Перейти к содержанию

Поиск сообщества

Показаны результаты для тегов 'вирус зашифровал файлы'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • Общение с Евгением Касперским
    • Задай вопрос Евгению Касперскому!
    • Kaspersky On The Road Again
  • Деятельность клуба
    • Жизнь клуба
    • Мероприятия и встречи
    • Конкурсы и викторины
    • Магазин клуба
    • Технический раздел
  • Помощь по продуктам «Лаборатории Касперского»
    • Помощь по персональным продуктам
    • Помощь по корпоративным продуктам
  • Техническая помощь
    • Помощь в удалении вирусов
    • Помощь в борьбе с шифровальщиками-вымогателями
    • Компьютерная помощь
  • Деятельность «Лаборатории Касперского»
    • Жизнь «Лаборатории Касперского»
    • Новости и события из мира информационной безопасности
    • Скины для продуктов «Лаборатории Касперского»
  • Направления деятельности клуба
    • Рейтинговая система мотивации участников клуба
    • Программа «Развитие сообществ клуба в мессенджерах»
    • Программа «Амбассадоры бренда Kaspersky»
    • Программа «Продвижение продуктов»
    • Программа «Консультант по продуктам»
    • Программа «Бета-тестирование продуктов»
  • Общение на любые темы
    • Беседка
    • Технологии и техника
    • Видео и аудио
    • Игры
    • Покупки
    • Поздравления участников клуба
    • Новости и события со всего мира
  • Багтрекер Баги
  • Багтрекер Решенные
  • Багтрекер Дубли
  • Багтрекер Не баги

Блоги

  • Ilya's Blog
  • [Ремонт]
  • JIABP'овые бредни...
  • Тестовый пользователь's Блог
  • Блог Ивана Стогова
  • Whizard's Blog
  • Storm's Блог
  • Pepper's Blog =)
  • У CbIP'a
  • Our opportunity
  • Jingtian's Blog
  • lucianbara's Blog
  • Viktor's Блог
  • Test User's Блог
  • Блог de la Vie
  • Pipkin's
  • beyond's Blog
  • Блог AZЪ
  • Shaman007's Блог
  • Олег777's Блог
  • ekostroy's Блог
  • МакаровГена's Блог
  • Elly's Блог
  • sereja6's Блог
  • vit's Блог
  • i.b. blog.
  • moonflower's Блог
  • vitalik's Блог
  • Mirza aka ANTIVIRUS' Блог
  • radioelectron's Блог
  • mexx's Блог
  • Weblog by NickGolovko
  • Кристина и её жизнь.
  • Olka's Блог
  • Блог Репетиторство XXI века
  • MiStr's блог
  • sjoeii's Blog
  • GeN's Kitchen
  • Nodik - дневник пользователя
  • Glan's Blog
  • can somebody please help me
  • dustime's Blog
  • Dzmitry's blog
  • Falcon's Blog
  • ...
  • Epeking's Blog
  • Fedor's блог :)
  • Just a blog...
  • AHS0's Blog
  • Wasatch Software's Blog
  • bobbycooper's Blog
  • Be My Will
  • master's Blog
  • vidocq89 - дневник пользователя
  • My Blog
  • SGear's Blog
  • ole-gudilin Blog
  • Xak - дневник сравнение
  • Елена - дневник пользователя
  • Proof
  • screenshots of sysadmin's life
  • Valery_Dnepr - дневник пользователя
  • Kasper Svin Fan :) - Не читай - ОПАСНО!
  • taveswolf98 - дневник пользователя
  • Мария - дневник пользователя
  • Блог izstas'а
  • "Свобода мысли"
  • блог фотографа Евгения Малинина
  • Live Free Or Die
  • Тане4ка - мой блог
  • Юрий Кузичев - мой блог
  • Androno - мой блог
  • krasnofff - мой блог
  • fenomen - мой блог
  • chunzu's blog
  • Pomka.(GBT)&KL
  • Жизнь на форуме...есть или нет...sergtask
  • 4543
  • bliznez54 - мой блог
  • FagotAdmin - мой блог
  • Fun2doUA Blogs
  • Frolov-pk
  • БЛОГ
  • harut - мой блог
  • Venus Doom
  • Oduvanchik) - мой блог
  • Magadan
  • Блог TePMuT'а против вирусов
  • Блог самогоноварения и не только
  • kazoom - мой блог
  • KISNEN - мой блог
  • greg - мой блог
  • Уголок m@ks'a
  • vpv - мой блог
  • terracot's blog
  • shikamaru - мой блог
  • ZURK пробует себя в новой сфере
  • Shadow - мой блог
  • rasetyplit - мой блог
  • kosmozoo - мой блог
  • Блог R.S.M.
  • den
  • upsidicidan - мой блог
  • Robot - мой блог
  • Серверная Админа
  • InFinitY-14 - мой блог
  • judgement2 - мой блог
  • lytdybr Leks13
  • zell - мой блог
  • HiFi - Курьёзы продаж и сопровождения ЛК
  • Танцующий Ветер
  • vasdas - мой блог
  • Savushkin
  • wise-wistful
  • Sandynist — мой блог
  • dan-1 - мой блог
  • Kopeicev's blog ;-)
  • Kapral
  • (Tech)Writer's Block
  • aglu
  • Аноним
  • D@gon - мой блог
  • blogs_blog_123
  • Alexsandr`s56
  • В гостях у Воронцова
  • Немного о себе
  • ika-ilya blog
  • Блог Jen94
  • ljalja - мой блог
  • vovan - мой блог
  • El.monter - записи наблюдателя жизни со стороны
  • GanK's blog
  • mennen - мой блог
  • Мирослава - мой блог
  • Здесь живу я, фан-клубовец ЛК!
  • Интересное из жизни.
  • Black Angel
  • Блог интернет-чемоданчика :)
  • F.Y.M.S. - мой блог
  • Мгновения Kanaduchi
  • мой мини блог
  • Oxana blog's
  • M.T.
  • Блог Ar2r
  • Абакан
  • gremlin-95 - мой блог
  • Фенхель - мой блог
  • suslixOS - мой блог
  • apq
  • глеб - мой блог
  • blogs_blog_151
  • заметки на полях
  • Полезные заметки
  • Мой блог
  • MaD - мой блог
  • Drru - мой блог
  • Doberman-mas - мой блог
  • Личный блог.
  • Roman_Five's blog
  • Записки ленивого администратора :)
  • Stranniky - мой блог
  • blogs_blog_162
  • Nikolay Lasarenko - мой блог
  • Кошки, Музыка, Английский и многое другое
  • proh - мой блог
  • Оптимизация Сайта
  • Защита от хакеров
  • [Hello World!] "Кибер люди"
  • )HumBold( \/@/\ )Бог-громовержец(
  • kozak_oleg - мой блог
  • Я люблю тебя... Kaspersky CLUB
  • иван8715 - мой блог
  • Delphinka - мой блог
  • Записки сумасшедшего.
  • С миру по нитке, голому рубаха.
  • SLASH_id - мой блог
  • антивирусZILLYA
  • О_о
  • Azamat87 - мой блог
  • Polik - мой блог
  • Бригада-2
  • Блог Konstantin'a.
  • HappyPrincess - мой блог
  • sacuraflower - мой блог
  • cybernetbot - мой блог
  • Eva - мой блог
  • Stopvirus - мой блог
  • MaZaHaKa - мой блог
  • Обжора - мой блог
  • Michael_VL - мой блог
  • Лисицин Павел - мой блог
  • Fasawe - Мой блог
  • true life
  • blogs_blog_196
  • FeuerMann - мой блог
  • Heartbeat - мой блог
  • cu3140 - мой блог
  • кот-полосатый - мой блог
  • yuri_st - мой блог
  • alextim's
  • -=Kirill Strelets=- - мой блог
  • Блог SRM
  • оlег - мой блог
  • Мой блог
  • Gangster - мой блог
  • Космическое излучение PRO!
  • Сказка про Ёжика и Kaspersky CRYSTAL
  • Жизнь прекрасна.
  • Блог Nikiror
  • Pankratov - мой блог
  • Первый ком всегда блином
  • Mixasa - мой блог
  • Просто так...
  • Агент - мой блог
  • AlexStayl - мой блог
  • Paul Ferdis - мой блог
  • newbrilliant - мой блог
  • Kichez - мой блог
  • VOLODIMER - мой блог
  • CRISTAL - стих-прикол
  • Bixenius - мой блог
  • rom78 - мой блог
  • -=EvGeniyPoet=- - мой блог
  • Друг - мой блог
  • Omnividente
  • Удалиловь видео от "Касперского!"!
  • Нужен Kaspersky Crystal
  • Янина - мой блог
  • Nekit
  • lenuskin blog
  • kabban - мой блог
  • Mrak
  • Блог StuPPvir
  • F_Sergeant
  • CAIIIKA - мой блог
  • ПротиВоВиРус
  • Chimera-Syber's blog
  • DrSart - мой блог
  • iceFox - Мой первый блог
  • oim - мой блог
  • kirilgult - мой блог
  • Блог Олега
  • Blog Technologies novas.
  • Заметки на обочине
  • Игор - истории из жизни
  • j-63 - мой блог
  • -=БАР-MAN=-
  • nataliy - мой блог
  • qwer009 - мой блог
  • Блог
  • san'OK - мой блог
  • Alexey-smol - мой блог
  • cham-cham
  • Дамир Шамарданов
  • Kiska - Моя жизнь: Компьютерная и не только.
  • Обзор полученных сувениров
  • Проблема с Kaspersky
  • Dagost - мой блог
  • Arhi - мой блог
  • vitason - мой блог
  • Скучный блог
  • sestra_Stalkera - мой блог
  • дневник UnknownЪ
  • zagadkaster
  • chulfa - Колеблющийся библиотекарь
  • MU's Helpdesk
  • Листик - мой блог
  • Audi Q7 - мой блог
  • Nikollkaria11 - мой блог
  • Игорь Зубрицкий - мой блог
  • лолоблог
  • leravalera - мой блог
  • mr.makpoc - мой блог
  • serg - мой блог
  • Bakhtiyar - мой блог
  • Dimitri - мой блог
  • Stanislav - мой блог
  • lamer - мой блог
  • ...
  • Fox
  • Kaspersky&Kyrgyzstan
  • Тётя Евдокия - мой блог
  • alice2k.ru
  • Deadman - мой блог
  • Запуск 2012
  • graygam - мой блог
  • Blog Dimasin
  • Мистер Фримен
  • Decryptor - блог
  • moidom72 - мой блог
  • Iskair - мой блог
  • svedodul - мой блог
  • masgorn - мой блог
  • Masha595
  • alisaronnn - мой блог
  • Антивирус и защита компьютера
  • obla - мой блог
  • Блог Nickol'а
  • esenvol - мой блог
  • JJDimonJJ - мой блог
  • marinshill - мой блог
  • HelenAquaMast - мой блог
  • *INNA. - мой блог
  • ersky - мой блог
  • Erofeeff - мой блог
  • Giga - мой блог
  • Житие-моЕ
  • mirodmin - мой блог
  • dassoro - мой блог
  • Интернет Life
  • zazkevich - мой блог
  • koka - мой блог
  • Зелёная Жизнь
  • ninatalkk - мой блог
  • traca - мой блог
  • mike 1 - мой блог
  • Блог Козака
  • depzaimanly
  • Мысли от gecsagen
  • SantaX: о вещах, меня окружающих..
  • semen1988 - мой блог
  • yellowfox - мнение it'шника
  • krulov82
  • ikrya
  • staff - мой блог
  • artyushk3 - мой блог
  • kon-shuplyakov - мой блог
  • skril - мой блог
  • ole4901 - мой блог о бизнесе, недвижимости
  • Продаю ключ для kaspersky internet security 2013
  • Где-то далеко, в Англии...
  • My Blog (PUBLIC)
  • Alexey-smol - мой блог (PUBLIC)
  • darkringfire's блог
  • Nikola-krug's блог
  • Всякие интересности
  • ignatov_alexandr
  • overman 7 лет в Турции без права переписки
  • Блог AZЪ
  • DWState's блог
  • DWState's блог
  • Блог Жени
  • = блог neotrance =
  • kamenot's блог
  • САМЫЕ необычные завещания
  • nata
  • OSmelev's блог
  • Татьяна19889's блог
  • Блог Marina
  • mazist's блог
  • Yustas' блог
  • volverston's блог
  • Vasechkin's блог
  • Блог by Soft'а
  • Валентин Толмачев's блог
  • arishol's
  • Дмитрий Рац's Как выбрать мебель для ванной
  • Krutov's блог
  • Obe 1 Kanobe's блог
  • alexlubiy's блог
  • ??? (название пока отсутствует)
  • Тестовый блог
  • MotherBoard's блог
  • блог
  • 8-ое испытание фан-клубней ЛК
  • блог Roman_SO
  • Traskimov's блог
  • Varmuscle's блог
  • Подарки и сувениры
  • Алекс0's блог
  • Knayz's блог
  • intechnoplusru's блог
  • Facebook мошенничества
  • Andromalius' блог
  • Новости гемблинга
  • флэшка
  • Евгений 1978's блог
  • oit или все, что со мной связано
  • Caxap & Kaspersky Fan Club
  • SQ
  • Bryukhanov.m.v's блог
  • status12's блог
  • Армянское кино или коньяк? 9 летие фан клуба
  • ajina.n's блог
  • Friend's
  • Умные мысли
  • Алексей Матвеев's блог
  • Испытательный блог
  • anajik's блог
  • Виды вирусов
  • 917's блог
  • маргиз's блог
  • daniela's блог
  • Kasperskyclub
  • Подарочки от ЛК!
  • Irasel's блог
  • METRIK's блог
  • Блог Аделя Гумерова
  • Evgeny's блог
  • Gistaf's блог
  • kmscom's блог
  • Как здорово что мы на 10 летие собрались
  • Алеша Талантов's блог
  • Блог просто IT-шника
  • Помощь почте от зарегистрированных гуру
  • zh_damir18's блог
  • ***Leeloo***
  • Интересно и полезно
  • Все о Windows 10
  • postscreen's блог
  • Sergey Kiryushkin
  • Sergey Kiryushkin
  • Sergey Kiryushkin's блог
  • Sergey Kiryushkin
  • ska79's блог
  • Power5d's блог
  • Dillan_Akberov
  • AltaalcariuM
  • Yna's блог
  • Блог Kirik_
  • «Как «Лаборатория Касперского» повлияла на мою жизнь»
  • Reworr
  • eliz.stukacheva's блог
  • getmejiayu's блог
  • Trojan.Multi.GenAutorunReg.a как удалить
  • блог хромого кулинара
  • t1239140@mvrht.net's блог
  • Куча мыслей в голове
  • Reworr's блог
  • kenguru7's блог
  • andrew75's блог
  • Клубок мыслей
  • Какие бы вы хотели подарки на НГ
  • Байки
  • Системное администрирование
  • OLEOLE050667's блог
  • Себастьян Перейро's блог
  • kmscom's блог
  • itmediaseo's блог
  • Этапы Seo продвижения
  • ingener11's блог
  • О вирусах и всякой всячине
  • Remember is no more...
  • пашин блог
  • немного о себе...
  • Творчество
  • Марш бросок по Уральским горам.
  • Для проверки викторины
  • Блог Марии
  • Кратко и по существу
  • Багтрекер Блог

Категории

  • Скины для прошлых версий
    • KIS\KAV 6.0
    • KIS\KAV 7.0
    • KIS\KAV 8.0
    • KIS\KAV 9.0
    • Скины для KIS\KAV 2011
  • Other/Другое
  • Программы
    • Другие полезные программы
    • Архиваторы
    • Браузеры
    • Интернет-пейджеры
    • Безопасность
    • Бесплатные программы для КПК и коммуникаторов
    • Утилита обновления продуктов ЛК
  • Music/Музыка [Закрыто]
  • Video/Видео
  • Screensavers/Скринсейверы
  • Themes for Mobile/Темы для мобильных телефонов
  • Музей продуктов ЛК
    • KIS\KAV 7.0
  • Скины для Kaspersky Pure\Crystal
    • 9.0.0.199
    • 9.1.0.124
    • 12.0.1.288
  • Скины для KIS\KAV 2012
    • KIS\KAV 12.0.0.374
  • Скины для KIS\KAV 2013
    • 13.0.1.4190

Группы продуктов

  • Лицензии
  • Сувениры
    • Одежда
    • Сувениры с прежним логотипом

Поиск результатов в...

Поиск контента, содержащего...


Дата создания

  • Начало

    Конец


Дата обновления

  • Начало

    Конец


Фильтр по количеству...

Найдено: 2 результата

  1. Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги. Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно. Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний. Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу. Методы проникновения. По наблюдениям, основным методом проникновения вируса-шифровщика на компьютер пользователя является электронная почта. Чаще всего это письма от Сбербанка, в котором банк сообщает либо о задолженности, либо о срочной проверке регистрационных данных после сбоя систем банка. В последние несколько недель основная масса писем содержит текст от арбитражного суда, судебных приставов, в котором сообщается о задолженности. Вне зависимости от содержаний писем они все имеют вложения вида: «акт.doc.....................exe», «Благодарственное письмо.hta», Документы.cab. Запуск программ во вложении запускает процесс шифрования.Реже случаются случаи проникновения шифровщика через файлы взломанных программ или самораспаковывающиеся архивы, скачанные из сети интернет. После упаковки файлов вирус, как правило, выдает сообщение о шифровке файлов и рекомендациям по их дешифровки (имеется ввиду методы оплаты злоумышленнику). Так же может быть создан файл в корне диска С: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или на рабочем столе может возникнуть картинка (пиратов, террористов) с сообщением о шифровке файлов. Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию. Таким образом, мной была поставлена задача, а точнее главный вопрос – возможно ли предотвратить заражение (шифрование)? Сегодня все продукты ЛК для защиты станций оснащены механизмами эвристического и поведенческого анализа, а также используют облачные технологии, но заражения продолжаются, количество недовольных растет, а раздел «Борьба с вирусами» форума ЛК постепенно превращается в Борьбу с шифровщиками, но и борьбой это назвать нельзя, ведь пострадавший уже пострадал. Система (стенд) тестирования Виртуальная машина: VirtualBox ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit Антивирусные продукты: Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611 Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN Базы сигнатур во всех антивирусных продуктах были устаревшими (от месяца и более) Вирусы: Письмо с шифровщиком AUSI.COM_XQ103, AUSI.COM_XQ108 Файлы в чистом виде шифровщиков группы NONPARTISAN Файл в чистом виде шифровщика KRAKEN Файлы неизвестного происхождения, переданные для анализа на форум ЛК Приманка: Несколько стандартных картинок и документов на рабочем столе для шифровальщика. После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние Сразу оговорюсь перед началом о том, что никакой разницы в битности и версии windows не наблюдалось. Шифровщики прекрасно чувствовали себя и шифровали файлы как в WIN XP так и WIN764-bit. В связи с этим я не буду отвлекаться на уточнение версии системы . Kaspersky Endpoint Security (KES) 8.1.0.1042 Антивирусные базы: май 2013 г. Установка по умолчанию, без предварительных настроек, KSN включен. Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN: Рисунок 1"Блокировка запуска вируса средствами KSN" Запуск файлов группы AUSI.COM_XQ (103,108) Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников. Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку. Рисунок 2"Письмо злоумышленников" Запускаем файл Документы.exe - тишина несколько секунд и все картинки и документы на рабочем столе зашифрованы, а обои рабочего стола сменились на изображение «нигерийца с автоматом» и веселой просьбой денег. Очень и очень плачевно, дальнейшие манипуляции с настройками не приводили к желаемому результату. Таким образом, оставался единственный вариант – это манипуляции с «Контролем запуска программ». В отличие от предыдущей версий защиты корпоративного сегмента Kaspersky Endpoint Security позволяет тонко регулировать запуск программ в ручном режиме, но мы не знаем каким файлом окажется очередной вирус. Значит, в целях безопасности необходимо пойти на более жесткие меры, когда из двух зол выбирают наименьшее, то есть лучше заблокировать случайно чистый файл пользователя, нежели пропустить очередной шифратор. Рассмотрим простой вариант как это реализовать в рамках KES 8. «Замкнутая программная среда» Термин это достаточно не новый и в рамках нашего эксперимента наша замкнутая программная среда будет достаточно поверхностной и простой, поверьте бывают и более жесткие. Если вы загляните в настройки «Контроля запуска программ», то вы обнаружите там одно правило «Разрешить все». Да, по умолчанию, настройки KES реализованы по принципу «не навреди пользователю». Жмем кнопку добавить и видим окно, создания правила контроля запуска программ. Разберем его. Название правила: любо понятное вам, можете назвать «замкнутая среда» Описание: если желаете, то можете дать описание вашему правилу Поле включающие условия: это суть нашего правила. Здесь нажимаем кнопку добавить и выбираем «Условие(я) «KL-категория». Без подробного разбора всех категорий скажу только, что вам необходимо поставить все галочки КРОМЕ последних двух – это «другие программы» и «Некатегоризированные программы». Далее «Пользователи и / или, группы получающие разрешение» указать ВСЕ Жмем «ОК» Рисунок 3"Правило замкнутой среды" Далее, после создания правила необходимо сделать самое главное - Выключить правило «Разрешать все», а наше новое правило должно быть включено. Рисунок 4"Создание среды" Таким образом, данным правилом мы сначала запрещаем ВСЕ, а после разрешаем только то, что считается известным и доверенным по «KL-категории». Попробуем запустить вирус из письма повторно. Рисунок 5"Реакция нового правила на запуск шифратора" Как говорится, комментарии излишни, результат достигнут. Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения. PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным. PSS: Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же. Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611 антивирусные базы: март 2012 г. Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной. Установка по умолчанию, без предварительных настроек + проактивная защита Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их. Запуск шифровщика Результат на лицо, а точнее на экран! Как видите ниже сообщение на экране от злоумышленников, файлы-картинки на рабочем столе зашифрованы. Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик" Настраиваем Проактивную защиту. Часть первая Заходим в настройки проактивной защиты, включаем все компоненты и в каждом компоненте выставляем параметр действие – «Запросить действие». То есть если хоть один из компонентов сработает, то пользователю будет выдан запрос на действие, которое необходимо произвести с подозрительным файлом. Так же нам это поможет определить, который из компонентов «Анализа активности» сработает. Рисунок 7 "Настройка проактивной защиты - анализ активности, часть 1" Запуск шифровщика Результат двойственный. Сразу после запуска вируса, проактивная защита выдала нам сообщение о подозрительном файле и запросе действия над ним. Пока я думал как ответить на запрос произошло шифрование. Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился" Итак, антивирус реагирует и, значит, у нас есть все шансы на победу. Я решил повторить предыдущий тест и, не дожидаясь процесса шифрования, постараться быстро ответить на запрос проактивной защиты – «Завершить». Результат был получен, все файлы живы, процесс полностью остановлен. Настраиваем Проактивную защиту. Часть Вторая. Итак, следующим этапом мы выстраиваем «Проактивную защиту – анализ активности» как и в первой части, но на этот раз действием при обнаружении мы выставляем - «Завершить процесс». Результат был мгновенным. Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности" Такой же отличный результат мы получаем, если в разделе действие «Анализа активности» выставить значение «Поместить на карантин» для тех компонентов, для которых это возможно. Файл-вирус отправляется на карантин. Нам лишь остается выяснить более детально, который из компонентов «Проактивной защиты – анализ активности» срабатывает на шифровальщик. Это позволит нам не быть параноиками и отключить те компоненты, которые не участвуют в ловле данного вируса. После ряда экспериментов выяснилось, что основными компонентами для защиты от вируса шифровальщика в «Анализе активности» являются три компонента: Активность, характерная для Троянских программ Скрытая установка драйвера Скрытый процесс Рисунок 10 "Настройки блокировки вируса-шифровальщика" Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин. PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго. Kaspersky Internet Security 2013 и 2014 Дата выпуска баз: 15.10.2012 и 11.08.2013 соответственно Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии. С этими двумя товарищами история получилась совсем простая и результат просто отличный и это с настройками по умолчанию сразу после установки. В обеих версия вирус был обработан компонентом «Мониторинг активности». Далее история в картинках. KIS сразу сообщает о том, что найден PDM:Trojan.Win32.Generic После выдает запрос на лечение с перезагрузкой или без (без перезагрузки справился прекрасно и удалил вирус) Выполнил автоматически откат вредоносных действий Рисунок 11 "KIS2013 в действии" Рисунок 12 "KIS2014 в действии" Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них. Наумов Кирилл, форум ЛК: DWState, anti-ransom@yandex.ru ____________ДОБАВЛЕНО____________ В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г.: Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows Workstations PSSSSS: и в дополнение Основные направления по предотвращению заражений шифровальщиков: 1. Провести по работу по информированию пользователей организации(й). Разъяснение и обучение пользователей по вопросам безопасности при работе в сети интернет и интернет-почте. Здесь основные направления должны быть по следующим вопросам: Не оставлять своих персональных данных на открытых ресурсах: Не загружать ничего со случайных сайтов: Не проходить по ссылкам в спамовых письмах: Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта 2. Создавать резервные копии наиболее важных данных. Использование внешних накопителей и облачных хранилищ, создание резервных файловых серверов, отключенных от локальных сетей. 3. Есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в ОС Windows, начиная с Windows 2000. Имеет смысл попробовать отключить данную службу, может это остановит хотя бы некоторые из модификаций данного вируса. 4. Использовать Linux\Unix системы для хранения данных или как вторичные(резервные) файловые сервера. Вирусов-Шифровщиков для данных систем пока замечено не было. 5. Пользоваться Антивирусными программами и своевременно и регулярно производить обновление программного обеспечения. Использовать тонкие настройки антивирусных продуктов.
  2. Здравствуйте! Ноут подхватил вирус и зашифровал все файлы с припиской seto. Вирус удалил, а теперь как расшифровать файлы? Addition.txt FRST.txt ПРИМЕР ЗАШИФРОВАННОГО ФАйЛА.jpg.rar
×
×
  • Создать...