直接面向用戶,以期收回大筆資金,最危險的形式之一 惡意軟件, 勒索網站 對製造商提出的重大挑戰 殺毒軟件,被迫採取激進的方法程序,以確保用戶不會受到影響。 不幸的是,再好的殺毒軟件使用,所有文件的恢復受損前 感染 勒索 不能保證,預防維護真正有效的保護的唯一途徑。
一種惡意軟件能夠刪除的照片和文檔集合中的設備內存,剩下只能用鑰匙進入勒索打開加密的版本是數字版的搶劫與人質。
如果勒索的第一種形式使出相對基本的方法,使用加密密鑰的唯一用戶對文件加密,比較容易恢復的殺毒廠商,其提供的消毒工具,能夠恢復被鎖定在一個集成的方式文件,同樣也不能說更複雜的版本(前。 Cryptowall)這生成唯一的加密密鑰,感染每一個設備,他們發出一個集合的服務器在攻擊者的身上。 在大多數情況下,加密的以這種方式的文件不能被恢復,損傷是相當受影響的用戶和公司。
根據版本的不同,這種形式的惡意軟件可以廣泛利用漏洞 Web瀏覽器激活訪問被破壞的網站,或者不小心安裝提出訪問一個網站的擴展插件或組件。 另一種方式鮮為人知的自動運行病毒的計算機加密的受害者和他們的內容附加文件到受感染的制定有說服力的電子郵件,有時定制目標。 這是優選的方法 Cryptowall高級版本 Cryptolocker其中加密從受感染的計算機上的文檔,然後要求錢從用戶,換來了解密密鑰。 附加到電子郵件感染的文件,使用 擴展名為.chm關聯的 HTML格式 編譯一個看似無害的文件類型,通常用於提供手冊和 軟件。 事實上,這些文件是互動的,並運行一系列的技術,包括 JavaScript的,如果能夠將用戶重定向到一個外部地址。 通過簡單地打開 chm文件它獨立執行與感染的最終生產各種動作。
比較新的, Trojan.DownLoad3.35539 (變體 CTB-儲物櫃)是通過電子郵件傳播,作為附件 ZIP壓縮文件包含文件 SCR擴展. 如果文件被打開,受感染的程序會提取 hard disk RTF文檔 它顯示在顯示屏上。 同時,在後台,在攻擊者的控制下從服務器下載加密程序。 解壓縮並激活後,它將掃描存儲設備以查找用戶抓住的用戶個人文檔,並用加密版本替換原始文檔。 任務完成後,會通過一條消息通知用戶,他必須為贖回個人數據付費。
如何Cryptowall防止感染和其他類似形式的勒索嗎?
以你的專家 BitDefender的,普通用戶和 administrator考慮到一些基本規則,該系統可以大大降低感染風險以及由此造成的損害:
- 使用能夠進行主動掃描的不斷更新的計算機安全解決方案。
- 時間表 後備 一個或多個文件 hard disk未永久連接到 PC 或本地網絡中或使用 服務 雲存儲.
- 避免訪問未知網站,鏈接或無法訪問作為附件通過電子郵件與來源不明的消息,而不是提供個人信息的公共聊天或論壇的文件。 有時它有可能要被接收與受感染附件的消息,包括公知的地址,如果PC在另一端受到了損害,或濫用的電子郵件地址已經被添加到發件人字段。
- 實行/鎖激活一個創造性的解決方案,並 反垃圾郵件.
- 使用Web瀏覽器與virtualizares支持或完全禁用支持播放的內容 閃.
- 雇主應培訓員工的社會工程方面的嘗試識別和 網絡釣魚使用電子郵件。
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"同時, administrator系統需要加強組策略,阻止病毒從特定位置執行。 這可以在 Windows 專業級 或 Windows 服務器版。 選項 軟件限制策略 可以在編輯器中找到 本地安全策略。 訪問按鈕後 新的軟件限制策略 下 Add規則將於明年使用 路徑規則 具有“禁止”安全級別:
使用這些機制應限制或阻止 Cryptowall但對於更多的保護, BitDefender的 建議 Cryptowall Immunizer。 作為附加的保護機制,在平行其可與 殺毒 永久激活,該工具允許用戶免疫計算機和阻止任何企圖 文件加密在此之前發生的。
