дядя Вова (uvova) wrote,
дядя Вова
uvova

Как бороться с Петей и ему подобными вирусами-шифровальщиками

Текущий шифровальщик чаще всего подделывается под обновления бухгалтерских программ и резюме со службы подбора кадров. Большинство случаев заражений началось с HR-отделов. Обычно заражение происходит по следующему сценарию: на корпоративную почту приходит письмо-обманка, содержащее поддельный файл в формате .doc, .xls или других распространённых. Невнимательный пользователь его запускает, компьютер заражается и пытается уже по сети заразить другие доступные компьютеры. После этого втихаря начинается процесс шифрования файлов. По его окончанию комп блокируется и вылезает надпись с реквизитами злоумышленников.
Причём прошлые эпидемии показали, что среди хакеров есть русскоязычные: поддельные письма маскировались под сообщения от банков, судов, судебных приставов и налоговой.

Оригинал взят у chonbuk в Как бороться с Петеподобными вирусами-шифровальщиками


Самое первое и самое важное: если с предыдущими версиями шифровальщиков можно было справиться после заражения, связавшись с хакерами и заплатив выкуп, то теперь такое не пройдёт. Это чистой воды терроризм, и возможность обратной расшифровки закодированных файлов авторы вируса Petya и ExPetya даже не предусмотрели. Ваши биткоины, как и файлы,  уйдут на радугу.
Поэтому защищаться надо заранее.


Я, традиционно, уважаю продукты Лаборатории Касперского (не реклама, они мне не платят), поэтому воспользуюсь их советами. Вы можете использовать средства других антивирусных компаний, но в таком случае вам придётся изучить их рекомендации применительно к конкретным продуктам самостоятельно.

Первый этап. Неважно, каким антивирусом вы пользуетесь и пользуетесь ли им вообще. Сейчас же сделайте копии всех важных вам файлов на переносной носитель или в облако. Не держите такой носитель подключенным к компьютеру постоянно: в случае заражения он может быть зашифрован тоже. Шифруются не только офисные документы, но и многие другие типы файлов: почта, 1С, фотки, архивы. Так что - бэкап, как бы ни хотелось не заморачиваться.

Второй этап. Установите обновления безопасности, закрывающие уязвимости, через которые шифровальщики лезут, в разных версиях Windows. Если у вас включено автоматическое обновление, скорее всего, эти дырки уже закрыты. Но всё равно подстрахуйтесь. Вот тут подробная инструкция и ссылки на файлы обновлений.

Во многих источниках приведена информация, что текущая версия ExPetya использует для заражения файл PERFC.DAT, поэтому приводят следующий совет: "создайте заранее сами такой файл в системном каталоге (в подавляющем большинстве случаев это c:\Windows\) с произвольным содержимым и измените его атрибуты на read-only, запретив таким образом его перезапись". Это поможет, но только на данный момент: хакеры тоже читают специализированную прессу и обязательно внесут поправки в код.

Третий этап. Если у вас установлен любой антивирусный продукт от Касперского. Обновите базы на самые свежие и проконтролируйте, чтобы был включен компонент Мониторинг Активности. Если такого компонента нет - ваш антивирус настолько древний, что никакой существенной защиты он не предоставляет, выполняя только декоративные функции. Вот тут - подробнее, что надо сделать с антивирусом. Кроме того, эксперты Лаборатории Касперского рекомендуют включить компонент Kaspersky Security Network (своего рода "фейсбук" для антивирусов, где они делятся свежайшей информацией об угрозах), но надо понимать, что если ваш ключ нелегитимный, то вы очень сильно увеличите шансы на внесение его в чёрный список.

Третий этап бис. Если у вас антивирус другого производителя или его нет вовсе. Касперский выпустил бесплатную утилиту - Kaspersky Anti-Ransomware Tool for Business. По сути, это такой урезанный антивирусник, заточенный сугубо против шифровальщиков. Для работы утилиты обязательно нужен интернет, так как она использует как раз ту самую сеть Kaspersky Security Network. Я привёл ссылку на скачку на стороннем ресурсе, потому что на официальной странице утилиты Касперский пытается заставить вас оставить личные данные. На всякий случай, официальный адрес вот: https://go.kaspersky.com/Anti-ransomware-tool.html#form . Эта утилита НЕ СОВМЕСТИМА с другими продуктами от Касперского, но прекрасно совместима с антивирусами других производителей.
Ну и традиционно, если вы всё ещё не удосужились установить антивирус, или ваш старый антивирус давно протух и не обновляется, советую бесплатный антивирус от Лаборатории Касперского. Он ежедневно будет просить вас зарегистрироваться, но это можно и потерпеть. А можно зарегистрироваться.

Ещё раз повторю: новые шифровальщики, вымогая эквивалент в 300 баксов, не имеют средств для обратной расшифровки файлов. Ваши деньги вас не спасут. Лучше потратьте меньшую сумму заранее на хорошую защиту.



#Petya

Счетчик посещений Counter.CO.KZ
Tags: #petya, памятки, перепост
Subscribe

Recent Posts from This Journal

promo uvova november 27, 01:12 30
Buy for 10 tokens
..Лет тридцать назад в моём доме двумя этажами ниже жил один интересный персонаж: вышедший на пенсию доктор математических наук, умнейший мужик, довольно крепкий и здоровый для своих лет. Звали мужика Серафимом. Он никогда не был женат, потому что всю свою жизнь дико и беспробудно бухал. Жил очень…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 5 comments