Système et mise à jour 

Examen des antivirus pour Android. Classement des antivirus pour Android, description des meilleurs. Quel antivirus est-il préférable de télécharger pour les appareils Android ?

Les chevaux de Troie Ransomware sont un type spécial de malware créé à des fins d'extorsion (ransomware). Leur course de masse a été enregistrée pour la première fois fin 2006. Au cours des dix dernières années, la situation n’a pratiquement pas changé. Aujourd'hui, de nouveaux exemples de chevaux de Troie continuent de crypter des fichiers sous le nez des logiciels antivirus et d'exiger un paiement pour le décryptage. Qui est responsable de cela et, surtout, que faire ?

Si le cheval de Troie a crypté vos fichiers, éteignez immédiatement votre ordinateur ! Essayez ensuite de collecter autant de données que possible. Idéalement, il faut réaliser une image secteur par secteur du disque puis analyser sereinement la situation.

Que sont les chevaux de Troie ransomware ?

Aujourd'hui, la plupart des utilisateurs disposent d'un antivirus populaire ou au moins de MSRT - un « outil de suppression » intégré à Windows. malware" Cependant, le ransomware s’exécute silencieusement, crypte les fichiers et laisse un message de rançon. Habituellement, ils promettent d’envoyer la clé de déchiffrement après le paiement de manière semi-anonyme. Par exemple, accédez via Tor à une page avec instructions supplémentaires et transférer la rançon à numéro occasionnel portefeuille

Les antivirus réagissent si rarement à cette situation que leurs développeurs ont même été accusés de collusion. Ce n’est pas la première fois que des virologues sont soupçonnés de fins criminelles, mais techniquement tout est expliqué plus simplement ici. Le fait est que le cheval de Troie ransomware n’effectue aucune action indiquant clairement sa présence. activité malveillante. Sam est un programme simple avec un ensemble de bibliothèques usage général. Parfois, il s'agit simplement d'un script ou d'un fichier batch qui lance d'autres utilitaires portables. Examinons plus en détail l'algorithme général des actions du ransomware.

Habituellement, l’utilisateur télécharge et exécute lui-même le ransomware. Le cheval de Troie est transmis à la victime sous couvert d'une mise à jour, d'un utilitaire nécessaire, d'un document avec un lien de phishing et d'autres méthodes d'ingénierie sociale connues de longue date. Les antivirus sont impuissants face à la naïveté humaine.

Un cheval de Troie chiffrant ayant pénétré dans un système ne peut être identifié par sa signature que s'il se trouve déjà dans les bases de données. Ils ne contiennent évidemment aucun nouvel échantillon et les modifications des anciens chevaux de Troie sont également vérifiées pour être détectées avant leur distribution.

Après le lancement du cheval de Troie, l'analyseur comportemental antivirus reste silencieux car, de son point de vue, aucune action potentiellement dangereuse n'est effectuée. Un programme recherche des fichiers par masque ? Oui s'il vous plait! Crée des copies de fichiers ? Aucun problème! Est-ce qu'il crypte les copies ? Ce n’est pas non plus une raison de paniquer. Les fonctions de chiffrement sont prises en charge par la plupart des programmes modernes et le cheval de Troie utilise les mêmes bibliothèques cryptographiques standards. Est-ce que ça supprime les fichiers utilisateur ? Ce n’est pas non plus interdit – ils ne sont pas systémiques. Écrase espace libre? La suppression sécurisée est également une fonctionnalité populaire et légale. Est-il ajouté à l'exécution automatique ? C’est également un comportement autorisé.

Contrairement aux virus classiques, un cheval de Troie ransomware n’essaie pas de modifier les fichiers, ne s’injecte pas dans les processus actifs et se comporte généralement de manière ennuyeuse. Il crée simplement des copies de documents et de bases de données, les crypte, puis supprime définitivement les fichiers originaux et la clé de cryptage de l'utilisateur, laissant derrière lui un texte de rançon. Quoi qu’il en soit, les auteurs des chevaux de Troie aimeraient voir exactement ce comportement idéal. En réalité, cette chaîne de processus peut échouer à tout moment, ce qui rend possible méthodes alternatives transcriptions.

Les antivirus classiques sont incapables de lutter contre les nouveaux ransomwares dont les signatures ne figurent pas encore dans leurs bases de données. Ils ne peuvent reconnaître que les modifications les plus grossières au niveau heuristique. Solutions complètes(comme Dr.Web Security Space et Kaspersky Internet Security / Sécurité totale) savent déjà comment éliminer leurs conséquences destructrices. Ils font des copies à l'avance fichiers utilisateur, masquez-les et bloquez-en l'accès programmes tiers. Si le cheval de Troie accède à des photos et des documents à partir de répertoires standards, vous pouvez toujours les restaurer à partir de copies et simplement supprimer les fichiers cryptés.

Étant donné que le complexe antivirus charge son pilote et son module de protection résident avant même que l'utilisateur ne se connecte, il s'agit d'une méthode assez fiable pour stocker des copies de sauvegarde. Cependant, ils peuvent également être effectués utilitaires tiers. L'essentiel est qu'ils soient placés sur un support externe, qui est désactivé immédiatement après la création de la sauvegarde. Sinon, le cheval de Troie détectera les sauvegardes sur un disque dur connecté en permanence et les chiffrera ou les endommagera également.


Parmi les programmes de sauvegarde universels, l'utilitaire gratuit Veeam Endpoint Backup Free offre une protection supplémentaire contre les logiciels malveillants. Il peut déconnecter automatiquement les clés USB immédiatement une fois les sauvegardes terminées et enregistrer plusieurs versions de fichiers.

À fonctionnalités supplémentaires Le programme inclut la possibilité de sauvegarder les partitions système sans les désactiver (copie instantanée), une récupération presque instantanée fichiers séparés et catalogues (ils peuvent être ouverts directement à partir de l'image à l'aide de liens) et autres options intéressantes. Il peut également créer un disque de démarrage avec son propre environnement de récupération au cas où le cheval de Troie aurait bloqué travail normal Système d'exploitation.


Sauf utilitaires universels pour la sauvegarde de fonctions supplémentaires protection contre les ransomwares, il existe toute une gamme programmes spécialisés protection préventive. Certains d'entre eux ne sont disponibles gratuitement qu'au stade des tests bêta, puis deviennent un nouveau module antivirus payant (ce fut par exemple le cas de Malwarebytes Anti-Ransomware). D’autres existent encore sous forme de solutions gratuites distinctes.

GridinSoft Anti-Ransomware

Cet utilitaire ukrainien de prévention des infections par ransomware est actuellement en phase de test bêta. Les développeurs le décrivent comme remède universel, empêchant toute tentative de chiffrement de fichiers non autorisé. Ils promettent de bloquer efficacement les attaques de ransomwares et de prévenir la perte de données qu’elles provoquent. En pratique, l’utilitaire s’est avéré inutile. Le premier cheval de Troie ransomware de l’ancienne collection s’est lancé discrètement, a fait son sale boulot et a affiché des demandes de rançon sur le bureau.


Prévention des logiciels malveillants CryptoPrevent

Cet utilitaire a laissé l’impression la plus mitigée. Le CPMP agit de manière proactive sur la base grand ensemble des politiques de groupe et de nombreux filtres comportementaux, contrôlant les actions des programmes et l'état des répertoires des utilisateurs. Il dispose de plusieurs modes de protection, dont le niveau « Maximum », qui fonctionne sur le principe « réglez-le et oubliez-le ».

L'interface du programme fournit accès rapideà des dizaines de paramètres, mais après avoir modifié la plupart d'entre eux, un redémarrage est nécessaire. L'application CPMP elle-même n'a pas besoin d'être exécutée en permanence. Il doit uniquement être exécuté à des fins de surveillance et de maintenance. Par exemple, pour vérifier l'état, lire les journaux, mettre à jour ou modifier les paramètres.

Dans le même temps, le module complémentaire graphique est très long à lancer et ne fournit pas d'alertes en temps réel. Il n’y a pas non plus de quarantaine habituelle. En mode « Protection maximale », tous les fichiers identifiés comme dangereux sont simplement supprimés sans aucun doute.

Pour tester cela, nous avons essayé de régler CPMP sur le niveau de protection maximum et de publier séquentiellement sept chevaux de Troie ransomware différents. Trois d’entre eux ont été immédiatement supprimés par le CPMP lors de la tentative de lancement. Aucun message n'a été affiché. Quatre autres ont pris le départ en toute sécurité, mais n'ont pas atteint la ligne d'arrivée. CPMP ne leur a pas permis de créer de nouveaux fichiers et de crypter les fichiers des utilisateurs, mais il ne les a pas non plus supprimés. La charge du processeur était tout le temps à 100 %, le disque vrombissait et faisait n'importe quoi système de test c'était impossible.


Avec difficulté, nous avons réussi à accéder au bouton Kill Apps Now dans la fenêtre CPMP. Après une seconde, tous les programmes lancés en tant qu'utilisateur (y compris Explorateur de processus), ont été déchargés de force. Seuls les processus système restent dans la RAM.


Pendant la bataille, certains logiciels malveillants se sont installés sur le bureau et le cheval de Troie Satan.f a ajouté une demande de rançon textuelle à l'exécution automatique. Aucun fichier n'a été chiffré, mais suppression complète les logiciels malveillants aussi.

Le résultat fut une impasse : même les restrictions les plus strictes n’étaient pas garanties. protection fiable des chevaux de Troie ransomware. Dans certains cas, une résistance active à ces attaques a conduit à l'occupation complète de toutes les ressources du système. Aucune notification n'est affichée. Il est possible de comprendre ce qui se passe dans le système uniquement en analysant les journaux, mais vous devez toujours y accéder.

Cybereason RansomGratuit

Il s'agit d'un analyseur comportemental pour Windows 7 à 10, conçu pour prévenir l'infection par des chevaux de Troie ransomware connus et nouveaux, notamment les ransomwares et les winlockers. Selon les développeurs, le programme a été écrit par d'anciens experts militaires en sécurité de l'information qui ont reçu 90 millions de dollars d'investissement de Lockheed Martin et Softbank.


Le premier cheval de Troie ransomware a été lancé, mais s'est immédiatement écrasé avec une erreur. La seconde est devenue un processus actif en mémoire. Cybereason l'a immédiatement identifié et a proposé non seulement de le télécharger, mais également de supprimer le fichier créé par le cheval de Troie.


Deuxième détecteur

Le troisième cheval de Troie a également été bloqué avec succès. Cybereason ne lui a pas permis de chiffrer les fichiers. Le processus 58CD2A07 a été déchargé et une seule détection sur VirusTotal pour Wininit.exe était un faux positif.

Deux prochains chevaux de Troie Cybereason cligna des yeux. Ils n’ont été actifs que quelques secondes, mais cela a suffi à vaincre la défense proactive.


Un vieil ami de Petya a redémarré de force l'ordinateur, bloqué le démarrage de Windows et chiffré les fichiers. C'est dommage que Cybereason ait abandonné si vite. Nous avions encore tellement de chevaux parmi les vétérans de la cavalerie !


Outil anti-ransomware Kaspersky pour les entreprises

Ce programme gratuit est conçu pour protéger contre tous les types de ransomwares, y compris les nouveaux ransomwares et winlockers. Fonctionne dans les versions modernes de Windows (7 à 10) de n’importe quelle taille de bits. Il détecte les nouvelles versions de ransomwares sur la base des caractéristiques de réputation des fichiers dans le réseau cloud de Kaspersky Security Network et de l'analyse comportementale effectuée par le composant « surveillance des activités ». KART for Business peut être utilisé avec n'importe quel antivirus tiers, mais ce programme est incompatible avec les solutions de Kaspersky Lab, car elles incluent déjà des fonctionnalités similaires.

KART fonctionne en arrière-plan et ne consomme pas de ressources système de manière notable. Les paramètres du programme sont minimes et n'affectent pas l'analyse réelle. Elle est toujours effectuée via le réseau cloud KSN et l'utilisateur n'est informé que des menaces détectées.


Si vous considérez que le déclencheur d'une candidature est faux, vous pouvez l'ajouter à la liste des exceptions en cliquant sur Gérer les applications... mais il vaut mieux y réfléchir à deux fois.

Toute détection prend du temps, c'est pourquoi KART stocke un historique de l'activité des applications au cas où le cheval de Troie parviendrait à apporter des modifications au système avant qu'il ne soit bloqué.


Lors de l'exécution sur un ordinateur déjà infecté Ordinateur Kaspersky Anti-Ransomware Tool for Business détecte automatiquement les fichiers cryptés par un cheval de Troie et les place dans un stockage séparé pour un transfert ultérieur à des spécialistes pour décryptage.

Outil anti-ransomware Bitdefender

Un autre programme au nom explicite de la société roumaine Bitdefender. BART peut être utilisé en parallèle avec n'importe quel antivirus, à l'exception de ceux créés par Bitdefender - ils disposent déjà des modules correspondants. En externe, BART fonctionne de la même manière que KART. Ils ont des principes communs pour détecter les chevaux de Troie connus et nouveaux via un réseau propriétaire. vérification du cloud et un analyseur de comportement. Le développeur souligne que BART repose sur des méthodes permettant de contrer quatre grandes familles de chevaux de Troie de chiffrement : CTB-Locker, Locky, Petya et TeslaCrypt.

C'est peut-être contre cela que l'utilitaire protège, mais même une brève connaissance de BART a laissé une impression désagréable. Il n’a pas pu empêcher le lancement du premier cheval de Troie, dont la signature figure depuis longtemps dans les bases de données Bitdefender. Le cheval de Troie s'est enregistré sans problème dans le démarrage automatique et a commencé à dominer le système, tandis que BART a montré le feu vert.


Inspection du cheval cadeau

Si un cheval de Troie ransomware s’exécute sur le système et parvient à faire beaucoup de dégâts, ne paniquez pas et n’essayez pas de le supprimer du système d’exploitation en cours d’exécution. Votre ordinateur est désormais une scène de crime dont toutes les traces doivent être préservées.

Contrairement au proverbe, dans le cas des cryptographes avec un cheval cadeau, vous devez tout regarder - un désassembleur et un éditeur hexadécimal. Il vaut mieux confier cette tâche aux analystes des laboratoires antivirus, car ils étudieront les nouvel échantillon malware. Souvent, vous pouvez trouver des indices dans le code qui vous aident à développer un moyen de décrypter les fichiers. Par conséquent, vous ne devez en aucun cas battre le cheval jusqu'à ce qu'il soit complètement déchiffré. Sécurisez-le simplement en le supprimant de l'exécution automatique et en le plaçant dans une archive avec un mot de passe.

Ce sont les erreurs dans le code du cheval de Troie qui permettent de trouver la clé plus rapidement qu'en 100 à 500 000 ans, comme ce serait le cas si ses auteurs implémentaient correctement AES-256. Cette norme de chiffrement est souvent évoquée par les créateurs de chevaux de Troie dans leurs menaces. On pense que cela convaincra les victimes qu'il est impossible de décrypter des fichiers sans clé, mais en réalité, de nombreux chevaux de Troie sont basés sur des algorithmes plus simples.

Pour le même malware qui a réellement tenté d'utiliser AES, en raison de défauts grossiers, l'ensemble des clés possibles est réduit à un tel volume qu'il peut déjà être trié sur un ordinateur personnel ordinaire en quelques jours, voire quelques heures. Parmi les ransomwares, il existe également des variantes qui ne nécessitent aucune qualification particulière pour être décryptées. Soit ils stockent la clé localement, soit tout « cryptage » repose sur une opération pas plus compliquée que XOR.

L'expert d'Emsisoft, Fabian Wosar, plaisante souvent sur son blog en disant qu'il lui a fallu moins de temps pour briser l'algorithme de chiffrement d'un autre malware que pour rédiger des demandes de rançon auprès de ses auteurs. Il publie gratuitement des utilitaires de décryptage de fichiers sur le site Web de l'entreprise.

Programme universel il n'y a pas de décryptage, vous devez donc sélectionner celui qui convient à chaque cas spécifique. D'autres développeurs disposent également de leurs propres catalogues d'utilitaires de décryptage gratuits logiciel antivirus. Par exemple, chez Kaspersky Lab, ce sont tous des programmes dont le nom contient Decryptor. Des utilitaires de décryptage peuvent également être trouvés sur le site Web du projet commun No More Ransom. Il a été lancé à l'initiative de l'Unité nationale de lutte contre la cybercriminalité de la police néerlandaise, du Centre européen de lutte contre la cybercriminalité Europol et de deux sociétés antivirus - Kaspersky Lab et Intel Security.

Vous devriez commencer par rechercher des utilitaires gratuits sur ces sites, mais que faire si celui dont vous avez besoin ne se trouve pas parmi eux ? Malheureusement, cela est également très probable. De nouvelles versions de chevaux de Troie de chiffrement apparaissent constamment, et toutes ne se cassent pas une ou deux fois. Les analystes peuvent traiter des échantillons individuels pendant plus d'un mois. Parfois, il arrive également que la méthode de décryptage ne puisse pas être détectée du tout. Ceci est soit le résultat d'un cryptage de qualité particulièrement élevée (très rare), soit, au contraire, du code cheval de Troie le plus tordu, dont l'algorithme corrompt les fichiers et, en principe, n'implique pas un décryptage correct.

Si des utilitaires gratuits bien connus ne vous ont pas aidé, vous pouvez envoyer une lettre à Fabian, créer une demande sur le service Crypto Sheriff et en même temps écrire à assistance technique Emsisoft et d'autres sociétés antivirus.

Dans tous les cas, le nouveau malware doit être envoyé aux analystes antivirus. De plus, il est préférable de leur envoyer non seulement le fichier du cheval de Troie lui-même, mais également tous les fichiers créés par celui-ci. fichiers temporaires et trois à cinq échantillons de fichiers cryptés. Si vous disposez de versions originales (non chiffrées) des mêmes fichiers quelque part dans vos sauvegardes, joignez-les à la demande. Paires assorties " texte en clair/ texte chiffré" est l'une des principales méthodes de cryptanalyse. Plus vous trouverez de telles paires, plus rapidement une méthode de décryptage sera trouvée.

De plus, les analystes effectuent la même attaque sur du texte connu en utilisant des en-têtes de fichiers standard. Par exemple, pour les fichiers .doc, il s'agit de D0 CF 11 E0 A1 B1 1A E1, et pour les images.png, il s'agit de 89 50 4E 47 0D 0A 1A 0A. Consultez le tableau des signatures de fichiers pour plus de détails. Les fichiers texte (TXT) ont un contenu complètement aléatoire, ce qui en fait les plus difficiles à décrypter.

D'après mon expérience, Dr.Web et Kaspersky Lab sont les meilleurs pour décrypter les fichiers. Si vous disposez d'une licence valide pour l'un d'entre eux produit commercial, les analystes décrypteront les fichiers gratuitement. Si vous n'êtes pas leur utilisateur, alors pour de l'argent. En règle générale, un service de décryptage coûte plusieurs fois plus cher qu'une licence antivirus annuelle, mais une telle politique est compréhensible. La cryptanalyse, en particulier dans le cas d'AES et de RSA, prend beaucoup de temps, qu'il vaut mieux consacrer aux spécialistes qui soutiennent leurs clients réguliers.

En octobre, l'un de nos lecteurs a détecté une nouvelle modification d'un cheval de Troie de chiffrement et a en même temps contacté le support technique de diverses sociétés.

Trois jours plus tard, il reçoit une réponse de Dr.Web : « Une solution a été trouvée. Le décryptage est possible. Pour les utilisateurs non-Dr.Web, le service est payant. Comment obtenir le décryptage sur une base commerciale : achetez le Dr.Web Rescue Pack au prix de 5 299 roubles hors TVA. Le Dr.Web Rescue Pack comprend un service de décryptage et une licence Dr.Web Security Space de deux ans pour protéger un PC.

Le lecteur n'était pas satisfait du prix et a donc commencé à attendre une réponse d'autres sociétés. Environ un mois plus tard, une nouvelle version de l'utilitaire gratuit RannohDecryptor est apparue sur le site Web de Kaspersky Lab, avec laquelle il a utilisé pour décrypter ses fichiers.


Le décryptage a été effectué localement et, à en juger par la charge CPU à long terme à 100 %, en utilisant une méthode de force brute. Transcription complète 565 fichiers ont pris neuf heures et demie sur un ordinateur de bureau Core i5. Un seul fichier est resté non déchiffré, ce qui s'est avéré être une copie d'un autre.


Conclusions

Les chevaux de Troie de chiffrement créent de nombreux problèmes, vous obligeant à consacrer beaucoup de temps et/ou d'argent au décryptage de vos fichiers. Antivirus simple pas assez pour les combattre. Tôt ou tard, il manquera un nouveau malware dont la signature ne figure pas encore dans la base de données. Il vaut donc la peine de prendre dès maintenant des mesures de protection supplémentaires. Parmi eux, il y en a beaucoup options gratuites, mais leur efficacité laisse encore beaucoup à désirer. Au minimum, il est logique d'effectuer régulièrement des sauvegardes et d'en limiter l'accès, ainsi que de sélectionner à l'avance les utilitaires de décryptage.

Dernière mise à jour le 15 février 2017.

Bonjour à tous, chers amis et lecteurs. Ruslan Miftakhov, l'auteur de ce blog, est en contact pour ceux qui ne le savent pas.

Dans cet article, je voudrais aborder le sujet sensationnel de l’attaque virale à travers le monde, qui a commencé le vendredi 12 mai de cette année. Donnez également quelques conseils pour vous protéger des ransomwares et sauvegarder vos données importantes sur votre ordinateur.

Si vous lisez mon blog, vous savez que je fais de la réparation d'ordinateurs. C'est plus mon passe-temps que mon travail. Donc, autant que je me souvienne, jusqu'en 2013, le blocage des virus était courant.

Lors du chargement du système, un message est apparu avec toutes sortes d'inscriptions menaçantes, parfois avec des images pornographiques. Il me reste même plusieurs photos de ces bloqueurs. En voici un.

Plusieurs clients m'ont avoué avoir payé de l'argent à des escrocs et ont finalement appelé un spécialiste pour supprimer ce virus. L'un d'eux a même payé trois fois 500 roubles sur différents terminaux, pensant que le code de déverrouillage serait probablement imprimé sur l'autre. En conséquence, elle m'a appelé et j'ai supprimé ce virus en 5 à 10 minutes.

Quelque part en 2013, j'ai rencontré pour la première fois un virus de cryptage dans notre ville, lorsque des applications de ce type comme wannacry ont commencé à arriver. Par exemple, voici un virus appelé Ebola, dont j’ai pris une photo en souvenir.


Bien sûr, le virus lui-même n'était pas difficile à supprimer de l'ordinateur, mais les données cryptées ne pouvaient pas être déchiffrées ; seul un décrypteur approprié pouvait aider.

Comment fonctionne le virus

Le virus se propage principalement par e-mail. Une lettre arrive avec un sujet du ministère russe de l’Intérieur ou une décision de justice ou du bureau des impôts, en général ils jouent sur la curiosité de l’utilisateur pour qu’il ouvre la lettre. Et dans cette lettre se trouve un fichier joint, ce même virus ransomware.

Après avoir pénétré dans le PC, le virus commence à crypter toutes les photos, vidéos et documents. Les fichiers semblent être présents sur l'ordinateur, mais ils ne peuvent pas être ouverts. C'est là le problème, et pour déchiffrer les données, les escrocs demandent 15 à 20 000 roubles.

Bien entendu, si les fichiers ont leur propre valeur et qu’il n’y a pas de copies, l’utilisateur passe un accord avec des escrocs. Je n'ai pas entendu de tels cas ; personne n'aime dire qu'il a été victime d'escrocs.

Ils ont même appelé la direction d'une maison, où j'ai observé une telle image.


Selon le comptable, un email a été reçu avec un objet de l'administration. Après l'avoir ouvert, les fichiers joints contenaient un document soi-disant important qu'il fallait ouvrir et lire. Eh bien, alors vous comprenez tout vous-même : en ouvrant ce fichier, le virus démarre et crypte tout ce qui ne pénètre pas dans l'ordinateur.

Et tout cela avant le contrôle fiscal, que ce soit une coïncidence ou qu'il y ait une raison ;)

Pourquoi les gens paient-ils les escrocs ?

Ici, une psychologie subtile est en jeu, dans le cas du virus bloqueur, des images obscènes ont été publiées avec l'inscription que vous aviez visité des sites indécents et stocké des photos contenant de la pédopornographie, ce qui est puni par la loi en vertu d'un article tel ou tel. Certaines personnes ont cru à cette absurdité et ont payé, mais d'autres ne voulaient tout simplement pas que leurs proches le voient et ont payé, espérant que le bloqueur disparaîtrait après le paiement. Ouais, naïf.

Dans le cas d je veux un virus Les fraudeurs s'attendent à ce que les fichiers cryptés soient très nécessaires et importants pour l'utilisateur et qu'il paiera. Mais ici, le montant n'est plus de 500 à 1 000 roubles, comme dans le premier cas. Et les escrocs ciblent probablement le plus gros gibier.

Pensez par vous-même quel utilisateur moyen paierait 500 $ pour une archive vidéo de photos de famille perdue ou pour un cours ou un mémoire.

C'est plus un objectif grandes entreprises et les sociétés d’État, comme c’est le cas de Megafon, Beeline et bien d’autres. Pensez-vous qu’ils paieront 500 dollars pour restaurer leur base ?

Ils paieront s’il n’y a pas de copie bien sûr. S'il y a une copie, il n'y a pas de questions, tout est démoli et la copie de sauvegarde est réinstallée. Ils perdront 2, 3 heures, mais tout fonctionnera comme avant.

Comment se protéger des ransomwares

  1. La première chose à faire est de collecter des données importantes. Je recommande d'en avoir au moins trois exemplaires sur des supports différents. Copiez sur un lecteur flash, sur un disque dur externe, conservez une copie dans le cloud Mail, le disque Yandex ou d'autres services de stockage cloud.
  2. Mettez régulièrement à jour manuellement votre système d’exploitation. Même si Windows n'a pas été mis à jour, l'antivirus Nod32 détectera et bloquera WannaCry et ses modifications.
  3. Soyez vigilant et n'ouvrez pas lettres suspectes, cela demande bien sûr de l'expérience pour savoir quels emails ne doivent pas être ouverts.
  4. Un antivirus avec une licence valide et une base de données constamment mise à jour doit être installé. Je recommande l'antivirus Eset hoche la tête 32 Sécurité intelligente.


Pour acheter un antivirus à prix réduit, cliquez sur le bouton ci-dessous.


Après paiement d'une manière pratique pour vous, à l'adresse indiquée adresse email viendra clé de licence et un lien pour télécharger l'antivirus.

Si vous suivez ces points, vous n’aurez peur d’aucun virus, pas même d’un ransomware. Et vous chanterez comme dans le dessin animé « Les Trois Petits Cochons » : on n'a pas peur du loup gris, terrible loup, vieux loup :)

Bon c'est tout, je t'avais prévenu, mais j'étais prévenu, et alors ? C'est vrai - armé.

Partagez cet article pour que vos amis, connaissances et proches ne tombent pas dans les griffes des escrocs.

Cordialement, Ruslan Miftakhov

  • Protection antivirus,
  • Technologies de réseau,
  • Administration système

    • Bien que la plupart protection efficace la protection contre les ransomwares est mise en œuvre sur les appareils finaux ; cependant, il vaut la peine de prendre des mesures préventives également au niveau du périmètre du réseau. Voyons comment cela peut être fait en utilisant Panda GateDefender.

    Événements les derniers mois a montré que les solutions antivirus traditionnelles ne sont pas très efficaces dans la lutte contre les menaces et attaques inconnues, y compris celles issues des ransomwares. Nous avons essayé à plusieurs reprises d'attirer votre attention sur un nouveau modèle de sécurité basé sur l'utilisation des technologies EDR qui, grâce à une surveillance continue, au suivi de la relation entre tous les processus et à la classification de 100 % des processus actifs, peut augmenter considérablement le niveau de sécurité. contre les menaces inconnues modernes : attaques ciblées, attaques sans fichier, attaques non malveillantes, exploits et ransomwares inconnus, etc. Par exemple, une famille de solutions utilisant les technologies EDR est spécifiquement conçue pour lutter contre de telles « surprises ».

    Mais ces solutions sont des solutions permettant de protéger directement les appareils finaux. Quelle serait une bonne idée de faire sur le périmètre du réseau ?

    Aujourd'hui, dans notre article, nous parlerons des mesures de sécurité préventives à mettre en œuvre au niveau du périmètre du réseau afin de filtrer les ransomwares avant qu'ils ne pénètrent dans le réseau. réseau d'entreprise, et également réduire conséquences possibles dans le cas où certains représentants de cette classe de menaces seraient néanmoins activés sur les appareils finaux.

    Un peu sur les ransomwares

    Comme vous le savez, les ransomwares sont une forme de fraude utilisée pour extorquer de l'argent à une victime dont les appareils finaux ont été verrouillés à l'aide d'un certain type de malware, lui faisant perdre l'accès aux données de ces appareils.

    Un ransomware est un type de malware installé sur un appareil final et qui crypte le contenu (tout ou certains types fichiers) il disques durs et sur tous connectés lecteurs réseau. En conséquence, l'utilisateur perd l'accès aux données stockées jusqu'à ce qu'il paie la rançon (et ce n'est pas un fait qu'après cela, il sera possible d'obtenir un accès complet à toutes les données !). CryptoLocker est l’un des exemples les plus « populaires » de ransomware utilisant une clé publique RSA. DANS dernièrement D'autres exemples sensationnels sont également devenus connus.

    Pour faire simple, les ransomwares sont généralement distribués de manière déguisée via un contenu légitime, tel qu'une facture en pièce jointe à un e-mail, un fichier zip contenant des photos ou d'autres types de fichiers qu'une victime potentielle est susceptible d'ouvrir, par exemple. n'implique aucun danger. Cependant, lors de l'ouverture de tels fichiers, le ransomware contacte son serveur de contrôle (appelé serveur C&C), qui est chargé de générer une nouvelle paire de clés RSA (publique/privée) et de stocker la clé privée, et envoie également clé publique sur l'appareil de la victime, après quoi le malware crypte tout ce qu'il peut trouver sur disques durs et ressources connectées sur le réseau local. Après cela, les données cryptées ne sont plus accessibles jusqu'à ce qu'elles soient déchiffrées à l'aide de la clé privée, qui n'est disponible que sur le serveur C&C.

    (Même s'il convient de noter que les dernières instances de ransomwares ont « appris » à s'activer sans aucune action de la part de la victime potentielle...).

    En effet, du fait que la taille des clés utilisées pour le cryptage est généralement d'au moins 2048 bits, il est quasiment impossible de déchiffrer des fichiers cryptés sans clé privée : bien sûr, cela est possible en théorie, mais en pratique cela peut prendre pas mal de temps. Ainsi, le seul moyen restaurer l'accès aux données signifie soit réinstaller tous les appareils concernés et les restaurer copie de sauvegarde, soit payer la rançon (ce que nous déconseillons !) et espérer recevoir la clé privée (bien qu'il existe de nombreux cas où les victimes n'ont pas reçu les clés après le paiement).

    C'est pourquoi nous vous recommandons de maintenir tous vos systèmes et applications à jour et de vous assurer que vos employés sont pleinement conscients des dangers liés à l'ouverture fichiers suspects ou des sites Web. Les mesures préventives sont meilleure solution pour éviter des événements désagréables !

    Pourquoi vaut-il la peine de prêter attention au périmètre du réseau ?

    Assurer la lutte contre les ransomwares et autres menaces modernes, il est nécessaire de prendre des mesures préventives dans diverses directions. Oui, les mesures les plus efficaces (si l’on exclut les interdictions strictes sur tout pour que personne ne puisse réellement travailler) peuvent être prises au niveau des appareils finaux. Les mêmes technologies EDR font preuve d'une très grande efficacité dans la lutte contre les chiffreurs et les nouvelles menaces.

    Mais étant donné que la grande majorité des menaces pénètrent dans le réseau de l'entreprise depuis Internet, la mise en œuvre de certaines mesures de sécurité au niveau du périmètre du réseau permettra certainement de filtrer les menaces connues et de compliquer la « communication » des ransomwares avec leurs serveurs externes gestion. De plus, vous n’aurez pas grand-chose à faire.

    Un exemple de protection contre les ransomwares au périmètre du réseau

    À titre d'exemple, considérons la solution Panda GateDefender - il s'agit d'une solution UTM pour les applications intégrées et protection complète périmètre réseau, qui propose les modules suivants : antivirus, antispam, filtrage de contenu, filtrage d'URL, proxy, pare-feu, IPS/IDS, VPN, Hotspot, contrôle d'applications web et bien plus encore. Cette décision est disponible en versions matérielles, logicielles et virtuelles.

    Avec cette solution, nous montrerons un certain nombre de techniques qui vous permettent d'intercepter ces menaces au périmètre du réseau, et également de minimiser leur activité en bloquant les canaux utilisés par les attaquants pour contrôler processus malveillants et la propagation de l'infection.

    1. Utilisez l'antivirus Panda

    Panda GateDefender utilise moteur antivirus Panda pour filtrer tous les types de trafic. Il stocke ses signatures dans le cloud, vous disposerez donc toujours de signatures mises à jour pour identifier et bloquer tout vecteur d'infection. Grâce au moteur antivirus Panda, toutes les analyses sont effectuées en temps réel en utilisant les dernières signatures et bases de connaissances cloud.

    Pour activer le moteur antivirus, dans la console de gestion Panda GateDefender, accédez à Services → Moteur antivirus, et sur le signet Antivirus Panda configurer les options de fonctionnement de l'antivirus.

    2. Utilisez un service IPS

    Un système de prévention des intrusions (IPS) est capable non seulement de détecter, mais également de bloquer le trafic généré par les ransomwares vers ses serveurs de commande et de contrôle.

    Pour activer la protection à l'aide de Systèmes IPS, dans la console de gestion Panda GateDefender, rendez-vous dans la rubrique Services → Prévention des intrusions où cliquez sur l'interrupteur Activer IPS, s'il est éteint.

    Après avoir activé ce service sur l'onglet Système de prévention des intrusions Il sera possible de configurer des options supplémentaires pour le fonctionnement IPS.

    Mais nous sommes dans ce problème Je suis plus intéressé par le prochain signet Règles. Ici, sur la troisième page, trouvez un ensemble de règles auto/emerging-trojans.rules.

    Pour cet ensemble de règles, modifiez la stratégie d'avertissement en utilisation active en cliquant sur l'icône avec point d'exclamation. Après avoir appliqué la modification, l’icône se transformera en un bouclier rouge.

    Désormais, tout le trafic identifié comme cheval de Troie sera bloqué. Vous pouvez également appliquer un ensemble de règles auto/emerging-tor.rules pour une protection supplémentaire.

    3. Utilisez un pare-feu sortant

    Le même CryptoLocker utilise Torrents comme vecteur d'infection et les connexions TOR pour interagir avec ses serveurs de contrôle C&C. Par conséquent, une autre astuce pour améliorer la sécurité consiste à bloquer tout le trafic sortant qui utilise ces deux protocoles.

    Pare-feu → Trafic sortant.

    Ici, créez une nouvelle règle avec la politique rejeter ou interdire pour bloquer ce trafic sortant. Dans le même temps, pour garantir un niveau de protection plus élevé, ajoutez tous les réseaux ou zones situés après Panda GateDefender, en spécifiant la valeur <ЛЮБОЙ> au choix Origine/Type.

    En plus, cette règle doit être le premier dans la liste des règles, vous devez donc définir la valeur appropriée pour l'option Politique/Position.
    En conséquence, vous verrez quelque chose comme ceci dans la liste des règles :

    4. Utilisez le proxy HTTP 1/2 : filtre Web

    Spécifiez un profil dans un proxy HTTP qui bloque les URL malveillantes susceptibles de distribuer des ransomwares.

    Dans la console de gestion Panda GateDefender, accédez à Proxy → HTTP.

    Accédez au favori ici Filtre Web, où vous pouvez apporter des modifications à un profil existant ou en créer un nouveau.

    Dans le bloc de sélection des catégories de sites Web filtrées, à côté de la catégorie Sécurité, bloquez l'accès aux catégories Anonymiseurs, botnets, compromis, logiciels malveillants, erreurs réseau, domaines parqués, phishing et fraude, sites de spam.

    Soit dit en passant, il est préférable d'utiliser cette méthode en combinaison avec la méthode suivante.

    5. Utilisez le proxy HTTP 2/2 : analyse antivirus HTTP

    Sur la même page d'options, vérifiez que l'option Activer analyse antivirus compris. Par défaut, il est activé et nous vous recommandons donc de le laisser activé.

    6. Activer le proxy HTTPS

    Les connexions HTTPS sont souvent utilisées pour propager des infections. Ainsi, un proxy HTTPS peut être utilisé pour intercepter les connexions, autorisant uniquement les connexions légitimes vers des sites Web bien connus.

    Parce que Un proxy HTTPS ne fonctionne qu'en tandem avec un proxy HTTP activé ; vérifiez d'abord que ce dernier est activé dans la section ; Proxy → HTTP. Après cela, allez dans le favori proxy HTTPS et activez l'option Activer proxy HTTPS.

    7. Activer le proxy SMTP 1/2 : analyse antivirus

    Les ransomwares sont souvent distribués via des pièces jointes à e-mails, qui à première vue peuvent sembler provenir d'expéditeurs connus et légitimes, mais qui contiennent en réalité un faux lien ou un faux investissement dangereux. À cet égard, il est recommandé d'activer l'analyse antivirus dans le proxy SMTP.

    Dans la console de gestion Panda GateDefender, accédez à Proxy → SMTP et activez le proxy SMTP. Puis dans le bloc Paramètres antivirus activer l'option Vérifiez vos e-mails pour détecter les virus pour activer le moteur antivirus pour le trafic de messagerie.

    Vous pouvez également configurer quoi faire avec les e-mails marqués comme spam, ainsi qu'un certain nombre d'autres options.

    8. Activer le proxy SMTP 2/2 : extensions de fichiers et doubles extensions

    Une autre façon de transmettre un ransomware sous forme de pièce jointe à un e-mail consiste à nommer le fichier joint en utilisant une double extension. (par exemple, meeting.png.bat), ce qui entraîne client de messagerie affiche uniquement la première extension (meeting.png), grâce à laquelle l'utilisateur pense avoir reçu un fichier avec une image. En double-cliquant sur ce fichier, l’utilisateur ne verra aucune image, mais le fichier bat sera lancé sans l’autorisation de l’utilisateur. Donc encore un bonne recommandation– il s’agit d’un blocage des extensions de fichiers potentiellement dangereuses et d’une interdiction de transfert pièces jointes au courrierà double expansion.

    Pour configurer la console de gestion Panda GateDefender, rendez-vous dans la section Proxy -> SMTP et activez le proxy SMTP (s'il était désactivé).

    Puis dans le bloc Paramètres du fichier activer l'option Bloquer les fichiers par extension pour activer le système d'analyse des pièces jointes aux e-mails.
    Après cela, dans la liste de sélection des types de fichiers à bloquer par extension, sélectionnez toutes les extensions qui doivent être bloquées par le proxy SMTP, activez également l'option de blocage des fichiers avec des extensions doubles et sélectionnez les valeurs appropriées dans la liste déroulante. menu qui apparaît.

    9. Activer le proxy DNS

    Lorsque CryptoLocker ou autre ransomware sont lancés, ils tenteront de modifier les paramètres DNS de la machine infectée afin de pouvoir contacter leurs serveurs de commande et de contrôle pour bon fonctionnement. Ce scénario peut être évité en activant le proxy DNS dans la solution Panda GateDefender. Dans ce cas, toutes les requêtes DNS de l'appareil situé derrière la solution Panda GateDefender seront toujours interceptées par celle-ci, bloquant toute possibilité pour le ransomware de contacter son serveur de commande et de contrôle.

    Pour cela, rendez-vous dans la rubrique Proxy → DNS.

    Au fait, sur le signet Anti-espion Il est logique d'installer des mises à jour quotidiennes pour bloquer les domaines malveillants connus.

    Conclusion

    Grâce aux étapes simples ci-dessus, vous pouvez configurer une protection du périmètre du réseau contre les ransomwares, en essayant de bloquer leur pénétration dans le réseau d'entreprise à partir d'Internet, tout en rendant difficile leur interaction avec leurs serveurs de gestion. De telles mesures préventives réduiront considérablement le risque d’infection et permettront également de minimiser les conséquences possibles après le lancement d’un ransomware sur le réseau de l’entreprise.

    La première place du concours a été remportée par Anton Sevostyanov avec un guide actualisé sur la protection contre les ransomwares. Anton travaille comme administrateur système et forme les utilisateurs aux technologies de l'information. D'autres didacticiels vidéo peuvent être trouvés sur son site Web.

    Aujourd'hui sont devenus un outil populaire pour les cybercriminels. Avec leur aide, les attaquants extorquent de l'argent aux entreprises et aux utilisateurs ordinaires. Les utilisateurs peuvent payer des dizaines de milliers de roubles pour déverrouiller des fichiers personnels, etpropriétaires d'entreprise - des millions (par exemple, si la base de données 1C est bloquée).



    Dans ce guide, je propose plusieurs façons de vous protéger contre les ransomwares qui vous aideront à garder vos données aussi sécurisées que possible.


    Protection antivirus

    Parmi tous les moyens de protection, l'antivirus vient en premier (j'utilise). Bases de données virales Les données sont automatiquement mises à jour plusieurs fois par jour sans intervention de l'utilisateur, mais vous devez également surveiller la pertinence du programme lui-même. En plus de mettre à jour les bases de données antivirus, les développeurs ajoutent régulièrement des outils modernes de protection antivirus à leurs produits.

    L'un de ces moyens est service en nuage ESET LiveGrid®, qui peut bloquer un virus avant qu'il ne soit ajouté à la base de données antivirus. Système ESET« à la volée » analyse les informations sur un programme suspect et détermine sa réputation. Si un virus est suspecté, tous les processus du programme seront bloqués.

    Vous pouvez vérifier si ESET LiveGrid® est activé comme suit : ESET NOD32 - Paramètres avancés - Utilitaires- ESET LiveGrid® - Activez le système de réputation ESET LiveGrid®.

    Vous pouvez évaluer l'efficacité d'ESET LiveGrid® sur le site Web conçu pour tester les performances de tous les produits antivirus. Suivez le lien Vérification des fonctionnalités de sécurité - Vérification des paramètres des fonctionnalités pour les solutions de bureau ordinateurs personnels) ou Vérifier les paramètres des fonctionnalités pour les solutions basées sur Android - Testez si votre protection cloud est activée protection des nuages). Ensuite, on nous demande de télécharger un fichier de test, et si l’antivirus y répond, la protection est active, sinon, nous devons comprendre ce qui se passe ;


    Mise à jour du système d'exploitation et des produits logiciels

    Les attaquants exploitent souvent des vulnérabilités connues dans logiciel en espérant que les utilisateurs ne l'aient pas encore installé dernières mises à jour. Cela concerne principalement le système d'exploitation Windows, vous devez donc vérifier et, si nécessaire, activer les mises à jour automatiques du système d'exploitation (Démarrer - Panneau de configuration - Centre Mises à jour Windows- Paramétrage des paramètres - Sélection de la méthode de téléchargement et d'installation des mises à jour).


    Désactiver le service de cryptage


    Windows fournit un service spécial de cryptage des données ; Si vous ne l'utilisez pas régulièrement, il est préférable de le désactiver - certaines modifications du ransomware peuvent utiliser cette fonction à leurs propres fins. Pour désactiver le service de cryptage, vous devez procéder comme suit : Démarrer - Panneau de configuration - Outils d'administration - Services - Crypté système de fichiers(EFS) et redémarrez le système.

    Veuillez noter que si vous avez utilisé le cryptage pour protéger des fichiers ou des dossiers, vous devez décocher les cases correspondantes (RMB - Propriétés - Attributs - Avancé - Chiffrer le contenu pour protéger les données). Sinon, après avoir désactivé le service de cryptage, vous ne pourrez pas accéder à ces fichiers. Découvrez quels fichiers ont été cryptés est très simple : ils seront surlignés en vert.


    Utilisation limitée des programmes

    Pour augmenter le niveau de sécurité, vous pouvez bloquer le lancement de tout programme qui ne répond pas aux exigences que nous avons fixées. Par défaut, ces paramètres sont définis uniquement pour les dossiers Windows et Program Files.

    Vous pouvez configurer la stratégie de groupe locale comme ceci : Exécuter - gpedit - Configuration ordinateur - Configuration Windows - Paramètres de sécurité - Stratégies utilisation limitée programmes - RMB - Créer une politique de restriction logicielle.

    Créons une règle qui interdit l'exécution de programmes depuis n'importe quel emplacement autre que ceux autorisés (Règles supplémentaires - RMB - Créer une règle pour un chemin - Chemin : *, c'est-à-dire n'importe quel chemin - Niveau de sécurité : Interdit).

    La fenêtre Types de fichiers désignés spécifie les extensions qui seront bloquées lors de la tentative de lancement. Je vous conseille d'ajouter ici l'extension de script .js - java et de supprimer .ink afin de pouvoir lancer des programmes à l'aide de raccourcis.

    Sur configuration efficace Cela peut prendre un certain temps, mais les résultats en valent vraiment la peine.


    Utiliser un compte utilisateur standard


    Travailler avec un compte administrateur n'est pas recommandé, même pour les utilisateurs avancés. Limiter les droits du compte minimisera les dommages en cas d'infection accidentelle (Activer le compte administrateur - Définir un mot de passe - Priver l'utilisateur actuel des droits administratifs - Ajouter au groupe d'utilisateurs).

    Pour effectuer des actions avec des droits d'administrateur sous Windows, un outil spécial est fourni - "Contrôle de compte d'utilisateur", qui demandera un mot de passe pour effectuer une opération particulière. Vous pouvez vérifier les paramètres ici : Démarrer - Panneau de configuration - Comptes utilisateurs - Modifier les paramètres de contrôle de compte d'utilisateur - Par défaut - Notifier uniquement lorsque des tentatives sont faites pour apporter des modifications à l'ordinateur.


    Points de contrôle récupération du système

    Parfois, les virus parviennent encore à surmonter toutes les couches de protection. Dans ce cas, vous devriez pouvoir revenir à un état antérieur du système. Régler création automatique les points de contrôle peuvent être effectués comme ceci : Poste de travail - RMB - Propriétés - Protection du système - Paramètres de protection.

    Par défaut, lors de l'installation d'un système d'exploitation, la protection est activée uniquement pour le lecteur système, mais le ransomware affectera le contenu de toutes les partitions de votre PC. Pour récupérer des fichiers moyens standards ou Shadow Explorer, vous devez activer la protection pour tous les disques. Les points de contrôle occuperont de la mémoire, mais ils peuvent sauvegarder vos données en cas d'infection.


    Sauvegarde

    Je recommande fortement de le faire vous-même régulièrement. informations importantes. Cette mesure contribuera non seulement à se protéger contre les virus, mais servira également d’assurance en cas d’épidémie. disque dur en panne. Assurez-vous de faire des copies de vos données et de les enregistrer sur médias externes ou dans les stockages cloud.

    J'espère que le guide vous sera utile et vous aidera à protéger vos données personnelles (et votre argent !) des intrus.


    Sévostianov Anton
    gagnant du concours

    Les virus Ransomware sont un type de menace connu depuis longtemps. Ils sont apparus à peu près en même temps que les bannières SMS, et sont solidement ancrés avec ces dernières dans le premier classement des virus ransomwares.

    Le modèle de monétisation du virus ransomware est simple : il bloque une partie des informations ou l’intégralité de l’ordinateur de l’utilisateur, et pour retrouver l’accès aux données, il nécessite l’envoi de SMS, de monnaie électronique ou le rechargement du solde. numéro de portable via borne.

    Dans le cas d'un virus qui crypte les fichiers, tout est évident : pour décrypter les fichiers, vous devez payer un certain montant. De plus, ces dernières années, ces virus ont modifié l’approche envers leurs victimes. Si auparavant elles étaient distribuées selon des schémas classiques via Varez, des sites pornographiques, la substitution des résultats de recherche et des envois massifs de spam, tout en infectant les ordinateurs des utilisateurs ordinaires, les lettres sont désormais envoyées directement, manuellement, depuis des boîtes aux lettres sur des domaines « normaux » - le courrier. ru, gmail, etc. Et ils essaient d'infecter personnes morales, où les bases de données et les contrats relèvent des chiffrements.

    Ceux. les attaques sont passées de la quantité à la qualité. Dans l'une des entreprises, l'auteur a rencontré par hasard un cryptographe chevronné qui est arrivé par la poste avec un curriculum vitae. L'infection s'est produite immédiatement après l'ouverture du dossier par les responsables du personnel ; l'entreprise recherchait simplement du personnel et le dossier n'a éveillé aucun soupçon. C'était un docx avec AdobeReader.exe attaché :)

    Le plus intéressant est qu'aucun des capteurs heuristiques et proactifs de Kaspersky Anti-Virus n'a fonctionné. Un ou deux jours après l'infection, le virus n'a pas été détecté par dr.web et nod32

    Alors que faire face à de telles menaces ? L'antivirus est-il vraiment inutile ?

    L’époque des antivirus basés uniquement sur les signatures touche à sa fin..

    Protection totale des données G 2015 — meilleure protection contre un rançongiciel
    avec module de sauvegarde intégré. Cliquez et achetez.

    Pour toutes les personnes touchées par les actions ransomware - code promotionnel avec réduction sur l'achat de G DATA - DGTP2015. Entrez simplement ce code promotionnel lors du paiement.

    Les virus Ransomware ont une fois de plus prouvé l’échec des programmes antivirus. Les bannières SMS, à un moment donné, étaient librement « fusionnées » dans le dossier temporaire des utilisateurs et simplement lancées sur l'ensemble du bureau et interceptaient la pression de toutes les combinaisons de services à partir du clavier.

    Le programme antivirus fonctionnait très bien à cette époque :) Kaspersky, comme en mode normal, affichait son inscription « Protégé par Kaspersky LAB ».

    Banner n'est pas un malware intelligent comme les rootkits, mais programme simple, qui modifie 2 clés du registre et intercepte la saisie au clavier.

    Les virus qui chiffrent les fichiers ont atteint nouveau niveau fraude. Il s'agit encore une fois d'un programme standard qui n'est pas intégré au code du système d'exploitation, ne remplace pas les fichiers système et ne lit pas les zones de RAM d'autres programmes.

    Il fonctionne simplement pendant une courte période, génère un message ouvert et clé privée et crypte les fichiers et envoie la clé privée à l'attaquant. Un ensemble de données cryptées et un fichier contenant les contacts des pirates sont laissés sur l’ordinateur de la victime pour paiement ultérieur.

    Il est raisonnable de penser : « Pourquoi alors avez-vous besoin d’un antivirus s’il ne peut détecter que les programmes malveillants qu’il connaît ?

    Vraiment, programme antivirus nécessaire - il protégera contre toutes les menaces connues. Cependant, de nombreux nouveaux types de codes malveillants sont trop puissants pour cela. Pour vous protéger contre les virus ransomwares, vous devez prendre des mesures ; un antivirus seul ne suffit pas. Et je dirai tout de suite : « Si vos fichiers sont déjà cryptés, vous avez des ennuis. Ce ne sera pas facile de les récupérer.

    :

    N'oubliez pas l'antivirus

    Sauvegarde des systèmes d’information et des données importantes, chaque service dispose de son propre serveur dédié.

    Sauvegardez les données importantes.

    :

    Que faire du virus lui-même ?

    Actions indépendantes avec des fichiers cryptés

    Expérience de communication avec le support technique antivirus, à quoi s'attendre ?

    Contacter la police

    Prenez soin de prendre des précautions à l'avenir (voir section précédente).

    Si tout le reste échoue, cela vaut peut-être la peine de payer ?

    Si vous n'avez pas encore été victime d'un virus ransomware :

    * Ayez un logiciel antivirus sur votre ordinateur avec les dernières mises à jour.

    Disons-le sans détour : « Les antivirus sont nuls face aux nouveaux types de ransomwares, mais ils font un excellent travail contre les menaces connues. » Donc la présence d'un antivirus sur poste de travail nécessaire. S’il y a déjà des victimes, vous éviterez au moins l’épidémie. Quel antivirus choisir dépend de vous.

    Par expérience, Kaspersky « mange » plus de mémoire et de temps processeur, et pour les disques durs d'ordinateurs portables à 5 200 tr/min, c'est un désastre (souvent avec des délais de lecture de secteur de 500 ms..) Nod32 est rapide, mais attrape peu. Vous pouvez acheter l'antivirus GDATA - la meilleure option.

    *Sauvegarde des systèmes d'information et des données importantes. Chaque service possède son propre serveur.

    Il est donc très important de déplacer tous les services (1C, contribuable, postes automatisés spécifiques) et tout logiciel dont dépend la vie de l'entreprise, vers un serveur séparé, ou mieux encore, un terminal. Mieux encore, placez chaque service sur son propre serveur (physique ou virtuel – décidez vous-même).

    Ne stockez pas la base de données 1C en public sur le réseau. Beaucoup de gens font cela, mais c’est une erreur.

    Si le travail avec 1c est organisé en réseau avec accès partagé pour la lecture/écriture pour tous les employés - déplacez 1c vers un serveur de terminaux, laissez les utilisateurs travailler avec via RDP.

    S'il y a peu d'utilisateurs et qu'il n'y a pas assez d'argent pour un système d'exploitation serveur, vous pouvez utiliser Windows XP standard comme serveur de terminaux (à condition que les restrictions sur le nombre de connexions simultanées soient levées, c'est-à-dire que vous deviez appliquer un correctif). Cependant, vous pouvez tout aussi facilement installer la version sans licence serveur Windows. Heureusement, Microsoft vous permet de l'utiliser, de l'acheter et de l'activer plus tard :)

    Le travail des utilisateurs avec 1c via RDP, d'une part, réduira la charge sur le réseau et accélérera le travail de 1c, d'autre part, il empêchera l'infection des bases de données.

    Le stockage des fichiers de base de données sur un réseau avec accès partagé n'est pas sécurisé, mais s'il n'y a pas d'autres perspectives, veillez à la sauvegarde (voir la section suivante.)

    * Sauvegardez les données importantes.

    Si vous n'avez pas encore de sauvegardes ( sauvegarde) - tu es un imbécile, pardonne-moi. Ou dites bonjour à votre administrateur système. Les sauvegardes vous protègent non seulement des virus, mais également des employés imprudents, des pirates informatiques et, finalement, des disques durs endommagés.

    Vous pouvez lire comment et quoi sauvegarder dans un article séparé sur . L'antivirus GDATA, par exemple, dispose d'un module de sauvegarde en deux versions - protection totale et sécurité des points finaux pour les organisations ( vous pouvez acheter la protection totale GDATA).

    Si vous trouvez des fichiers cryptés sur votre ordinateur :

    *Que faire du virus lui-même ?

    Éteignez votre ordinateur et contactez un spécialiste services informatiques+ pour prendre en charge votre antivirus. Si vous avez de la chance, le corps du virus n'a pas encore été supprimé et peut être utilisé pour décrypter des fichiers. Si vous n’avez pas de chance (comme c’est souvent le cas), le virus, après avoir crypté les données, envoie la clé privée aux attaquants et supprime toute trace de lui-même. Ceci est fait pour qu'il ne soit pas possible de déterminer comment et par quel algorithme ils sont cryptés.

    Si vous avez toujours une lettre contenant un fichier infecté, ne la supprimez pas. Envoyer à laboratoire antivirus produits populaires. Et ne l'ouvrez plus.

    *Actions indépendantes avec des fichiers cryptés

    Ce que vous pouvez faire :

    Contactez le support antivirus, obtenez des instructions et, éventuellement, un décrypteur pour votre virus.

    Écrivez une déclaration à la police.

    Recherchez sur Internet les expériences d'autres utilisateurs qui ont déjà rencontré ce problème.

    Prenez des mesures pour décrypter les fichiers, après les avoir copiés dans un dossier séparé.

    Si vous disposez de Windows 7 ou 8, vous pouvez restaurer les versions précédentes des fichiers ( clic droit sur le dossier de fichiers). Encore une fois, n'oubliez pas de les copier au préalable.

    Ce qu'il ne faut pas faire :

    Réinstaller Windows

    Supprimez les fichiers cryptés, renommez-les et modifiez l'extension. Le nom du fichier est très important lors du décryptage futur

    *Expérience dans la communication avec le support technique antivirus, à quoi s'attendre ?

    Lorsqu'un de nos clients a attrapé le crypto-virus.hardended, qui n'était pas encore dans les bases antivirus, des demandes ont été envoyées à dr.web et Kaspersky.

    Nous avons apprécié le support technique de dr.web, les retours sont apparus immédiatement et ils ont même donné des conseils. De plus, après plusieurs jours, ils ont honnêtement déclaré qu'ils ne pouvaient rien faire et ont envoyé des instructions détaillées sur la manière d'envoyer une demande par l'intermédiaire des autorités compétentes.

    Chez Kaspersky, au contraire, le bot a répondu en premier, puis le bot a signalé que l'installation d'un antivirus avec les dernières bases de données résoudrait mon problème (je vous rappelle que le problème concerne des centaines de fichiers cryptés). Une semaine plus tard, le statut de ma demande est passé à « envoyée au laboratoire antivirus » et lorsque l'auteur s'est modestement renseigné sur le sort de la demande quelques jours plus tard, les représentants de Kaspersky ont répondu que nous ne recevrions pas de réponse du laboratoire. pourtant, disent-ils, nous attendions.

    Après un certain temps, j'ai reçu un message indiquant que ma demande était clôturée avec une offre d'évaluation de la qualité du service (tout cela en attendant toujours une réponse du laboratoire).. "Va te faire foutre !" - pensa l'auteur.

    Au fait, NOD32 a commencé à attraper ce virus le 3ème jour après son apparition.

    Le principe est le suivant : vous êtes livré à vous-même avec vos fichiers cryptés. Les laboratoires des grandes marques d'antivirus ne vous aideront que si vous disposez d'une clé pour le produit antivirus correspondant et si dans Le virus crypto présente une vulnérabilité. Si les attaquants ont chiffré un fichier en utilisant plusieurs algorithmes à la fois et plusieurs fois, vous devrez probablement payer.

    Le choix de l’antivirus vous appartient, ne le négligez pas.

    *Contactez la police

    Si vous avez été victime d’un cryptovirus et avez subi des dommages, même sous la forme d’informations personnelles cryptées, vous pouvez contacter la police. Instructions pour la demande, etc. Il y a .

    *Si tout le reste échoue, cela vaut-il la peine de payer ?

    Compte tenu de la relative inaction des antivirus face aux ransomwares, il est parfois plus simple de rémunérer les attaquants. Pour les fichiers renforcés, par exemple, les auteurs du virus demandent environ 10 000 roubles.

    Pour les autres menaces (gpcode, etc.), le prix peut aller de 2 000 roubles. Le plus souvent, ce montant s'avère inférieur aux pertes que peut occasionner l'absence de données et inférieur au montant que peuvent vous demander les artisans pour le décryptage manuel des fichiers.

    Pour résumer, la meilleure protection contre les virus ransomware consiste à sauvegarder les données importantes des serveurs et des postes de travail des utilisateurs.

    C'est à vous de décider quoi faire. Bonne chance.

    Les utilisateurs qui lisent cet article lisent généralement :



    Des questions ?

    Signaler une faute de frappe

    Texte qui sera envoyé à nos rédacteurs :

    Envoyer