Януари 21, 2015

CryptoLocker, VirLock, FileCoder, TorrentLocker, CTB Locker - различни имена, едно действие. Как да се защитите?

CryptoLocker, VirLock, FileCoder, TorrentLocker, CTB Locker - различни имена, едно действие. Как да се защитите?

Не е тайна, че в последно време зловредните кодове от тип ransomware са особено активни. Заплахите от този тип са известни с различни имена като VirLock, CryptoLocker, FileCoder, TorrentLocker, но всички те правят едно и също - атакуват (и то доста успешно) множество потребители като заключват важни за тях файлове, след което искат насрещен откуп за възстановяването им..

Екипът на ESET представя някои съвети, с които ще подобрите степента си на защита и ще увеличите шансовете си да не бъдете един от заразените потребители:

1. Настройте антивирусната си програма

За потребителите, които разполагат с продукт на ESET препоръчваме следните настройки за повишаване нивото на защита:

  • да се включи системата ESET LiveGrid;
  • да се разреши сканирането при създаване на файл за модула Real-Time Protection (защита в реално време);
  • да се разреши Advanced Heuristics (разширени евристики) при изпълнение на файлове.

2. Правете бек-ъп на данните си

Естествено, когато говорим за вирус, който заключва файлове, най-сигурният метод е да правите регулярен бек-ъп на данните си. Когато бъдете атакувани с ransomware е доста вероятно да изгубите информацията, която сте генерирали през деня, но ако можете да възстановите системата си към предишен момент или да възстановите документите си от бек-ъп, може да сте спокойни. Важно е да знаете, че може да бъдат криптирани и файловете на мап-нати папки по мрежата или на закачени външни дискове. Затова бек-ъпа трябва да се прави към външна услуга за архивиране или към външен диск на който не е присвоена буква, както и да изключвате устройствата за съхранение, когато не правите бек-ъп.

3. Показване на скрити файлови разширения

Един от начините, чрез които Cryptolocker често пристига е във файл с разширение ".PDF.EXE", разчитайки на поведението по подразбиране в Windows за скриване на известни файлови разширения. Ако разрешите отново възможността да видите пълното разширение, ще ви бъде по-лесно да забележите подозрителни файлове.

4. Филтър на .exe в имейл

Ако разполагате със мейл скенер на входа на мрежата, който притежава способността да филтрира файловете по техните разширения, можете да забраните файлове с разширение .exe. Това ще ви предпази и от много други типове зловреден код.

5. Забраняване файлове да се стартират от AppData / LocalAppData папки

Можете да създавате правила в Windows или със софтуер за предотвратяване на прониквания, за да специфичното за Cryptolocker поведение да се изпълнява от AppData / LocalAppData папки. Ако (по някаква причина) имате друг софтуер, който знаете, че е настроен да работи не от обичайните Program Files, а от App Data, ще трябва да го изключите от това правило.

6. Изключване на RDP

Малуера Cryptolocker / Filecoder често достъпва целеви машини, използващи протокол Remote Desktop Protocol (RDP), помощна програма на Windows, който позволява на други хора да получат достъп до вашия работен плот от разстояние. Ако не се изисква използването на RDP, можете спокойно да го забраните. За инструкции как да направите това, посетете статиите по-долу в базата знания на Microsoft:

7. Обновете вашият софтуер

Този съвет е общ и се отнася към всички възможни заплахи от зловреден код. Същото важи и за Cryptolocker. Колкото по-нова и съвременна версия ползвате, толкова по-голяма е защитата ви. Много често, хакерите се възползват именно от уязвимости, оставени от стари версии на даден софтуер и ги експлоатират, за да заразят потребителите. В особена степен това важи за антивирусния софтуер, който се нуждае от най-съвременните си модули, за да се пребори успешно със съвременните зловредни кодове.

8. Използвайте реномиран пакет за сигурност

Едно от най-важните неща е да изберете подходяща и качествена защита. Добре е вашата антивирусна програма да има антивирус и защитна стена, които да ви помогнат да идентифицирате заплахи и подозрително поведение по-ефективно. Това трудно може да се очаква от безплатни или кракнати решения.

Ако се окажете в положение на стартиран ransomware файл, без да е извършена някоя от предишните предпазни мерки, вашите възможности са доста по-ограничени. Но не всичко може да се загуби. Има няколко неща, които можете да направите и които биха могли да спомогнат за намаляване на щетите, особено ако въпросният ransomware се окаже Cryptolocker:

9. Прекъснете WiFi или изключете от мрежата веднага

В случай, че не сте изпълнили предходните стъпки, а в същото време ви обвземе усещането, че току що сте кликнали на неправилния линк, Ви остава последната надежда – мигновено изключване на интернет връзката. Вирусите от този тип имат нужда от известно време за комуникация със сървър и ако сте много бързи можете да я прекъснете навреме. Разбира се, това е просто капка надежда и в никакъв случай сигурен метод за защита.

10. Направете System Restore

Да предположим, че вече сте заразени. Можете да опитате да направите възстановяване на системата до предишно състояние, което знаете, че е било чисто. Но отново – Cryptolocker знае това и по-новите му версии разполагат с възможността да трият “Shadow” файлове от System Restore, което означава, че вече криптираните файлове няма да бъдат там, когато се опитате да направите restore.

11. Внимавайте и уведомете всички в мрежата

И накрая най-важното – бъдете внимателни. Не кликайте на подозрителни линкове, не отваряйте имейли от непознати хора и в никакъв случай не сваляйте файлове от имейли, които ви се струват подозрителни. Уведомете всички потребители във вашата мрежа и обяснете сериозността на проблема.