18.11.2012, 17:31
Witajcie,
na dzisiejszej lekcji w dość łopatologiczny sposób postaram się wyjaśnić jak typowy użytkownik powinien usuwać specyficzne zagrożenie jakim jest Ransomware.
Niestety wirusy te infekują rejestr systemowy, a więc usunięcie ich jest podwójnie trudne. Dodatkowo, co przyznajmy szczerze - większość testowanych antywirusów nie potrafi poradzić sobie z tym typem zagrożenia, o ile nie ma go w swoich bazach. Udowadniały to liczne video- testy wykonywane już na naszym forum. Dobrymi przykładami są tu np. oprogramowania Symantec Norton czy Dr.Web , które potrafią odciąć takiemu szkodnikowi dostęp do internetu, ale nijak nie radzą sobie z "przejęciem" pulpitu. A więc "jak żyć" z naśladującym policję Ransomem? Czas odpowiedzieć na to pytanie.
Po pierwsze:nie płacić. Oszuści produkujący złośliwe oprogramowanie robią to dla pieniędzy. Należy być wybitnie naiwnym by uwierzyć w wyświetlany przez wirusa komunikat, jednak zdarzają się i tacy internauci. Niech Was nie zmyli logo McAfee Secure często używane przy tego typu infekcjach. Oznaczenie znanego producenta stosowane na wielu czystych stronkach służy dodatkowemu zmyleniu użytkownika.
Po drugie restart. W przypadku Windows 8wiele próbek Ransoma znika/ dezaktywuje się po restarcie. Jest to prawdopodobnie związane z niedostosowaniem najnowszych zagrożeń pod powoli zyskujący na popularności system Microsoftu. Jeżeli po ponownym włączeniu komputera szkodnik dalej jest obecny ( a więc "na amen" pokonał heurystykę zainstalowanego programu zabezpieczającego) czas rozpocząć zabawę.
Po trzecie - tryb awaryjny . Uruchamiamy go klikając F8 w czasie rozruchu systemu. Proszę pamiętać by aktywować wersję z dostępem do sieci. Jeżeli wirus nie uruchomi się w tzw. "Safe Mode" jesteśmy w domu
. Wystarczy pobrać znane skanery Anti- Malware typu Hitman Pro lub Malwarebytes Anti Malware i usunąć szkodnika. Działając w tymże trybie istnieje możliwość pełnego dostępu do sieci pozwalająca na kontakt ze specjalistycznym forum np. Safegroup.pl, gdzie z pomocą użytkowników ( program OTL, specyficzne szczepionki) można pozbyć się zagrożenia w kilka chwil.
Ale jeśli wirus działa w trybie awaryjnym...
Po czwarte- płyta ratunkowa. Jeżeli nie możemy usunąć podstępnego zagrożenia za pomocą trybu awaryjnego i przeznaczonych ku temu skanerów, należy za pomocą drugiego komputera swojego/kolegi/koleżanki pobrać tzw. LiveCD- jest to płyta bootowalna jaką tworzą czołowi producenci pakietów bezpieczeństwa, służącą przeskanowaniu i usunięciu z komputera zagrożeń bez uruchamiania systemu. (proszę pamiętać o właściwej konfiguracji BIOSu!)
Warto też zastanowić się nad żródłem pobranego wirusa. Jeśli pamiętamy adres stronki z jakiej go pobraliśmy, a któraś z płyt ratunkowych nie dezynfekuje zagrożenia możemy przesłać podejrzany link/plik do laboratorium danego producenta oraz poczekać na stosowną aktualizację np.
<!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->
<!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->
Lepiej zapobiegać niż leczyć.
No właśnie najprościej napisać ;
No, ale jednak co zrobić kiedy pod żadnym pozorem nie podejrzewamy aktualnie ściąganej gry o bycie Ransomem?
Najprościej uruchamiać takowe pliki za pomocą Sandboxie - bezpłatnej aplikacji "piaskownicy" tworzącej w systemie oddzielną "przestrzeń" , w której działają uwięzione programy.
Niestety, o tymże programie większość internautów nie słyszała, a więc często jesteśmy skazani tylko na swego AV/pakiet IS, jeśli go oczywiście posiadamy.
A więc jak radzą sobie określone nbajpopularniejsze programy z tym zagrożeniem?
A jak...
Avast- program posiada mechanizm Sandboxa, na wszelki wypadek nieznane pliki warto uruchamiać za jego pomocą.
Avg- popularny antivirus jest prostą aplikacją, należy zaufać składnikowi Identity protection, jeżeli pobierany Ransom umknie uwadze silnikowi skanującemu " z definicji".
Arcavir - należy włączyć funkcję kontroli zmian rejestru, jest to jednak bardzo "nadpobudliwy" moduł, zasypujący pulpit alertami.
Avira- należy ustawić maksymalną kontrolę heurystyczną.
Bitdefender - program dysponuje HIPSem, który w rękach doświadczonego internauty nie zezwoli na jakąkolwiek infekcję opisywanym wirusem. Dodatkowo automatyczna heurystyka programu dobrze radzi sobie z tego typu zarazkami.
Comodo- tu nie powinno być żadnych problemow. W przypadku aktywnego Sandboxa czy HIPSa nie należy obawiać się infekcji typu Ransom.
Dr.Web - aplikacja "walczy'' z takowymi zagrożeniami alertami Firewalla. Radzę uważać! Należy jednak przyznać, że producent dość sprawnie aktualizuje swe oprogramowanie.
Eset- jak na automatyczny program przystało nie jest on zbyt odporny na zarażenia tego typu. Pociesza jednak ogromna baza zagrożeń. Nod32 czy pakiet Smart Security dysponują jednak HIPSem, dość agresywnym, jednak na początek można ustawić go w trybie uczenia - tworzenia reguł, a po zainstalowaniu podstawowych, zaufanych programów przestawić w "tryb oparty na regułach".
F secure, Panda, McAfee- programy część swej obrony behawioralnej zamknęły w chmurze, z którą komunikują się w przypadku uruchamiania aplikacji. Należy liczyć na szybkość działania tego modułu. F secure dodatkowo posiada dość silną ( również funkcjonującą stacjonarnie) ochronę Deepguard.
Kaspersky- tu kilka linków:
Jakie są Wasze sposoby na walkę z podstępnym szkodnikiem?
na dzisiejszej lekcji w dość łopatologiczny sposób postaram się wyjaśnić jak typowy użytkownik powinien usuwać specyficzne zagrożenie jakim jest Ransomware.
[Aby zobaczyć linki, zarejestruj się tutaj]
Niestety wirusy te infekują rejestr systemowy, a więc usunięcie ich jest podwójnie trudne. Dodatkowo, co przyznajmy szczerze - większość testowanych antywirusów nie potrafi poradzić sobie z tym typem zagrożenia, o ile nie ma go w swoich bazach. Udowadniały to liczne video- testy wykonywane już na naszym forum. Dobrymi przykładami są tu np. oprogramowania Symantec Norton czy Dr.Web , które potrafią odciąć takiemu szkodnikowi dostęp do internetu, ale nijak nie radzą sobie z "przejęciem" pulpitu. A więc "jak żyć" z naśladującym policję Ransomem? Czas odpowiedzieć na to pytanie.
[Aby zobaczyć linki, zarejestruj się tutaj]
Po pierwsze:nie płacić. Oszuści produkujący złośliwe oprogramowanie robią to dla pieniędzy. Należy być wybitnie naiwnym by uwierzyć w wyświetlany przez wirusa komunikat, jednak zdarzają się i tacy internauci. Niech Was nie zmyli logo McAfee Secure często używane przy tego typu infekcjach. Oznaczenie znanego producenta stosowane na wielu czystych stronkach służy dodatkowemu zmyleniu użytkownika.
Po drugie restart. W przypadku Windows 8wiele próbek Ransoma znika/ dezaktywuje się po restarcie. Jest to prawdopodobnie związane z niedostosowaniem najnowszych zagrożeń pod powoli zyskujący na popularności system Microsoftu. Jeżeli po ponownym włączeniu komputera szkodnik dalej jest obecny ( a więc "na amen" pokonał heurystykę zainstalowanego programu zabezpieczającego) czas rozpocząć zabawę.
Po trzecie - tryb awaryjny . Uruchamiamy go klikając F8 w czasie rozruchu systemu. Proszę pamiętać by aktywować wersję z dostępem do sieci. Jeżeli wirus nie uruchomi się w tzw. "Safe Mode" jesteśmy w domu
. Wystarczy pobrać znane skanery Anti- Malware typu Hitman Pro lub Malwarebytes Anti Malware i usunąć szkodnika. Działając w tymże trybie istnieje możliwość pełnego dostępu do sieci pozwalająca na kontakt ze specjalistycznym forum np. Safegroup.pl, gdzie z pomocą użytkowników ( program OTL, specyficzne szczepionki) można pozbyć się zagrożenia w kilka chwil.Ale jeśli wirus działa w trybie awaryjnym...
Po czwarte- płyta ratunkowa. Jeżeli nie możemy usunąć podstępnego zagrożenia za pomocą trybu awaryjnego i przeznaczonych ku temu skanerów, należy za pomocą drugiego komputera swojego/kolegi/koleżanki pobrać tzw. LiveCD- jest to płyta bootowalna jaką tworzą czołowi producenci pakietów bezpieczeństwa, służącą przeskanowaniu i usunięciu z komputera zagrożeń bez uruchamiania systemu. (proszę pamiętać o właściwej konfiguracji BIOSu!)
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Warto też zastanowić się nad żródłem pobranego wirusa. Jeśli pamiętamy adres stronki z jakiej go pobraliśmy, a któraś z płyt ratunkowych nie dezynfekuje zagrożenia możemy przesłać podejrzany link/plik do laboratorium danego producenta oraz poczekać na stosowną aktualizację np.
<!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->
<!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->
Lepiej zapobiegać niż leczyć.
No właśnie najprościej napisać ;
Cytat: nie otwieraj podejrzanych plików!
Cytat: nie pobieraj plików z nieznanych żródeł!
No, ale jednak co zrobić kiedy pod żadnym pozorem nie podejrzewamy aktualnie ściąganej gry o bycie Ransomem?
Najprościej uruchamiać takowe pliki za pomocą Sandboxie - bezpłatnej aplikacji "piaskownicy" tworzącej w systemie oddzielną "przestrzeń" , w której działają uwięzione programy.
Niestety, o tymże programie większość internautów nie słyszała, a więc często jesteśmy skazani tylko na swego AV/pakiet IS, jeśli go oczywiście posiadamy.
A więc jak radzą sobie określone nbajpopularniejsze programy z tym zagrożeniem?
A jak...
Avast- program posiada mechanizm Sandboxa, na wszelki wypadek nieznane pliki warto uruchamiać za jego pomocą.
Avg- popularny antivirus jest prostą aplikacją, należy zaufać składnikowi Identity protection, jeżeli pobierany Ransom umknie uwadze silnikowi skanującemu " z definicji".
Arcavir - należy włączyć funkcję kontroli zmian rejestru, jest to jednak bardzo "nadpobudliwy" moduł, zasypujący pulpit alertami.
Avira- należy ustawić maksymalną kontrolę heurystyczną.
Bitdefender - program dysponuje HIPSem, który w rękach doświadczonego internauty nie zezwoli na jakąkolwiek infekcję opisywanym wirusem. Dodatkowo automatyczna heurystyka programu dobrze radzi sobie z tego typu zarazkami.
Comodo- tu nie powinno być żadnych problemow. W przypadku aktywnego Sandboxa czy HIPSa nie należy obawiać się infekcji typu Ransom.
Dr.Web - aplikacja "walczy'' z takowymi zagrożeniami alertami Firewalla. Radzę uważać! Należy jednak przyznać, że producent dość sprawnie aktualizuje swe oprogramowanie.
Eset- jak na automatyczny program przystało nie jest on zbyt odporny na zarażenia tego typu. Pociesza jednak ogromna baza zagrożeń. Nod32 czy pakiet Smart Security dysponują jednak HIPSem, dość agresywnym, jednak na początek można ustawić go w trybie uczenia - tworzenia reguł, a po zainstalowaniu podstawowych, zaufanych programów przestawić w "tryb oparty na regułach".
F secure, Panda, McAfee- programy część swej obrony behawioralnej zamknęły w chmurze, z którą komunikują się w przypadku uruchamiania aplikacji. Należy liczyć na szybkość działania tego modułu. F secure dodatkowo posiada dość silną ( również funkcjonującą stacjonarnie) ochronę Deepguard.
Kaspersky- tu kilka linków:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Jakie są Wasze sposoby na walkę z podstępnym szkodnikiem?
