الاستهداف المباشر للمستخدمين بهدف سحب مبالغ كبيرة من المال، واحدة من أخطر أشكال البرمجيات الخبيثة, الموقع انتزاع الفدية تحديات كبرى للمصنعين الحماية من الفيروسات، اضطر إلى اللجوء إلى الإجراءات المنهجية العدوانية لضمان أن المستخدمين لا تتأثر. للأسف، مهما كانت جيدة استخدام برنامج الحماية من الفيروسات، واستعادة جميع الملفات للخطر قبل عدوى الفدية ليست مضمونة، الوقاية هي السبيل الوحيد للحفاظ على حماية فعالة حقا.
وهناك نوع من البرمجيات الخبيثة قادرة على إزالة مجموعة من الصور والوثائق الموجودة في ذاكرة الجهاز، وترك الإصدارات المشفرة التي يمكن فتحها فقط مع الفدية الوصول الرئيسي هو نسخة رقمية من السرقة مع الرهائن.
إذا كان النموذج الأول من انتزاع الفدية لجأت إلى أساليب بدائية نسبيا تشفير الملفات باستخدام مفاتيح التشفير المستخدمين فريدة من نوعها، وسهلة نسبيا لاستعادة لمصنعي مكافحة الفيروسات، والتي نصت على أدوات التعقيم، وقادرة على استعادة الملفات التي يتم تأمين بطريقة متكاملة، ونفس لا يمكن أن يكون وقال إصدارات أكثر تطورا (مثلا. Cryptowall) وهذا يولد مفاتيح التشفير فريدة لكل جهاز مصاب، يرسلون اليها الخادم جمع في حوزة من المهاجمين. في معظم الحالات، والملفات المشفرة بهذه الطريقة لا يمكن استردادها، وإصابة يتأثر إلى حد كبير المستخدمين والشركات.
اعتمادا على الإصدار ، يمكن أن يكون هذا النوع من البرمجيات الخبيثة على نطاق واسع استغلال نقاط الضعف متصفح الويبتنشيط زيارة موقع على شبكة الانترنت للخطر، أو تثبيت عن طريق الخطأ عنصرا تمديد أو المساعد المقترح زيارة موقع على شبكة الانترنت. وهناك طريقة أخرى أقل يعرف الفيروسات التلقائي على الضحايا تشفير أجهزة الكمبيوتر ومحتوياتها وإرفاق الملفات على رسائل البريد الإلكتروني المصابة وضعت مقنعة، وتطويعه في بعض الأحيان إلى الهدف. هذا هو الأسلوب المفضل ل Cryptowallنسخة متقدمة Cryptolockerيقوم بتشفير المستندات من أجهزة الكمبيوتر المصابة ومن ثم الطلب على النقود من المستخدم، مقابل مفتاح فك التشفير. ملف المصابين المرفقة إلى البريد الإلكتروني، وذلك باستخدام تمديد بتنسيق .chmمترابط شكل HTML تجميع نوع ملف التي تبدو غير ضارة، وتستخدم عادة لتقديم الأدلة و البرمجيات. في الواقع، هذه الملفات هي التفاعلية وتدير مجموعة من التقنيات بما في ذلك جافا سكريبت، أن تكون قادرة على إعادة توجيه المستخدم إلى عنوان خارجي. ببساطة عن طريق فتح ملف .chmبشكل مستقل تنفيذ الإجراءات المختلفة مع الإنتاج النهائي للالتهابات.
جديد نسبيا، Trojan.DownLoad3.35539 (المتغير CTB-الخزانة) ينتشر عن طريق البريد الإلكتروني، كمرفق في أرشيف ZIPيحتوي على ملف تمديد SCR. إذا تم فتح الملف ، يقوم البرنامج المصاب باستخراج ملف hard disk وثيقة RTF التي يتم عرضها على الشاشة. وفي الوقت نفسه ، في الخلفية ، يتم تنزيل برنامج التشفير من خادم تحت سيطرة المهاجمين. بمجرد فك الضغط وتنشيطه ، يقوم بمسح أجهزة التخزين بحثًا عن المستندات الشخصية للمستخدم ، والتي يصادرونها ، واستبدال النسخة الأصلية بالإصدارات المشفرة. بعد اكتمال المهمة ، يتم إخطار المستخدم برسالة تفيد بأنه يجب عليه دفع مقابل استرداد البيانات الشخصية.
كيف Cryptowall منع العدوى وغيرها من أشكال انتزاع الفدية؟
أخذ خبراء بك برنامج BitDefenderوالمستخدمين العاديين و administratorيمكن للنظام أن يقلل بشكل كبير من خطر الإصابة ، فضلاً عن الضرر الناجم عنه ، مع مراعاة بعض القواعد الأساسية:
- يستخدم حلاً أمنياً محدثًا باستمرار للكمبيوتر قادرًا على المسح النشط.
- جدول احتياطية من الملفات الموجودة على واحد أو أكثر hard diskالأجهزة الخارجية التي لا تظل متصلة بشكل دائم بجهاز الكمبيوتر أو في الشبكة المحلية أو باستخدام خدمة سحابة التخزين.
- تجنب زيارة مواقع غير معروفة، وصلات أو لا الوصول إلى الملفات شملت كمرفق لرسائل البريد الإلكتروني مع أصل غير مؤكد، وعدم تقديم معلومات شخصية الأحاديث العامة أو المنتديات. في بعض الأحيان من الممكن أن الرسائل مع المرفقات المصابة إلى أن تلقى بما في ذلك عناوين معروفة، إذا تم اختراق جهاز الكمبيوتر في الطرف الآخر، أو تم إضافة عنوان البريد الإلكتروني المسيئة إلى الحقل المرسل.
- تنفيذ / قفل ينشط حل مبتكر، و مكافحة البريد التطفلي.
- استخدام مستعرض ويب مع دعم لvirtualizares أو دعم كامل تعطيل لتشغيل المحتوى Flash.
- يجب أن أرباب العمل بتدريب موظفيها من حيث الهندسة الاجتماعية محاولات لتحديد و التصيدعن طريق رسائل البريد الإلكتروني.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"في نفس الوقت، administratorيحتاج النظام إلى تعزيز سياسات المجموعة لمنع إعدام الفيروس من مواقع محددة. يمكن القيام بذلك على Windows احترافية أو Windows خادم الطبعة. اختيار نهج تقييد البرامج يمكن العثور عليها في المحرر سياسة الأمن المحلية. بعد زر الوصول جديدة نهج تقييد البرامج تحت Addالقواعد النموذجيةوسوف تستخدم المقبل قواعد الطريق بمستوى أمان "غير مسموح به":
باستخدام هذه الآليات ينبغي أن تحد أو كتلة Cryptowallولكن لمزيد من الحماية، برنامج BitDefender ويقترح Cryptowall Immunizer. يتصرف آلية وقائية كما إضافية، والتي تعمل بالتوازي مع الحماية من الفيروسات تنشيط دائم، وأداة تسمح للمستخدمين لتحصين أجهزة الكمبيوتر ومنع أي محاولة تشفير الملفاتقبل وقوعه.
