшить урон при случайном заражении (Включить учетную запись администратора - Задать пароль - Лишить текущего пользователя административных прав - Добавить в группу пользователи).
Для работы с правами администратора в Windows есть специальный инструмент - «Контроль учетных записей», который сам запросит пароль для выполнения операций. Проверка настройки: Пуск - Панель управления - Учетные записи пользователей - Изменение параметров контроля учетных записей - По умолчанию - Уведомлять только при попытках внести изменения в компьютер

Контрольные точки восстановления системы

К сожалению, бывают случаи, когда вирусы преодолевают все уровни защиты. Поэтому у Вас должна быть возможность вернуться в прежнее состояние системы. Настроить автоматическое создание контрольных точек можно так: Мой компьютер - ПКМ - Свойства - Защита системы - Параметры защиты.
Обычно, по умолчанию, защита включена только для системного диска, но шифровальщик может запортить содержимое всех разделов. Чтобы восстановить файлы стандартными средствами или программой Shadow Explorer, необходимо включить защиту для всех дисков. Контрольные точки занимают какой-то объем памяти, но они спасут данные в случае заражения.

Новый вирус вымогатель Petya.A стал, пожалуй, главным событием прошедшей недели. Вирусная атака привела к заражению сотни тысяч компьютеров не только в России и странах СНГ, но и по всему миру. Пока нет единого мнения, что могло стать причиной (например, не актуальная версия Windows) и кто находится в зоне опасности: только учреждения, банки, госструктуры или все компьютеры под управлением ОС Windows, необходимо заранее обезопасить свою систему. Как защититься от вируса шифровальщика Petya?

Оригинальный вирус Petya впервые проявил активность в 2016 году. Разработчик использует псевдоним Janus Cybercrime Solutions. Известен также аккаунт в Twitter – злоумышленники использовали учетную запись @JanusSecretary после взлома аккаунта злоумышленников, создавших вирус Chimera. Напомним, тогда в открытом доступе были опубликованы ключи, позволяющие вернуть в исходное состояние файлы, пострадавшие от шифровальщика.

После эпидемии вируса NotPetya, которая началась в июне, авторы оригинального вымогателя сделали очередное заявление. Стало известно, что они занялись изучением NotPetya, а также осуществляют попытки использовать ключи от Petya для расшифровки файлов. Однако многие специалисты сразу предположили, что это не сработает. Новый вирус работает иначе – он умышленно вносит серьезные изменения в структуру диска (включая шифрование записи MFT), а также полностью удаляет ключ. Скорее всего, полноценно расшифровать пострадавшие файлы уже физически невозможно.

Способ распространения вируса Petya.A

Распространения нового вируса происходит с помощью обычной фишинговой атаки (рассылка вредоносного кода в виде вложений на e-mail адреса). Любое подозрительное письмо, которое содержит вложение – потенциальный источник угрозы.

Как правило, вложения распространяются в виде документов Microsoft Word, но могут быть и другие файлы. Здесь будет не лишним, еще раз напомнить вам об основных .

После открытия сомнительного вложения, происходит заражение компьютера, и вирус шифрует главную загрузочную запись.

Чем опасен вирус Petya.A?

Расшифровка системы в обмен на денежный выкуп довольно распространенный и заурядный способ для обычных киберхулиганов. Однако, что касается самого вредоносного кода, как утверждают авторитетные источники — он не бы дилетантским.

Это не просто вирус-вымогатель. Технические условия и оборудование для совершения данной кибератаки исключает версию обычного сетевого мошенничества. По мнению ряда аналитиков, у вируса политические корни.

Впрочем, нас больше беспокоит его последствия. Новый вирус Petya зашифровывает жесткий диск и стирает загрузочную запись, что крайне усложняет восстановление информации в случае заражения системы. Как же от него защититься?

Как защититься от вируса Petya.A

Проанализировав работу шифровальщика, компании Symantec обнародовала простой способ защиты. Суть данного способа заключается в создании на системном диске специального файла, который должен убедить Petya.A, что он попал на уже заражённую ранее систему.

1. Откройте обычный блокнот Windows
2. Выберите вкладку Файл , и кликните на пункт Сохранить как
4. Задайте файлу имя perfc и присвойте расширение .dll (Тип файлов - значение — Все файлы)
3. Переместите его в C:\windows.
5. Кликните на файле правой клавишей мыши и выберите пункт Свойства . Задайте атрибут – «Только чтение».

Обнаружив данный файл, вирус прекратит работу без последствий для системы.

Безусловно, данный способ нельзя отнести как конечное решение проблемы, но как мера предосторожности, которая позволяет защититься от вируса шифровальщика Petya на сегодняшний день, рекомендована для выполнения на всех системах под управлением ОС Windows.

Недавно Janus Cybercrime Solutions вновь проявили активность. На портале Mega.nz был опубликован архив с мастер-ключом, который можно использовать для всех версий Petya: первой версии 2016 года, второй модификации (интегрированной с вымогателем Mischa), а также новой версии, которая известна как GoldenEye. Ряд специалистов уже проверили подлинность ключа и подтвердили, что его можно использовать для получения доступа к архиву.

Напомним, ранее специалистам удавалось обойти шифрование первой версии Petya, однако публикация мастер-ключа позволит сделать данный процесс более быстрым и повысит вероятность успеха.
Уже известно, что данный ключ не поможет пострадавшим от вредоносной программы NotPetya – вирус значительно отличается (вирусописатели позаимствовали только часть кода).

В состав обновления Windows 10 Fall Creators Update входят новые механизмы защиты вашего компьютера. Одна из новых функций называется «Контролируемый доступ к папкам» или “Controlled folder access” в английской локализации. Она создана для того, чтобы предотвратить ваш компьютер от заражения так называемым “ransomware” или вирусом-вымогателем, который шифрует файлы на компьютере и требует выкуп за их расшифровку (обычно жертва платит, но так и не получает содержимое своего диска обратно). Контролируемый доступ к папкам по умолчанию отключен, поэтому для защиты вам понадобится включить эту функцию вручную. В этой статье мы расскажем об особенностях контролируемого доступа, что это такое и как им пользоваться.

Для справки : контролируемый доступ к папкам – превентивная мера. Это значит, что функция не поможет, если компьютер уже заражен. С ее помощью можно лишь предотвратить , но никак не исправить заражение. Лечение компьютера после атаки вируса-шифровальщика - тема для отдельного разговора.

Что такое контролируемый доступ к папкам Windows 10

Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10. Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее. В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.

Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка». Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.

Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.

Как включить защиту от шифрования «Контролируемый доступ к папкам»

Чтобы включить контролируемый доступ к папкам в Windows 10, вам надо сначала убедиться, что система обновлена до соответствующей версии. Нажмите Win + R и введите winver . Проверьте номер версии Windows. Если у вас установлена 1709 и выше, значит ваш компьютер можно защитить новой функцией. Если нет, тогда вам надо обновить свое устройством. О том, как установить Windows 10 Fall Creators Update (именно в этом обновлении появилась функция контролируемого доступа), читайте в соответствующей статье по ссылке.

После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки , а другая Разрешить работу приложениям через контролируемый доступ к папкам .

Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.

По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.

Нажмите на кнопку Защищенные папки , а затем Добавить защищенную папку . В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.

Для справки : Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.

Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить .

Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ. Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений. Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.

Если же Защитник Windows обнаруживает неладное, система уведомит вас соответствующим сообщением. Выглядит оно вот так:

Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.

Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить .

Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов. Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows. Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно. Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.

Дата публикации: 06.03.2016

В последнее время шифровальщики стали самым "попсовым" вирусом. Такой вирус шифрует все ваши файлы и требует выкуп за них. Вся прелесть вируса в его простоте. Хороший шифровальщик не "палится" антивирусами, а зашифрованные файлы практически нельзя расшифровать. Но, как и от любого вируса, вы можете защитить себя от заражения таким зловредом.

Как он работает

Я понимаю, что это скучно, но без знания теории не обойтись:)
Стандартный вирус, шифрующий ваши данные, работает по следующей схеме. Вы получаете сомнительный файл по электронной почте. Нарушая все законы информационной самозащиты, вы запускаете этот файл. Вирус отправляет запрос на сервер злоумышленника. Происходит генерация уникального ключа, с помощью которого все файлы на вашем компьютере шифруются. Ключ отсылается на сервер и хранится там.

Вирус показывает вам окошко (либо меняет рабочий стол) с предупреждением и требованием выкупа. За расшифровку файлов с вас потребуют определенное количество биткоинов (криптовалюта, использующаяся в интернете). При этом зашифрованные файлы невозможно открыть, сохранить, отредактировать, ибо они наглухо зашифрованы стойким алгоритмом.

При этом есть некоторые нюансы. Некоторые шифровальщики вообще выбрасывают ключ, а потому, заплатив выкуп, вы все равно не расшифруете ваши фото, видео и другие файлы.
Большинство шифровальщиков начинают работать после того, как получат ответ от сервера злоумышленника. А потому есть мизерный шанс, что успев вырубить интернет, вы прервете работу вируса (но провернуть это на практике нереально).

Есть и кривые шифровальщики, которые хранят ключ на компьютере жертвы, либо используют один ключ для всех. Для расшифровки в таких случаях существуют специальные утилиты и сервисы от антивирусных компаний.

Как защититься от шифровальщика

1) Установить антивирус

Если вы ещё не установили антивирус, то обязательно это сделайте. Даже бесплатные антивирусы типа Avast или Avira защитят вас в 80% случаев.
Так как исходный код самых популярных шифровальщиков уже давно известен антивирусным лабораториям, а потому они могут вычислить их и заблокировать их работу.

2) Используйте последнюю версию браузера

Вирусы часто используют уязвимости в браузере для заражения вашего компьютера. А потому важно постоянно обновлять браузер, ведь обновления исправляют критические и 0-day уязвимости в браузерах. Естественно, обновления выходят только для популярных браузеров. А потому использование экзотического браузера (типа Arora или, не дай бог, TheWorld) подвергает вас сильнейшему риску.

3) Не запускайте подозрительные файлы

В 90% случаев шифровальщики отправляются жертвам в виде спама по электронной почте. Поэтому не открывайте письма от незнакомых адресатов и с подозрительным содержанием. Обычно шифровальщики кочуют по интернету в виде псевдо-pdf. Т.е..pdf.exe. Естественно, что последнее.exe означает исполняемый файл под которым прячется вирус. Стоит его запустить, и можете забыть о драгоценных фотографиях из отпуска и документах по работе.

4) Корпоративный риск

Если вы работает в крупной компании, то будьте осторожны. Вы можете стать жертвой нацеленной атаки. В таких случаях злоумышленники заранее выясняют всю важную информацию о компании, её сотрудниках. В итоге, злоумышленники проведут замаскированную атаку. Например, вы можете получить отчет по работе с корпоративного (заранее взломанного) e-mail, который будет выглядеть как обычная корреспонденция, однако заразит вас шифровальщиком.

Поэтому будьте внимательны, регулярно обновляйте антивирус и браузер. А также не запускайте файлы с сомнительным расширением.

5) Регулярно сохраняйте важную информацию (backup)

Все важные файлы должны иметь резервную копию. Это защитит вас не только от шифровальщиков, но и от простейшего форс-мажора (отключили электричество, сломался ноутбук). Делать резервные копии можно по-разному. Можно сохранять всю важную информацию на usb-флешку. Можно сохранить все в "облаке" или на популярном файлохранилище (Dropbox и т.д.). А можно делать запароленные архивы и отправлять их самому себе по электронной почте.

Что не стоит делать

1) Обращаться к компьютерщикам

Вам могут пообещать избавиться от вируса и вернуть доступ к файлам. Но вряд ли кто-то на это способен. Нужно понимать, что алгоритмы шифрования были изначально придуманы так, чтобы их никто не расшифровал без ключа. Поэтому идти в «компьютерную помощь» всё равно что выкинуть деньги на ветер.

2) Надеяться только на антивирус

Злоумышленники используют отработанные схемы. А потому антивирусы не всегда выявляют вирус-шифровальщик. Это связано во многом потому, что чисто технически шифровальщик не является вирусом, т. к. не выдает своим поведением опасность, а потому эвристически анализатор антивирусов не выявляет работу такого вируса.

3) Быть наивным пользователем ОС на базе Линукс

Можно часто услышать, что под Линукс нет вирусов и система эта абсолютно безопасна и неуязвима. Только вот дистрибутивы на Линукс не защищают от вирусов, а просто не позволяют «выстрелить себе в ногу», т.е. не дают пользователю доступ к изменению системных файлов и настроек. Поэтому шифровальщики под Линукс могут запуститься только в случае, если получат root-доступ. Я надеюсь, не нужно говорить пользователям Линукс о том, что запускать сомнительные приложения из под рута — невероятная тупость:)

Выводы

Как видно от современной пандемии шифрования спасают всё те же старые добрые методы самозащиты и контроля. Не нужны специальные знания, не нужны специальные программы. Для безопасной работы вам достаточно лишь антивируса, обновлённого браузера и головы на плечах.

Последние советы раздела «Компьютеры & Интернет»: