Рекомендации по защите компьютера от программ-шифровальщиков

О ВИРУСЕ-ШИФРОВАЛЬЩИКЕ

Вот так выглядят письма "счастья" при переходе по ссылке, как правило, все файлы на компьютере шифруются.

К сожалению, расшифровка файлов не представляется возможной, так как используется симметричный алгоритм блочного шифрования и криптографический алгоритм с открытым ключом.

Мы рекомендуем проверять наличие новых версий утилит антивирусных программ и пытаться расшифровать файлы.

Чтобы избежать потери данных в результате подобных атак, мы рекомендуем регулярно создавать резервные копии важных данных, следить за актуальностью антивирусных баз, соблюдать элементарные правила сетевой безопасности, которые в том числе включают в себя необходимость с повышенной внимательностью относиться к файлам, полученным от неизвестных отправителей, загруженным с подозрительных сайтов в интернете, а кроме того – установку и использование только знакомых приложений из доверенных источников, таких, как, например, сайт разработчика ПО. Особенно, если речь идет о программах, способных зашифровывать данные пользователя. Кроме того, мы не рекомендуем отключать антивирус, а также изменять без необходимости настройки его отдельных компонентов, направленных на детектирование вредоносных программ.

1. Общие рекомендации

1. Не открывайте почтовые вложения от неизвестных отправителей

В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное.

При этом вредоносными могут оказаться не только файлы формата EXE. Специалистами Лаборатории Касперского зафиксированы случаи заражения компьютеров при открытии специально сформированных злоумышленниками файлов форматов DOC и PDF.

2. Своевременно устанавливайте обновления антивирусных баз, операционной системы и других программ

3. Регулярно создавайте резервные копий файлов и храните их вне компьютера

Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.

4. Настройте доступ к общим сетевым папкам

Если вы используете общие сетевые папки, то специалисты Лаборатории Касперского рекомендуют создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.

2. Рекомендации по настройке параметров компьютера

Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Специалисты Лаборатории Касперского рекомендуют включить службу для всех разделов.

3. Рекомендации по настройке параметров продуктов Лаборатории Касперского

Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры продуктов:

Kaspersky Internet Security 2014
Kaspersky Internet Security 2013
Kaspersky Endpoint Security 10 для Windows
Антивирус Касперского 6.0 R2 для Windows Workstations

4. Что делать, если файлы зашифрованы

1. Отключите автоматическое удаление обнаруженных вредоносных файлов

Если у вас установлен какой-либо антивирусный продукт, то в настройках параметров этого продукта выполните следующее:

  • Отключите автоматическое удаление обнаруженных вредоносных объектов.
  • Установите действие Поместить файл на карантин.

Подробные инструкции вы можете найти для следующих продуктов Лаборатории Касперского:

  • Kaspersky Internet Security 2014 / 2013
  • Kaspersky Anti-Virus 2014 / 2013
  • Kaspersky CRYSTAL 3.0
  • Kaspersky Endpoint Security 10 для Windows
  • Антивирус Касперского 6.0 R2 для Windows Workstations

Примечание: рекомендуется не удалять объекты из карантина, так как в некоторых случаях вредоносные файлы могут содержать ключи, которые могут помочь при расшифровке.

2. Отправьте подозрительные файлы на анализ

Если вы обнаружили подозрительный файл, запуск которого мог привести к заражению компьютера и шифрованию файлов, то вы можете отправить запрос:

  • В Вирусную Лабораторию через сервис My Kaspersky. Прикрепите к запросу подозрительный файл и добавьте комментарий "возможный шифровальщик".
  • На электронную почту newvirus@kaspersky.com. Файлы для анализа запакуйте в архив с паролем infected (с помощью программы-архиватора WinRar). При задании пароля установите флажок Encrypt file names.

3. Создайте копии зашифрованных файлов

4. Попытайтесь восстановить файлы

Вы можете попытаться восстановить файлы с помощью истории файлов:

5. Воспользуйтесь утилитами для автоматической расшифровки файлов

ВНИМАНИЕ! Перед запуском утилит создайте копии файлов.

  • Для пользователей ОС Windows Vista - Утилита RectorDecryptor
  • Для пользователей ОС Windows 7 - Утилита XoristDecryptor
  • Для пользователей ОС Windows 8 - Утилита RakhniDecryptor

5. Список мест, где могут находиться файлы программ-шифровальщиков

  • APPDATA 

ОС Windows NT/2000/XP

Диск:\Documents and Settings\%UserName%\Application Data\
%USERPROFILE%\Local Settings\Application Data

ОС Windows Vista/7/8:

Диск:\Users\%UserName%\AppData\Roaming\
%USERPROFILE%\AppData\Local 

  • TEMP (временный каталог) 

%TEMP%\???????.tmp\      (пример: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\   (пример: temp\7ze5418.tmp\mp)
%TEMP%\???????\          (пример: temp\pcrdd27)
%WINDIR%\Temp  
 

  • Временный каталог Internet Explorer 

ОС Windows NT/2000/XP: %USERPROFILE%\Local Settings\Temporary Internet Files\ 

ОС Windows Vista/7/8:

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\ 
..\temporary internet files\content.ie5\ 
..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)       

  • Рабочий стол 

%UserProfile%\Desktop\

  • Корзина 

Диск:\Recycler\             
Диск:\$Recycle.Bin\  
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000   (? -- 0-9)   
 

  • Системный каталог

%WinDir%
%SystemRoot%\system32\

  • Каталог документов пользователя 

%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads

  • Каталог для скачивания файлов в веб-браузере 

%USERPROFILE%\Downloads  

  • Каталог автозагрузки 

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Оригинальная статья взята с сайта "Касперского" - http://support.kaspersky.ru/viruses/common/10952

29.07.2015