Рекомендации по защите компьютера от программ-шифровальщиков
23.07.14 | Раздел публикации: Лаборатория Касперского
Общие рекомендации
1. Не открывайте почтовые вложения от неизвестных
отправителей
В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное. При этом вредоносными могут оказаться не только файлы формата EXE. Специалистами Лаборатории Касперского зафиксированы случаи заражения компьютеров при открытии специально сформированных злоумышленниками файлов форматов DOC и PDF.
2. Своевременно устанавливайте обновления антивирусных баз, операционной системы и других программ
3. Регулярно создавайте резервные копий файлов и храните их вне компьютера
Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.
4. Настройте доступ к общим сетевым папкам
Если вы используете общие сетевые папки, то специалисты Лаборатории Касперского рекомендуют создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.
Рекомендации по настройке параметров
компьютера
Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Специалисты Лаборатории Касперского рекомендуют включить службу для всех разделов.
Рекомендации по настройке параметров
продуктов Лаборатории Касперского
Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры продуктов:
Kaspersky Internet Security 2014
Kaspersky Internet Security 2013
Kaspersky Endpoint Security 10 для Windows
Антивирус Касперского 6.0 R2 для Windows Workstations
Что делать, если файлы зашифрованы
1. Отключите автоматическое удаление обнаруженных
вредоносных файлов
Если у вас установлен какой-либо антивирусный продукт, то в настройках параметров этого продукта выполните следующее:
Отключите автоматическое удаление обнаруженных вредоносных объектов. Установите действие Поместить файл на карантин.
Примечание: рекомендуется не удалять объекты из карантина, так как в некоторых случаях вредоносные файлы могут содержать ключи, которые могут помочь при расшифровке.
2. Отправьте подозрительные файлы на анализ
Если вы обнаружили подозрительный файл, запуск которого мог привести к заражению компьютера и шифрованию файлов, то вы можете отправить запрос:
- В Вирусную Лабораторию через сервис Личный кабинет. Прикрепите к запросу подозрительный файл и добавьте комментарий "возможный шифровальщик".
- На электронную почту newvirus@kaspersky.com. Файлы для анализа запакуйте в архив с паролем infected (с помощью программы-архиватора WinRar). При задании пароля установите флажок Encrypt file names.
3. Создайте копии зашифрованных файлов
4. Попытайтесь восстановить файлы
Вы можете попытаться восстановить файлы с помощью истории файлов
5. Воспользуйтесь утилитами для автоматической расшифровки файлов
Утилита RectorDecryptor
Утилита XoristDecryptor
Утилита RakhniDecryptor
ВНИМАНИЕ! Перед запуском утилит создайте копии файлов.
Список мест, где могут находиться файлы
программ-шифровальщиков
APPDATA
ОС Windows NT/2000/XP:
Диск:\Documents and Settings\%UserName%\Application Data\
%USERPROFILE%\Local Settings\Application Data
ОС Windows Vista/7/8:
Диск:\Users\%UserName%\AppData\Roaming\
%USERPROFILE%\AppData\Local
TEMP (временный каталог)
%TEMP%\???????.tmp\ (пример: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\ (пример: temp\7ze5418.tmp\mp)
%TEMP%\???????\ (пример: temp\pcrdd27)
%WINDIR%\Temp
Временный каталог Internet Explorer
ОС Windows NT/2000/XP: %USERPROFILE%\Local Settings\Temporary Internet Files\
ОС Windows Vista/7/8:
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\
..\temporary internet files\content.ie5\
..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)
Рабочий стол
%UserProfile%\Desktop\
Корзина
Диск:\Recycler\
Диск:\$Recycle.Bin\
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? -- 0-9)
Системный каталог
%WinDir%
%SystemRoot%\system32\
Каталог документов пользователя
%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads
Каталог для скачивания файлов в веб-браузере
%USERPROFILE%\Downloads
Каталог автозагрузки
%USERPROFILE%\Главное меню\Программы\Автозагрузка
Источник: support.kaspersky.ru
В обработку принимаются вопросы только по Корпоративному ПО и компьютерной технике для использования в организациях. Отправить запрос |
Техподдержка для Домашних пользователей (персональные версии программ, компьютер, ноутбук, принтер, сканер, монитор) производится Службами поддержки Производителей |