Phenquestions
W tym przewodniku dotyczącym zapobiegania i ochrony przed ransomware przyjrzymy się zapobieganiu ransomware i krokom, które można podjąć, aby zablokować i zapobiec ransomware, nowemu złośliwemu oprogramowaniu, które rozpowszechnia wiadomości z niewłaściwych powodów.
Raz po raz dowiadujemy się o zagrożeniach i nowych wariantach złośliwego oprogramowania, takich jak: Ransomware stwarzających zagrożenie dla użytkowników komputerów. Wirus ransomware blokuje dostęp do pliku lub komputera i żąda zapłaty okupu na rzecz twórcy za odzyskanie dostępu, zwykle za pośrednictwem anonimowego, przedpłaconego kuponu gotówkowego lub Bitcoin. Jednym z konkretnych zagrożeń ransomware, które w ostatnim czasie zdołało przyciągnąć uwagę, jest Cryptolocker, oprócz oprogramowania ransomware FBI, Crilock i Locker.
Specjalnością oprogramowania ransomware jest to, że może pojawić się samodzielnie (często przez e-mail) lub za pośrednictwem backdoora lub downloadera, dostarczanego jako dodatkowy składnik. Twój komputer może zostać zainfekowany oprogramowaniem ransomware, gdy klikniesz na złośliwy link w wiadomości e-mail, wiadomości błyskawicznej, w serwisie społecznościowym lub na zaatakowanej witrynie — lub jeśli pobierzesz i otworzysz złośliwy załącznik do wiadomości e-mail. Co więcej, podobnie jak znany wirus, może pozostać niewykryty przez większość programów antywirusowych. I nawet jeśli twoje oprogramowanie antywirusowe jest w stanie usunąć ransomware, wiele razy, po prostu zostaniesz z mnóstwem zablokowanych plików i danych!
Jak zapobiegać ransomware
Chociaż sytuacja jest niepokojąca, a wynik jest w większości przypadków fatalny, jeśli nie zastosujesz się do zasad autora złośliwego oprogramowania – ponieważ zaszyfrowane pliki mogą zostać uszkodzone nie do naprawienia – możesz podjąć pewne środki zapobiegawcze, aby powstrzymać problem. Możesz zapobiec szyfrowaniu ransomware! Zobaczmy niektóre z Kroki zapobiegania ransomware możesz wziąć. Te kroki mogą pomóc w blokowaniu i zapobieganiu ransomware.
Zaktualizowany system operacyjny i oprogramowanie zabezpieczające
Nie trzeba dodawać, że używasz a w pełni zaktualizowany nowoczesny system operacyjny jak Windows 10/8/7, a dobre oprogramowanie antywirusowe lub pakiet zabezpieczeń internetowych i zaktualizowana bezpieczna przeglądarka, i zaktualizowany klient poczty e-mail. Ustaw swojego klienta poczty e-mail na blok .pliki exe.
Twórcy złośliwego oprogramowania uważają użytkowników komputerów, którzy korzystają z przestarzałych wersji systemu operacyjnego, za łatwy cel. Wiadomo, że mają pewne luki, które ci znani przestępcy mogą wykorzystać, aby po cichu dostać się do twojego systemu. Więc zaktualizuj lub zaktualizuj swoje oprogramowanie. Korzystaj z renomowanego pakietu bezpieczeństwa. Zawsze zaleca się uruchomienie programu, który łączy w sobie zarówno oprogramowanie chroniące przed złośliwym oprogramowaniem, jak i zaporę programową, aby pomóc Ci zidentyfikować zagrożenia lub podejrzane zachowanie, ponieważ autorzy złośliwego oprogramowania często wysyłają nowe warianty, aby uniknąć wykrycia. Możesz przeczytać ten post na temat sztuczek ransomware i zachowań przeglądarki.
Przeczytaj o ochronie przed ransomware w systemie Windows 10.
Utwórz kopię zapasową swoich danych
Z pewnością możesz zminimalizować szkody spowodowane w przypadku zainfekowania komputera przez Ransomware, biorąc regularne kopie zapasowe. W rzeczywistości Microsoft poszedł na całość i powiedział, że tworzenie kopii zapasowych to najlepsza ochrona przed oprogramowaniem ransomware, w tym Cryptolockerem.
Nigdy nie klikaj nieznanych linków ani nie pobieraj załączników z nieznanych źródeł
To jest ważne. E-mail jest powszechnym wektorem używanym przez Ransomware, aby dostać się na twój komputer. Dlatego nigdy nie klikaj żadnego linku, który może wydawać się podejrzany. Nawet jeśli masz 1% wątpliwości - nie! To samo dotyczy załączników. Z pewnością możesz pobierać załączniki, których oczekujesz od przyjaciół, krewnych i współpracowników, ale uważaj na wiadomości przesyłane dalej, które możesz otrzymywać nawet od znajomych. Mała zasada do zapamiętania w takich sytuacjach: W razie wątpliwości - NIE!! Przyjrzyj się środkom ostrożności, jakie należy podjąć podczas otwierania załączników wiadomości e-mail lub przed kliknięciem linków internetowych.
RansomSaver to bardzo przydatny dodatek do programu Microsoft Outlook, który wykrywa i blokuje wiadomości e-mail, do których dołączone są pliki złośliwego oprogramowania ransomware.
Pokaż ukryte rozszerzenie pliku
Jednym z plików, który służy jako ścieżka wejściowa dla Cryptolockera, jest plik o nazwie z rozszerzeniem „.PDF.EXE”. Malware lubią ukrywać swoje .pliki exe jako nieszkodliwe wyglądające .pdf… doc lub .pliki txt. Jeśli włączysz tę funkcję, aby zobaczyć pełne rozszerzenie pliku, łatwiej będzie wykryć podejrzane pliki i wyeliminować je w pierwszej kolejności. Aby wyświetlić ukryte rozszerzenia plików, wykonaj następujące czynności:
Otwórz Panel sterowania i wyszukaj Opcje folderów. Na karcie Widok odznacz opcję Ukryj rozszerzenia dla znanych typów plików.
Kliknij Zastosuj > OK. Teraz, gdy sprawdzasz swoje pliki, nazwy plików zawsze będą wyświetlane z rozszerzeniami, takimi jak .doktor, .pdf, .txt itp. Pomoże Ci to zobaczyć prawdziwe rozszerzenia plików.
Wyłącz pliki działające z folderów AppData/LocalAppData
Spróbuj utworzyć i wyegzekwować reguły w systemie Windows lub użyj oprogramowania do zapobiegania włamaniom, aby uniemożliwić określone, godne uwagi zachowanie używane przez kilka Ransomware, w tym Cryptolocker, uruchamianie jego pliku wykonywalnego z folderów App Data lub Local App Data. Cryptolocker Prevention Kit to narzędzie stworzone przez Third Tier, które automatyzuje proces tworzenia zasad grupy, aby wyłączyć pliki uruchamiane z folderów App Data i Local App Data, a także wyłączyć uruchamianie plików wykonywalnych z katalogu Temp różnych narzędzi do rozpakowywania.
Biała lista aplikacji
Biała lista aplikacji to dobra praktyka stosowana przez większość administratorów IT w celu zapobiegania uruchamianiu w ich systemie nieautoryzowanych plików wykonywalnych lub programów. Gdy to zrobisz, tylko oprogramowanie, które masz na białej liście, będzie mogło działać w Twoim systemie, w wyniku czego nieznane pliki wykonawcze, złośliwe oprogramowanie lub oprogramowanie ransomware po prostu nie będą mogły działać. Zobacz, jak dodać program do białej listy.
Wyłącz SMB1
SMB lub Server Message Block to protokół udostępniania plików w sieci przeznaczony do udostępniania plików, drukarek itp. między komputerami. Istnieją trzy wersje — Server Message Block (SMB) w wersji 1 (SMBv1), SMB w wersji 2 (SMBv2) i SMB w wersji 3 (SMBv3). Ze względów bezpieczeństwa zaleca się wyłączenie protokołu SMB1.
Użyj AppLockera
Użyj wbudowanej funkcji systemu Windows AppLocker, aby uniemożliwić użytkownikom instalowanie lub uruchamianie aplikacji Windows Store i kontrolować, które oprogramowanie powinno być uruchamiane. Możesz odpowiednio skonfigurować swoje urządzenie, aby zmniejszyć ryzyko infekcji ransomware Cryptolocker.
Możesz go również użyć do złagodzenia ransomware, blokując niepodpisany plik wykonywalny, w miejscach takich jak:
\AppData\Local\Temp \AppData\Lokalny\Temp\* \AppData\Lokalny\Temp\*\*
W tym poście dowiesz się, jak tworzyć reguły za pomocą funkcji AppLocker do pliku wykonywalnego i umieszczać aplikacje na białej liście.
Korzystanie z EMET
Zestaw narzędzi Enhanced Mitigation Experience chroni komputery z systemem Windows przed cyberatakami i nieznanymi exploitami. Wykrywa i blokuje techniki eksploatacji, które są powszechnie używane do wykorzystywania luk w zabezpieczeniach pamięci. Zapobiega to zrzucaniu trojanów przez exploity, ale jeśli klikniesz otwieranie pliku, nie będzie on w stanie pomóc. AKTUALIZACJA: To narzędzie nie jest teraz dostępne. Aktualizacja Windows 10 Fall Creators Update będzie zawierać EMET jako część Windows Defender, więc użytkownicy tego systemu operacyjnego nie muszą z niego korzystać.
Chroń MBR
Chroń główny rekord rozruchowy komputera za pomocą filtra MBR.
Wyłącz protokół zdalnego pulpitu
Większość oprogramowania ransomware, w tym złośliwego oprogramowania Cryptolocker, próbuje uzyskać dostęp do komputerów docelowych za pośrednictwem protokołu RDP (Remote Desktop Protocol), narzędzia systemu Windows, które umożliwia zdalny dostęp do pulpitu. Tak więc, jeśli uważasz, że RDP nie jest dla Ciebie przydatny, wyłącz zdalny pulpit, aby chronić swoją maszynę przed File Coder i innymi exploitami RDP.
Wyłącz hosta skryptów Windows
Rodziny złośliwego oprogramowania i ransomware często używają WSH do uruchamiania .js lub .pliki jse do zainfekowania komputera. Jeśli nie korzystasz z tej funkcji, możesz wyłączyć hosta skryptów systemu Windows, aby zachować bezpieczeństwo.
Użyj narzędzi do zapobiegania lub usuwania ransomware
Użyj dobrego darmowego oprogramowania anty-ransomware. BitDefender AntiRansomware i RansomFree to tylko niektóre z tych dobrych. Możesz użyć RanSim Ransomware Simulator, aby sprawdzić, czy Twój komputer jest wystarczająco chroniony.
Kaspersky WindowsUnlocker może być przydatny, jeśli ransomware całkowicie blokuje dostęp do komputera, a nawet ogranicza dostęp do wybranych ważnych funkcji, ponieważ może wyczyścić rejestr zainfekowany oprogramowaniem ransomware.
Jeśli możesz zidentyfikować oprogramowanie ransomware, może to nieco ułatwić, ponieważ możesz użyć narzędzi do deszyfrowania oprogramowania ransomware, które mogą być dostępne dla tego konkretnego oprogramowania ransomware.
Oto lista darmowych narzędzi do odszyfrowywania ransomware, które mogą pomóc w odblokowaniu plików.
Natychmiast odłącz się od Internetu
Jeśli masz podejrzenia co do pliku, działaj szybko, aby zatrzymać jego komunikację z serwerem C&C, zanim zakończy on szyfrowanie plików. Aby to zrobić, po prostu natychmiast odłącz się od Internetu, Wi-Fi lub sieci, ponieważ proces szyfrowania zajmuje trochę czasu, więc chociaż nie możesz zniwelować efektu Ransomware, z pewnością możesz złagodzić szkody.
Użyj Przywracania systemu, aby wrócić do stanu znanego, czystego
Jeśli masz włączone Przywracanie systemu na swoim komputerze z systemem Windows, a ja nalegam, abyś je posiadał, spróbuj przywrócić system do znanego stanu czystego. Nie jest to metoda niezawodna, jednak w niektórych przypadkach może pomóc.
Cofnij zegar BIOS
Większość oprogramowania ransomware, w tym Cryptolocker lub FBI Ransomware, oferuje termin lub limit czasu, w którym można dokonać płatności. W przypadku przedłużenia cena klucza deszyfrującego może znacznie wzrosnąć i - nie można nawet się targować. To, co możesz przynajmniej spróbować, to „pobić zegar”, ustawiając zegar BIOS z powrotem na czas przed upływem terminu ostatecznego. Jedyny ośrodek, w którym wszystkie sztuczki zawodzą, ponieważ może to uniemożliwić zapłacenie wyższej ceny. Większość ransomware oferuje okres od 3 do 8 dni i może wymagać nawet 300 USD lub więcej za klucz do odblokowania zablokowanych plików danych.
Chociaż większość grup docelowych ransomware znajdowała się w Stanach Zjednoczonych i Wielkiej Brytanii, nie ma ograniczeń geograficznych. Każdy może być nią dotknięty – a z każdym dniem wykrywane jest coraz więcej złośliwego oprogramowania ransomware. Podejmij więc kilka kroków, aby zapobiec przedostawaniu się oprogramowania ransomware na komputer. Ten post mówi trochę więcej o atakach ransomware i często zadawanych pytaniach.
Teraz przeczytaj: Co zrobić po ataku ransomware.
