Προστασία από ransomware. ][-δοκιμή: καταπολέμηση crypto-lockers στα Windows

Τα Ransomware Trojans είναι ένας ειδικός τύπος κακόβουλου λογισμικού που δημιουργήθηκε για εκβιασμό (ransomware). Η μαζική τους δράση καταγράφηκε για πρώτη φορά στα τέλη του 2006. Τα τελευταία δέκα χρόνια η κατάσταση δεν έχει αλλάξει σχεδόν καθόλου. Σήμερα, νέα παραδείγματα Trojans συνεχίζουν να κρυπτογραφούν αρχεία κάτω από τη μύτη του λογισμικού προστασίας από ιούς και να απαιτούν πληρωμή για αποκρυπτογράφηση. Ποιος φταίει για αυτό και, κυρίως, τι να κάνουμε;

Εάν ο Trojan έχει κρυπτογραφήσει τα αρχεία σας, απενεργοποιήστε αμέσως τον υπολογιστή σας! Στη συνέχεια, προσπαθήστε να συλλέξετε όσο το δυνατόν περισσότερα δεδομένα. Στην ιδανική περίπτωση, πρέπει να δημιουργήσετε μια εικόνα δίσκου ανά τομέα και στη συνέχεια να αναλύσετε ήρεμα την κατάσταση.

Τι είναι οι Trojans ransomware;

Σήμερα, οι περισσότεροι χρήστες έχουν κάποιο είδος δημοφιλές antivirusή τουλάχιστον το MSRT, το ενσωματωμένο "εργαλείο αφαίρεσης κακόβουλου λογισμικού" των Windows. Ωστόσο, το ransomware εκτελείται αθόρυβα, κρυπτογραφεί αρχεία και αφήνει ένα μήνυμα λύτρων. Συνήθως υπόσχονται να στείλουν το κλειδί αποκρυπτογράφησης μετά την πληρωμή με κάποιο ημι-ανώνυμο τρόπο. Για παράδειγμα, μεταβείτε μέσω Tor σε μια σελίδα με περαιτέρω οδηγίες και μεταφέρετε τα λύτρα σε μηδενικός αριθμόςπορτοφόλι

Τα antivirus ανταποκρίνονται σε αυτό τόσο σπάνια που οι προγραμματιστές τους έχουν κατηγορηθεί ακόμη και για συμπαιγνία. Δεν είναι η πρώτη φορά που οι ιολόγοι γίνονται ύποπτοι για εγκληματικούς σκοπούς, αλλά τεχνικά όλα εξηγούνται πιο απλά εδώ. Το γεγονός είναι ότι το Trojan ransomware δεν εκτελεί ενέργειες που να το υποδεικνύουν ξεκάθαρα κακόβουλη δραστηριότητα. Το Sam είναι ένα απλό πρόγραμμα με ένα σύνολο βιβλιοθηκών γενικού σκοπού. Μερικές φορές είναι απλώς ένα σενάριο ή ένα αρχείο δέσμης που εκκινεί άλλα φορητά βοηθητικά προγράμματα. Ας το καταλάβουμε γενικός αλγόριθμοςτις ενέργειες των κρυπτογραφητών με περισσότερες λεπτομέρειες.

Συνήθως ο χρήστης κατεβάζει και εκτελεί ο ίδιος το ransomware. Ο Trojan ολισθαίνει στο θύμα με το πρόσχημα μιας ενημέρωσης, ενός απαραίτητου βοηθητικού προγράμματος, ενός εγγράφου με σύνδεσμο phishing και άλλων γνωστών μεθόδων κοινωνικής μηχανικής. Τα antivirus είναι ανίσχυρα απέναντι στην ανθρώπινη αφέλεια.

Ένας Trojan κρυπτογράφησης που έχει εισέλθει σε ένα σύστημα μπορεί να αναγνωριστεί από την υπογραφή του μόνο εάν βρίσκεται ήδη στις βάσεις δεδομένων. Προφανώς δεν υπάρχουν νέα δείγματα σε αυτά και οι τροποποιήσεις των παλαιών Trojan ελέγχονται επιπλέον για ανίχνευση πριν από τη διανομή.

Μετά την εκκίνηση του Trojan, ο αναλυτής συμπεριφοράς προστασίας από ιούς είναι σιωπηλός, καθώς, από την άποψή του, δεν εκτελούνται δυνητικά επικίνδυνες ενέργειες. Κάποιο πρόγραμμα αναζητά αρχεία με μάσκα; Ναι παρακαλώ! Δημιουργεί αντίγραφα αρχείων; Κανένα πρόβλημα! Κρυπτογραφεί αντίγραφα; Αυτό δεν είναι επίσης λόγος για πανικό. Λειτουργίες κρυπτογράφησης που υποστηρίζονται από τους περισσότερους σύγχρονα προγράμματα, και το Trojan χρησιμοποιεί τις ίδιες τυπικές κρυπτογραφικές βιβλιοθήκες. Διαγράφει αρχεία χρήστη; Αυτό επίσης δεν απαγορεύεται - δεν είναι συστημικά. Συντριπτικός ελεύθερος χώρος; Η ασφαλής διαγραφή είναι επίσης ένα δημοφιλές και νόμιμο χαρακτηριστικό. Προστέθηκε στο autorun; Αυτή είναι επίσης επιτρεπόμενη συμπεριφορά.

Σε αντίθεση με τους κλασικούς ιούς, ένα Trojan ransomware δεν προσπαθεί να τροποποιήσει αρχεία, δεν εισάγεται σε ενεργές διεργασίες και γενικά συμπεριφέρεται βαρετά. Απλώς δημιουργεί αντίγραφα εγγράφων και βάσεων δεδομένων, τα κρυπτογραφεί και στη συνέχεια τα διαγράφει οριστικά πρωτότυπα αρχείαχρήστη και το κλειδί κρυπτογράφησης, αφήνοντας ένα κείμενο λύτρων. Σε κάθε περίπτωση, οι συντάκτες των Trojans θα ήθελαν να δουν ακριβώς αυτή την ιδανική συμπεριφορά. Στην πραγματικότητα, αυτή η αλυσίδα διαδικασιών μπορεί να αποτύχει σε οποιοδήποτε στάδιο, καθιστώντας την δυνατή εναλλακτικές μεθόδουςμεταγραφές.

Τα συμβατικά προγράμματα προστασίας από ιούς δεν είναι σε θέση να καταπολεμήσουν νέους κρυπτογραφητές των οποίων οι υπογραφές δεν βρίσκονται ακόμη στις βάσεις δεδομένων τους. Μπορούν να αναγνωρίσουν μόνο τις πιο ακατέργαστες τροποποιήσεις σε ευρετικό επίπεδο. Σύνθετες λύσεις (όπως το Dr.Web Χώρος ΑσφαλείαςΚαι Kaspersky InternetΑσφάλεια/ Απόλυτη ασφάλεια) γνωρίζουν ήδη πώς να εξαλείψουν τις καταστροφικές συνέπειές τους. Κάνουν αντίγραφα εκ των προτέρων αρχεία χρήστη, να τα αποκρύψετε και να αποκλείσετε την πρόσβαση σε αυτά προγράμματα τρίτων. Εάν ο Trojan φτάσει σε φωτογραφίες και έγγραφα από τυπικούς καταλόγους, μπορείτε πάντα να τα επαναφέρετε από αντίγραφα και απλώς να διαγράψετε κρυπτογραφημένα αρχεία.

Δεδομένου ότι το σύμπλεγμα προστασίας από ιούς φορτώνει τη μονάδα προστασίας του προγράμματος οδήγησης και του κατοίκου ακόμη και πριν ο χρήστης συνδεθεί, αυτό είναι αρκετά αξιόπιστη μέθοδοςαποθήκευση αντιγράφων ασφαλείας. Ωστόσο, μπορούν επίσης να γίνουν χρησιμοποιώντας βοηθητικά προγράμματα τρίτων. Το κύριο πράγμα είναι ότι τοποθετούνται εξωτερικά μέσα, το οποίο απενεργοποιείται αμέσως μετά τη δημιουργία αντιγράφου ασφαλείας. Διαφορετικά, ο Trojan θα εντοπίσει αντίγραφα ασφαλείας σε έναν μόνιμα συνδεδεμένο σκληρό δίσκο και θα τα κρυπτογραφήσει ή θα τα καταστρέψει.

Μεταξύ των καθολικών προγραμμάτων δημιουργίας αντιγράφων ασφαλείας, το δωρεάν βοηθητικό πρόγραμμα Veeam Endpoint Backup Free έχει πρόσθετη προστασία από κακόβουλο λογισμικό. Μπορεί να αποσυνδέσει αυτόματα τις μονάδες USB αμέσως μετά την ολοκλήρωση των αντιγράφων ασφαλείας και να αποθηκεύσει πολλές εκδόσεις αρχείων.

ΠΡΟΣ ΤΗΝ Επιπρόσθετα χαρακτηριστικάΤο πρόγραμμα περιλαμβάνει τη δυνατότητα δημιουργίας αντιγράφων ασφαλείας των κατατμήσεων συστήματος χωρίς να τα απενεργοποιήσετε ( σκιερό αντίγραφο), πρακτικά άμεση αποκατάστασημεμονωμένα αρχεία και καταλόγους (μπορούν να ανοίξουν απευθείας από την εικόνα χρησιμοποιώντας συνδέσμους) και άλλες ενδιαφέρουσες επιλογές. Μπορεί επίσης να δημιουργήσει έναν δίσκο εκκίνησης με το δικό του περιβάλλον ανάκτησης σε περίπτωση που ο Trojan έχει μπλοκάρει κανονική εργασία OS.

Εκτός καθολικά βοηθητικά προγράμματαγια backup από πρόσθετες λειτουργίεςπροστασία από ransomware, υπάρχει μια σειρά από εξειδικευμένα προγράμματα προληπτικής προστασίας. Ορισμένα από αυτά είναι διαθέσιμα δωρεάν μόνο στο στάδιο της δοκιμής beta και στη συνέχεια γίνονται μια νέα μονάδα προστασίας από ιούς επί πληρωμή (για παράδειγμα, αυτό συνέβη με το Malwarebytes Anti-Ransomware). Άλλες εξακολουθούν να υπάρχουν ως ξεχωριστές δωρεάν λύσεις.

GridinSoft Anti-Ransomware

Αυτό το ουκρανικό βοηθητικό πρόγραμμα για την πρόληψη μολύνσεων από ransomware βρίσκεται επί του παρόντος σε δοκιμή beta. Οι προγραμματιστές το περιγράφουν ως ένα καθολικό εργαλείο που αποτρέπει οποιεσδήποτε απόπειρες εκτέλεσης μη εξουσιοδοτημένης κρυπτογράφησης αρχείων. Υπόσχονται να μπλοκάρουν αποτελεσματικά τις επιθέσεις ransomware και να αποτρέψουν την απώλεια δεδομένων που προκαλούν. Στην πράξη, το βοηθητικό πρόγραμμα αποδείχθηκε άχρηστο. Το πρώτο Trojan ransomware από την παλιά συλλογή κυκλοφόρησε αθόρυβα, έκανε τη βρώμικη δουλειά του και δημοσίευσε αιτήματα λύτρων στην επιφάνεια εργασίας.

Πρόληψη κακόβουλου λογισμικού CryptoPrevent

Αυτό το βοηθητικό πρόγραμμα άφησε την πιο ανάμεικτη εντύπωση. Η CPMP ενεργεί προληπτικά με βάση ένα μεγάλο σύνολο πολιτικές ομάδαςκαι πολλά φίλτρα συμπεριφοράς, παρακολουθώντας τις ενέργειες των προγραμμάτων και την κατάσταση των καταλόγων χρηστών. Έχει πολλές διαθέσιμες λειτουργίες προστασίας, συμπεριλαμβανομένου του επιπέδου "Μέγιστο", το οποίο λειτουργεί με βάση την αρχή "ρυθμίστε το και ξεχάστε το".

Η διεπαφή του προγράμματος παρέχει γρήγορη πρόσβαση σε δεκάδες ρυθμίσεις, αλλά η αλλαγή των περισσότερων από αυτές απαιτεί επανεκκίνηση. Η ίδια η εφαρμογή CPMP δεν χρειάζεται να εκτελείται συνεχώς. Χρειάζεται να εκτελείται μόνο για παρακολούθηση και συντήρηση. Για παράδειγμα, για να ελέγξετε την κατάσταση, να διαβάσετε αρχεία καταγραφής, να ενημερώσετε ή να αλλάξετε παραμέτρους.

Ταυτόχρονα, το γραφικό πρόσθετο χρειάζεται πολύ χρόνο για να ξεκινήσει και δεν παρέχει ειδοποιήσεις σε πραγματικό χρόνο. Επίσης δεν υπάρχει συνήθης καραντίνα. Στη λειτουργία "Μέγιστη προστασία", όλα τα αρχεία που προσδιορίζονται ως επικίνδυνα απλά διαγράφονται χωρίς αμφιβολία.

Για να το δοκιμάσουμε αυτό, δοκιμάσαμε να ρυθμίσουμε το CPMP στο μέγιστο επίπεδο προστασίας και να απελευθερώσουμε διαδοχικά επτά διαφορετικά Trojans ransomware. Τρία από αυτά αφαιρέθηκαν από την CPMP αμέσως κατά την προσπάθεια εκτόξευσης. Δεν εμφανίστηκαν μηνύματα. Άλλοι τέσσερις ξεκίνησαν με ασφάλεια, αλλά δεν έφτασαν στον τερματισμό. Η CPMP δεν τους επέτρεψε να δημιουργήσουν νέα αρχεία και να κρυπτογραφήσουν αρχεία χρηστών, αλλά ούτε και τα διέγραψε. Το φορτίο της CPU ήταν 100% όλη την ώρα, ο δίσκος γκρίνιαζε και ήταν αδύνατο να γίνει κάτι στο δοκιμαστικό σύστημα.

Με δυσκολία καταφέραμε να φτάσουμε στο κουμπί Kill Apps Now στο παράθυρο CPMP. Μετά από ένα δευτερόλεπτο, όλα τα προγράμματα ξεκινούν ως χρήστης (συμπεριλαμβανομένων Εξερεύνηση διεργασιών), ξεφορτώθηκαν βίαια. ΣΕ μνήμη τυχαίας προσπέλασηςΈμειναν μόνο οι διαδικασίες του συστήματος.

Κατά τη διάρκεια της μάχης, κάποιο κακόβουλο λογισμικό εγκαταστάθηκε στην επιφάνεια εργασίας και το Satan.f Trojan πρόσθεσε μια απαίτηση λύτρων κειμένου στην αυτόματη εκτέλεση. Κανένα αρχείο δεν ήταν κρυπτογραφημένο, αλλά πλήρης αφαίρεσηκακόβουλο λογισμικό επίσης.

Το αποτέλεσμα ήταν ένα αδιέξοδο: ακόμη και οι πιο αυστηροί περιορισμοί δεν διασφαλίστηκαν αξιόπιστη προστασίααπό ransomware Trojans. Σε ορισμένες περιπτώσεις, η ενεργή αντίθεση σε αυτούς οδήγησε στο γεγονός ότι όλα πόρους του συστήματοςήταν εντελώς κατειλημμένα. Δεν εμφανίζονται ειδοποιήσεις. Είναι δυνατό να κατανοήσετε τι συμβαίνει στο σύστημα μόνο αναλύοντας τα αρχεία καταγραφής, αλλά πρέπει ακόμα να φτάσετε σε αυτά.

Cybereason RansomFree

Αυτός είναι ένας αναλυτής συμπεριφοράς για Windows 7–10, που έχει σχεδιαστεί για την πρόληψη μόλυνσης από γνωστούς και νέους Trojans ransomware, συμπεριλαμβανομένων ransomware και winlockers. Σύμφωνα με τους προγραμματιστές, το πρόγραμμα γράφτηκε από πρώην στρατιωτικούς εμπειρογνώμονες στον τομέα ασφάλεια πληροφοριών, η οποία έλαβε επένδυση 90 εκατομμυρίων δολαρίων από τη Lockheed Martin και τη Softbank.

Το πρώτο ransomware Trojan ξεκίνησε, αλλά κατέρρευσε αμέσως με ένα σφάλμα. Το δεύτερο έχει γίνει μια ενεργή διαδικασία στη μνήμη. Η Cybereason το εντόπισε αμέσως και πρότεινε όχι μόνο την εκφόρτωσή του, αλλά και τη διαγραφή του αρχείου που δημιουργήθηκε από το Trojan.

Δεύτερος ανιχνευτής

Το τρίτο Trojan αποκλείστηκε επίσης με επιτυχία. Η Cybereason δεν του επέτρεψε να κρυπτογραφήσει τα αρχεία. Η διαδικασία 58CD2A07 εκφορτώθηκε και ένας μεμονωμένος εντοπισμός στο VirusTotal για το Wininit.exe ήταν ψευδής θετικός.

Η Cybereason έχασε τα επόμενα δύο Trojans. Ήταν ενεργοί μόνο για λίγα δευτερόλεπτα, αλλά αυτό ήταν αρκετό για να ξεπεράσει την προληπτική άμυνα.

Ένας παλιός φίλος Petya έκανε αναγκαστική επανεκκίνηση του υπολογιστή, μπλόκαρε Εκκίνηση των Windowsκαι κρυπτογράφηση των αρχείων. Είναι κρίμα που η Cybereason εγκατέλειψε τόσο γρήγορα. Είχαμε ακόμα τόσα άλογα από τους βετεράνους του ιππικού!

Kaspersky Anti-Ransomware Tool for Business

Αυτό το δωρεάν πρόγραμμα έχει σχεδιαστεί για να προστατεύει από όλους τους τύπους ransomware, συμπεριλαμβανομένων νέων ransomware και winlockers. Λειτουργεί σε μοντέρνα εκδόσεις Windows(7–10) οποιασδήποτε χωρητικότητας. Εντοπίζει νέες εκδόσεις ransomware με βάση τα χαρακτηριστικά φήμης των αρχείων στο δίκτυο cloud Kaspersky SecurityΑνάλυση δικτύου και συμπεριφοράς, η οποία εκτελεί το στοιχείο «παρακολούθηση δραστηριότητας». Το KART for Business μπορεί να χρησιμοποιηθεί με οποιοδήποτε προστασία από ιούς τρίτων, αλλά αυτό το πρόγραμμα δεν είναι συμβατό με τις λύσεις της Kaspersky Lab, καθώς περιλαμβάνουν ήδη παρόμοια λειτουργικότητα.

Το KART εκτελείται στο παρασκήνιο και δεν καταναλώνει τους πόρους του συστήματος σε αξιοσημείωτο βαθμό. Οι ρυθμίσεις του προγράμματος είναι ελάχιστες και δεν επηρεάζουν την πραγματική σάρωση. Εκτελείται πάντα μέσω του δικτύου cloud KSN και ο χρήστης ειδοποιείται μόνο για απειλές που έχουν εντοπιστεί.

Εάν θεωρείτε ότι το έναυσμα για μια εφαρμογή είναι ψευδές, μπορείτε να το προσθέσετε στη λίστα εξαιρέσεων κάνοντας κλικ στην επιλογή Διαχείριση εφαρμογών... αλλά είναι καλύτερα να το σκεφτείτε δύο φορές.

Οποιαδήποτε ανίχνευση απαιτεί χρόνο, επομένως το KART αποθηκεύει ένα ιστορικό δραστηριότητας εφαρμογής σε περίπτωση που ο Trojan καταφέρει να κάνει κάποιες αλλαγές στο σύστημα προτού αποκλειστεί.

Όταν εκκινείται σε έναν ήδη μολυσμένο υπολογιστή, το Kaspersky Anti-Ransomware Tool for Business εντοπίζει αυτόματα αρχεία κρυπτογραφημένα με Trojan και τα τοποθετεί σε ξεχωριστό χώρο αποθήκευσης για μετέπειτα μεταφορά σε ειδικούς για αποκρυπτογράφηση.

Bitdefender Anti-Ransomware Tool

Άλλο ένα πρόγραμμα με αυτονόητο όνομα από τη ρουμανική εταιρεία Bitdefender. Το BART μπορεί να χρησιμοποιηθεί παράλληλα με οποιοδήποτε antivirus, εκτός από αυτά που δημιουργούνται από το Bitdefender - έχουν ήδη τις αντίστοιχες μονάδες. Εξωτερικά, το BART λειτουργεί παρόμοια με το KART. Έχουν κοινές δηλωμένες αρχές για τον εντοπισμό γνωστών και νέων Trojans μέσω ενός αποκλειστικού δικτύου σάρωσης cloud και ενός αναλυτή συμπεριφοράς. Ο προγραμματιστής επισημαίνει ότι το BART βασίζεται σε μεθόδους αντιμετώπισης των τεσσάρων κύριων οικογενειών των Trojans κρυπτογράφησης: CTB-Locker, Locky, Petya και TeslaCrypt.

Ίσως από αυτό προστατεύει το βοηθητικό πρόγραμμα, αλλά ακόμη και μια σύντομη γνωριμία με το BART άφησε μια δυσάρεστη εντύπωση. Δεν μπόρεσε να αποτρέψει την κυκλοφορία του πρώτου Trojan και η υπογραφή του ήταν εδώ και καιρό στις βάσεις δεδομένων του Bitdefender. Το Trojan εγγράφηκε στην αυτόματη εκκίνηση χωρίς κανένα πρόβλημα και άρχισε να κυριαρχεί στο σύστημα, ενώ το BART έδειξε το πράσινο φως.

Επιθεώρηση του αλόγου δώρου

Εάν ένα Trojan ransomware όντως τρέχει στο σύστημα και καταφέρει να κάνει πολλές ατασθαλίες, τότε μην πανικοβληθείτε και μην προσπαθήσετε να το αφαιρέσετε από το τρέχον λειτουργικό σύστημα. Τώρα ο υπολογιστής σας είναι ένας τόπος εγκλήματος όπου πρέπει να διατηρηθούν όλα τα ίχνη.

Σε αντίθεση με την παροιμία, στην περίπτωση των κρυπτογράφων με ένα άλογο δώρο, πρέπει να εξετάσετε τα πάντα - έναν αποσυναρμολογητή και έναν εξαγωνικό επεξεργαστή. Είναι καλύτερα να το εμπιστευτείς σε αναλυτές εργαστήρια προστασίας από ιούς, αφού σε κάθε περίπτωση θα μελετούν ένα νέο δείγμα κακόβουλου λογισμικού. Συχνά μπορείτε να βρείτε ενδείξεις στον κώδικα που σας βοηθούν να αναπτύξετε έναν τρόπο αποκρυπτογράφησης αρχείων. Επομένως, σε καμία περίπτωση δεν πρέπει να χτυπάτε το άλογο μέχρι να αποκρυπτογραφηθεί πλήρως. Απλώς ασφαλίστε το αφαιρώντας το από το autorun και τοποθετώντας το σε ένα αρχείο με κωδικό πρόσβασης.

Είναι τα σφάλματα στον κώδικα Trojan που βοηθούν στην εύρεση του κλειδιού πιο γρήγορα από ό,τι σε 100-500 χιλιάδες χρόνια, όπως θα συνέβαινε αν οι δημιουργοί του εφάρμοζαν σωστά το AES-256. Αυτό το πρότυπο κρυπτογράφησης αναφέρεται συχνά από τους δημιουργούς των Trojans στις απειλές τους. Πιστεύεται ότι αυτό θα πείσει τα θύματα ότι είναι αδύνατο να αποκρυπτογραφηθούν αρχεία χωρίς κλειδί, αλλά στην πραγματικότητα πολλοί Trojans βασίζονται σε απλούστερους αλγόριθμους.

Για το ίδιο κακόβουλο λογισμικό που στην πραγματικότητα προσπάθησε να χρησιμοποιήσει το AES, λόγω μεγάλων ελαττωμάτων, το σύνολο των πιθανών πλήκτρων περιορίζεται σε τέτοιο όγκο που μπορεί ήδη να ταξινομηθεί σε έναν συνηθισμένο προσωπικό υπολογιστή σε λίγες μέρες ή και ώρες. Μεταξύ ransomware υπάρχουν επίσης παραλλαγές που δεν απαιτούν ειδικά προσόντα για την αποκρυπτογράφηση. Είτε αποθηκεύουν το κλειδί τοπικά, είτε όλη η «κρυπτογράφηση» βασίζεται σε μια λειτουργία όχι πιο περίπλοκη από το XOR.

Ο εμπειρογνώμονας της Emsisoft, Fabian Wosar, αστειεύεται συχνά στο ιστολόγιό του ότι η κατάρριψη του αλγόριθμου κρυπτογράφησης ενός άλλου υπο-Trojan του πήρε λιγότερο χρόνο από το να γράψει απαιτήσεις για λύτρα από τους συντάκτες του. Δημοσιεύει δωρεάν βοηθητικά προγράμματα αποκρυπτογράφησης αρχείων στον ιστότοπο της εταιρείας.

Δεν υπάρχει πρόγραμμα καθολικής αποκρυπτογράφησης, επομένως πρέπει να επιλέξετε το κατάλληλο για κάθε συγκεκριμένη περίπτωση. Άλλοι προγραμματιστές λογισμικού προστασίας από ιούς έχουν επίσης τους δικούς τους καταλόγους με δωρεάν βοηθητικά προγράμματα αποκρυπτογράφησης. Για παράδειγμα, στο Kaspersky Lab όλα αυτά είναι προγράμματα που περιέχουν το Decryptor στο όνομα. Τα βοηθητικά προγράμματα αποκρυπτογράφησης μπορούν επίσης να βρεθούν στον ιστότοπο του κοινού έργου No More Ransom. Ξεκίνησε με πρωτοβουλία της Εθνικής Μονάδας Καταπολέμησης του Κυβερνοεγκλήματος της Ολλανδικής Αστυνομίας, του Ευρωπαϊκού Κέντρου Κυβερνοεγκλήματος Europol και δύο εταιρειών προστασίας από ιούς - Kaspersky Lab και Intel Security.

Θα πρέπει να ξεκινήσετε αναζητώντας δωρεάν βοηθητικά προγράμματα σε αυτούς τους ιστότοπους, αλλά τι να κάνετε εάν δεν έχετε βρει αυτό που χρειάζεστε μεταξύ αυτών; Δυστυχώς, αυτό είναι επίσης πολύ πιθανό. Νέες εκδόσεις κρυπτογράφησης Trojans εμφανίζονται συνεχώς και δεν σπάνε όλες μία ή δύο φορές. Οι αναλυτές μπορούν να επεξεργαστούν μεμονωμένα δείγματα για περισσότερο από ένα μήνα. Περιστασιακά, συμβαίνει επίσης ότι η μέθοδος αποκρυπτογράφησης δεν μπορεί να εντοπιστεί καθόλου. Αυτό είναι είτε το αποτέλεσμα κρυπτογράφησης ιδιαίτερα υψηλής ποιότητας (πολύ σπάνια), είτε, αντίθετα, ο πιο λανθασμένος Trojan κώδικας, ο αλγόριθμος του οποίου καταστρέφει τα αρχεία και, κατ 'αρχήν, δεν συνεπάγεται σωστή αποκρυπτογράφηση.

Εάν τα γνωστά δωρεάν βοηθητικά προγράμματα δεν βοηθήσουν, τότε μπορείτε να στείλετε μια επιστολή στον Fabian, να δημιουργήσετε ένα αίτημα στην υπηρεσία Crypto Sheriff και ταυτόχρονα να γράψετε στην τεχνική υποστήριξη της Emsisoft και άλλων εταιρειών προστασίας από ιούς.

Σε κάθε περίπτωση, το νέο κακόβουλο λογισμικό θα πρέπει να σταλεί σε αναλυτές ιών. Επιπλέον, είναι καλύτερο να τους στείλετε όχι μόνο το αρχείο του ίδιου του Trojan, αλλά και όλα τα αρχεία που δημιουργούνται από αυτόν προσωρινά αρχείακαι τρία έως πέντε δείγματα κρυπτογραφημένων αρχείων. Εάν έχετε αρχικές (μη κρυπτογραφημένες) εκδόσεις των ίδιων αρχείων κάπου στα αντίγραφα ασφαλείας σας, τότε επισυνάψτε τις στο αίτημα. Η αντιστοίχιση ζευγών απλού κειμένου/κρυπτογραφημένου κειμένου είναι μία από τις κύριες μεθόδους κρυπτανάλυσης. Όσο περισσότερα τέτοια ζεύγη μπορείτε να βρείτε, τόσο πιο γρήγορα θα βρεθεί μια μέθοδος αποκρυπτογράφησης.

Επιπλέον, οι αναλυτές εκτελούν την ίδια επίθεση σε γνωστό κείμενο χρησιμοποιώντας τυπικές κεφαλίδες αρχείων. Για παράδειγμα, για αρχεία .doc είναι D0 CF 11 E0 A1 B1 1A E1 και για pictures.png είναι 89 50 4E 47 0D 0A 1A 0A. Δείτε τον πίνακα υπογραφών αρχείων για περισσότερες λεπτομέρειες. Τα αρχεία κειμένου (TXT) έχουν εντελώς τυχαίο περιεχόμενο, καθιστώντας τα πιο δύσκολα στην αποκρυπτογράφηση.

Από την εμπειρία μου, το Dr.Web και η Kaspersky Lab είναι τα καλύτερα στην αποκρυπτογράφηση αρχείων. Εάν έχετε έγκυρη άδεια για κάποιο από αυτά εμπορικό προϊόν, τότε οι αναλυτές θα αποκρυπτογραφήσουν τα αρχεία δωρεάν. Αν δεν είσαι χρήστης τους, τότε για χρήματα. Κατά κανόνα, μια υπηρεσία αποκρυπτογράφησης κοστίζει πολλές φορές περισσότερο από μια ετήσια άδεια προστασίας από ιούς, αλλά μια τέτοια πολιτική είναι κατανοητή. Η κρυπτανάλυση, ειδικά στην περίπτωση των AES και RSA, απαιτεί πολύ χρόνο, τον οποίο ξοδεύουν καλύτερα οι ειδικοί που υποστηρίζουν τους τακτικούς πελάτες τους.

Τον Οκτώβριο, ένας από τους αναγνώστες μας έπιασε μια νέα τροποποίηση ενός Trojan κρυπτογράφησης και ταυτόχρονα επικοινώνησε με την τεχνική υποστήριξη από διάφορες εταιρείες.

Τρεις μέρες αργότερα έλαβε μια απάντηση από τον Dr.Web: «Βρέθηκε μια λύση. Η αποκρυπτογράφηση είναι δυνατή. Για μη χρήστες του Dr.Web, η υπηρεσία πληρώνεται. Ο τρόπος για να αποκτήσετε αποκρυπτογράφηση σε εμπορική βάση: αγοράστε το Dr.Web Rescue Pack αξίας 5.299 ρούβλια χωρίς ΦΠΑ. Το Dr.Web Rescue Pack περιλαμβάνει μια υπηρεσία αποκρυπτογράφησης και μια άδεια για το Dr.Web Security Space για δύο χρόνια για την προστασία ενός υπολογιστή.

Ο αναγνώστης δεν ήταν ικανοποιημένος με την τιμή, οπότε άρχισε να περιμένει απάντηση από άλλες εταιρείες. Περίπου ένα μήνα αργότερα, μια νέα έκδοση εμφανίστηκε στον ιστότοπο της Kaspersky Lab δωρεάν βοηθητικό πρόγραμμα RannohDecryptor, το οποίο χρησιμοποιούσε για την αποκρυπτογράφηση των αρχείων του.

Η αποκρυπτογράφηση πραγματοποιήθηκε τοπικά και, κρίνοντας από το μακροπρόθεσμο 100% φορτίο της CPU, χρησιμοποιώντας μια μέθοδο brute-force. Η πλήρης αποκρυπτογράφηση 565 αρχείων χρειάστηκε εννιάμιση ώρες σε έναν επιτραπέζιο υπολογιστή Core i5. Μόνο ένα αρχείο παρέμεινε αποκρυπτογραφημένο, το οποίο αποδείχθηκε ότι ήταν αντίγραφο ενός άλλου.

συμπεράσματα

Οι Trojan κρυπτογράφησης δημιουργούν πολλά προβλήματα, αναγκάζοντάς σας να ξοδεύετε πολύ χρόνο ή/και χρήματα για την αποκρυπτογράφηση των αρχείων σας. Απλό antivirusδεν αρκεί για να τους πολεμήσει. Αργά ή γρήγορα, θα χάσει ένα νέο κακόβουλο λογισμικό του οποίου η υπογραφή δεν υπάρχει ακόμα στη βάση δεδομένων. Επομένως, αξίζει να προσέχετε αυτή τη στιγμή πρόσθετα μέτραΠΡΟΣΤΑΣΙΑ. Υπάρχουν πολλές δωρεάν επιλογές μεταξύ τους, αλλά η αποτελεσματικότητά τους αφήνει ακόμα πολλά να είναι επιθυμητά. Τουλάχιστον, είναι λογικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας και να περιορίζετε την πρόσβαση σε αυτά, καθώς και να κάνετε εκ των προτέρων μια επιλογή βοηθητικών προγραμμάτων αποκρυπτογράφησης.

Τελευταία ενημέρωση στις 15 Φεβρουαρίου 2017.

Kaspersky Anti-Ransomware Tool for Business- ένα εργαλείο που αναπτύχθηκε από την Kaspersky Lab για προστασία υπολογιστές με Windowsαπό τις ενέργειες του ransomware.

Τα προγράμματα Trojan που έχουν σχεδιαστεί για να εκβιάζουν χρήματα από το θύμα ονομάζονται ransomware. Αυτά περιλαμβάνουν επίσης εκείνα που είναι κοινά σε Πρόσφατακρυπτογράφοι.

Η κακόβουλη δραστηριότητα αυτών των απειλών αποσκοπεί στον αποκλεισμό της λειτουργίας ενός υπολογιστή ή στην κρυπτογράφηση δεδομένων σε έναν δίσκο και στον αποκλεισμό της πρόσβασης σε σημαντικά αρχεία. Ως αποτέλεσμα, οι εισβολείς απαιτούν ένα τέλος για την αναίρεση των αλλαγών που έγιναν από το πρόγραμμα Trojan στον υπολογιστή του θύματος. Αυτό οδηγεί σε σημαντικές απώλειες, ειδικά σε εταιρικό περιβάλλον.

Το δωρεάν Kaspersky Anti-Ransomware Tool for Business είναι συμβατό με τρίτα μέρη προγράμματα προστασίας από ιούςκαι μπορεί να εξυπηρετήσει πρόσθετη προστασίααπό Trojans ransomware και κρυπτογραφητές που χρησιμοποιούν προηγμένες τεχνολογίες.

Βασικά χαρακτηριστικά του Kaspersky Anti-Ransomware Tool for Business

• Δωρεάν και εύκολη λύση
• Premium Business Solutions (KES) Ransomware Detection για Windows)
• Τεχνολογίες προστασίας: δίκτυο cloud Kaspersky Security Network + "Activity Monitoring"
• Συμβατό με λύσεις προστασίας από ιούς τρίτων
• Υποστήριξη δημοφιλή συστήματα: από Windows 7 έως 10, συμπεριλαμβανομένου του λειτουργικού συστήματος διακομιστή Windows Server
• Αναφορές ανίχνευσης από ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗγια διαχειριστή

Τεχνολογίες προστασίας

Το Kaspersky Anti-Ransomware Tool χρησιμοποιεί για την προστασία υπολογιστών που βασίζονται σε Windows διάφορες μεθόδουςανίχνευση απειλών. Το εργαλείο προσδιορίζει κακόβουλες εφαρμογέςμε βάση τις πληροφορίες που περιέχονται στο βάσεις δεδομένων προστασίας από ιούς. Το εργαλείο χρησιμοποιεί δύο επαναστατικές τεχνολογίες για να προσδιορίσει τη χαρακτηριστική συμπεριφορά του ransomware: Kaspersky Security Network και Activity Monitor.

Το Kaspersky Security Network που βασίζεται σε σύννεφο παρέχει ταχύτερη απόκριση σε άγνωστες απειλές. ΕΝΑ μοναδικές ευκαιρίεςΗ "Παρακολούθηση δραστηριότητας" περιλαμβάνει τη δυνατότητα αποκλεισμού και ανάκλησης επικίνδυνων αλλαγών στο σύστημα.

Χάρη στους χρήστες που συμμετέχουν στο Kaspersky Security Network, η Kaspersky Lab είναι σε θέση να συλλέγει γρήγορα πληροφορίες σχετικά με νέους τύπους και πηγές απειλών, καθώς και να αναπτύσσει λύσεις για την εξουδετέρωση τους. Η συμμετοχή στο Kaspersky Security Network περιλαμβάνει την αποστολή στατιστικών στοιχείων που συλλέγονται από το Kaspersky Anti-Ransomware Tool for Business στον υπολογιστή σας.

Πώς λειτουργεί το Kaspersky Anti-Ransomware Tool for Business

Όταν εντοπιστεί μια απειλή, το Kaspersky Anti-Ransomware Tool την αποκλείει αυτόματα και την προσθέτει στη λίστα αποκλεισμένων εφαρμογών (Αποκλεισμένες εφαρμογές). Πριν από τον αποκλεισμό, το ransomware μπορεί να έχει χρόνο για εκτέλεση ανεπιθύμητες ενέργειεςστο λειτουργικό σύστημα (για παράδειγμα, δημιουργήστε ή τροποποιήστε αρχεία ή πραγματοποιήστε αλλαγές στο μητρώο). Για την επαναφορά των ενεργειών ενός κακόβουλου προγράμματος, το Kaspersky Anti-Ransomware Tool αποθηκεύει ένα ιστορικό δραστηριότητας εφαρμογής.

Το Kaspersky Anti-Ransomware Tool τοποθετεί αρχεία που δημιουργούνται από κακόβουλο λογισμικό σε ειδικό χώρο αποθήκευσης. Τα αρχεία που τοποθετούνται στο χώρο αποθήκευσης μπορούν να ανακτηθούν από ειδικούς της Kaspersky Lab. Εάν υπάρχει ανάγκη επαναφοράς αρχείων από την αποθήκευση, συνιστάται να αναζητήσετε συμβουλές στο φόρουμ προγραμματιστών.

Πριν επικοινωνήσετε με την υπηρεσία τεχνική υποστήριξη, πρέπει να εξοικειωθείτε

Ξέρετε τι είναι ιός ransomware; Και πώς μπορεί να βλάψει την επιχείρησή σας;

Οι κρυπτογραφητές είναι δούρειοι ίπποι που προσγειώνονται στον υπολογιστή σας, κλειδώνουν και κρυπτογραφούν τα αρχεία σας και στη συνέχεια εκβιάζουν πληρωμή για την αποκρυπτογράφηση τους.

Οι ιοί κρυπτογράφησης έχουν γίνει οι πραγματικοί βασιλιάδες του κόσμου του εγκλήματος στον κυβερνοχώρο. Οι Trojan χτυπούν τη χειρότερη δυνατή στιγμή, όταν χρειάζονται τόσο επειγόντως πληροφορίες που φαίνεται πιο εύκολο να πληρωθεί. Χρήστες και εταιρείες πληρώνουν μεγάλα ποσάχρήματα για την επιστροφή των προσωπικών σας δεδομένων.

Ποσά εξαργύρωσης για απλούς χρήστεςμπορεί να φτάσει τις δεκάδες χιλιάδες ρούβλια, και για μεγάλες εταιρείεςπερίπου πολλά εκατομμύρια ρούβλια. Αλλά 9 φορές στις 10, η πληρωμή δεν θα λύσει το πρόβλημα και μπορεί να εμφανιστεί ξανά το ίδιο πρόβλημα. Και αν ένα ολόκληρο εταιρικό δίκτυο έχει μολυνθεί από ιό, τότε η επιχείρησή σας μπορεί να είναι εκτός λειτουργίας για μεγάλο χρονικό διάστημα και μόνο μία ημέρα διακοπής λειτουργίας μπορεί να είναι πολύ δαπανηρή για την εταιρεία.

Για να αποτρέψετε μια καταστροφή, χρησιμοποιήστε μια ολοκληρωμένη λύση προστασίας εταιρικό δίκτυομε ενσωματωμένη προστασία ransomware.

Ας δούμε πώς λειτουργεί αυτό όταν έχουν όλοι οι υπολογιστές στο εταιρικό σας δίκτυο Kaspersky EndpointΑσφάλεια για Windows, ελεγχόμενη μέσω Kaspersky Κέντρο ασφαλείας .

Ανοίξτε τον διακομιστή διαχείρισης του Kaspersky Security Center. Μεταβείτε στους Διαχειριζόμενους Υπολογιστές.

Στη συνέχεια, μεταβείτε στις ιδιότητες της ενεργής πολιτικής για το Kaspersky Endpoint Security

Σε αυτές τις ιδιότητες, ενεργοποιήστε την παρακολούθηση συστήματος, ενεργοποιήστε τη χρήση BSS και επικίνδυνων μοτίβων συμπεριφοράς σε όλους τους υπολογιστές του δικτύου σας.

Αυτό είναι όλο! Οι υπολογιστές σας προστατεύονται αξιόπιστα από ransomware, απλώς μην ξεχάσετε να ρυθμίσετε τις αυτόματες ενημερώσεις των βάσεων δεδομένων κατά των ιών.

Φροντίστε για την ασφάλεια του εταιρικού σας δικτύου με .
Στο ηλεκτρονικό μας κατάστημα μπορείτε να αγοράσετε όλα όσα χρειάζεστε για να προστατεύσετε τον εαυτό σας και την επιχείρησή σας από ιούς κρυπτογράφησης, για παράδειγμα.

Αυτή τη φορά ελέγξαμε πώς τα ολοκληρωμένα εργαλεία προστασίας από ιούς αντιμετωπίζουν τους Trojans κρυπτογράφησης. Για το σκοπό αυτό, έγινε μια επιλογή ransomware και μάλιστα γράφτηκε ξεχωριστό πρόγραμμα, που προσομοιώνει τις ενέργειες ενός άγνωστου Trojan ransomware. Η υπογραφή της σίγουρα δεν υπάρχει στις βάσεις δεδομένων κανενός συμμετέχοντος στις σημερινές δοκιμές. Ας δούμε τι μπορούν να κάνουν!

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Το άρθρο γράφτηκε για ερευνητικούς σκοπούς. Όλες οι πληροφορίες σε αυτό είναι μόνο για ενημερωτικούς σκοπούς. Όλα τα δείγματα ελήφθησαν από ανοιχτές πηγές και στάλθηκαν σε αναλυτές ιών.

Παλιές θεραπείες για νέες απειλές

Τα κλασικά antivirus δεν βοηθούν καθόλου στην προστασία από προγράμματα Trojan που κρυπτογραφούν αρχεία και απαιτούν λύτρα για την αποκρυπτογράφηση τους. Τεχνικά, τέτοιου είδους ransomware αποτελείται εξ ολοκλήρου ή σχεδόν εξ ολοκλήρου από νόμιμα στοιχεία, καθένα από τα οποία δεν εκτελεί κακόβουλες ενέργειες από μόνο του. Το κακόβουλο λογισμικό απλώς τα συνδυάζει σε μια αλυσίδα, οδηγώντας σε ένα καταστροφικό αποτέλεσμα - ο χρήστης στερείται της δυνατότητας να εργαστεί με τα αρχεία του μέχρι να τα αποκρυπτογραφήσει.

Πρόσφατα, πολλά εξειδικευμένα βοηθητικά προγράμματα εμφανίστηκαν να προστατεύουν από Trojans ransomware. Είτε προσπαθούν να πραγματοποιήσουν ανάλυση χωρίς υπογραφή (δηλαδή, να αναγνωρίσουν νέες εκδόσεις ransomware με τη συμπεριφορά τους, τη φήμη του αρχείου και άλλα έμμεσα σημάδια), είτε απλώς να απαγορεύσουν σε οποιαδήποτε προγράμματα να κάνουν αλλαγές που είναι απαραίτητες για τις ενέργειες του ransomware.

Είμαστε πεπεισμένοι ότι τέτοια βοηθητικά προγράμματα είναι πρακτικά άχρηστα. Ακόμη και οι πιο αυστηροί περιορισμοί που τίθενται σε αυτά (υπό τους οποίους δεν είναι πλέον δυνατό να λειτουργήσει κανείς κανονικά) δεν παρέχει αξιόπιστο εμπόδιο έναντι των Trojans ransomware. Αυτά τα προγράμματα αποτρέπουν ορισμένες μολύνσεις, αλλά αυτό δημιουργεί μόνο μια ψευδή αίσθηση ασφάλειας στον χρήστη. Γίνεται πιο απρόσεκτος και βρίσκεται ακόμα πιο γρήγορα θύμα ransomware.

Το κύριο πρόβλημα κατά την καταπολέμηση των κλασικών Trojans κρυπτογράφησης είναι ότι όλες οι ενέργειές τους εκτελούνται μόνο στα αρχεία του χρήστη και δεν επηρεάζουν τα στοιχεία του συστήματος. Δεν μπορεί να απαγορεύεται στον χρήστη να αλλάξει και να διαγράψει τα αρχεία του. Σαφής χαρακτηριστικά γνωρίσματαΥπάρχει πολύ μικρή ή καθόλου συμπεριφορά στους ποιοτικούς εκπροσώπους ransomware. Σύνδεση δικτύουτρέχει τώρα τα περισσότερα προγράμματα (τουλάχιστον για έλεγχο για ενημερώσεις) και οι λειτουργίες κρυπτογράφησης είναι ενσωματωμένες ακόμη και σε προγράμματα επεξεργασίας κειμένου.

Αποδεικνύεται ότι δεν έχουν απομείνει μέσα για προληπτική προστασία. εμφανή σημάδια, βοηθώντας στη διάκριση ενός ακόμη Trojan ransomware από ένα νόμιμο πρόγραμμα. Εάν η υπογραφή Trojan δεν υπάρχει στις βάσεις δεδομένων, η πιθανότητα να την εντοπίσει το antivirus είναι πολύ μικρή. Η ευρετική μονάδα αντιδρά μόνο σε ακατέργαστες τροποποιήσεις γνωστών κρυπτογραφητών και ο αναλυτής συμπεριφοράς συνήθως δεν ανιχνεύει ύποπτη δραστηριότητακαθόλου.

Τα αντίγραφα ασφαλείας διαφέρουν από τα αντίγραφα ασφαλείας!

Σήμερα, χιλιάδες υπολογιστές μολύνονται με ransomware καθημερινά και, κατά κανόνα, από τα χέρια των ίδιων των χρηστών. Οι εταιρείες προστασίας από ιούς δέχονται αιτήματα για αποκρυπτογράφηση αρχείων (δωρεάν από τους πελάτες τους), ωστόσο, οι αναλυτές τους δεν είναι παντοδύναμοι. Μερικές φορές είναι δυνατό να συλλεχθούν πολύ λίγα δεδομένα για επιτυχή αποκρυπτογράφηση ή ο ίδιος ο αλγόριθμος Trojan περιέχει σφάλματα που καθιστούν αδύνατη την επαναφορά των αρχείων στην αρχική τους μορφή. Τώρα οι αιτήσεις για αποκρυπτογράφηση υποβάλλονται σε επεξεργασία από δύο ημέρες έως έξι μήνες και κατά τη διάρκεια αυτής της περιόδου πολλές από αυτές απλώς χάνουν τη συνάφειά τους. Το μόνο που μένει είναι να ψάξουμε πρόσθετα κεφάλαιαπροστασία χωρίς να βασίζεστε σε σαρωτή προστασίας από ιούς.

Για πολύ καιρό καθολική προστασίαυπήρχαν αντίγραφα ασφαλείας για τυχόν επιθέσεις ιών. Σε περίπτωση μόλυνσης με νέο κακόβουλο λογισμικό, θα μπορούσατε απλώς να επαναφέρετε τα πάντα από το αντίγραφο ασφαλείας, αντικαθιστώντας τα κρυπτογραφημένα αρχεία με τις αρχικές τους εκδόσεις και αναιρώντας τυχόν ανεπιθύμητες αλλαγές. Ωστόσο, οι σύγχρονοι Trojan κρυπτογράφησης έχουν μάθει επίσης να αναγνωρίζουν και να καταστρέφουν αντίγραφα ασφαλείας. Εάν έχει ρυθμιστεί αυτόματη δημιουργία, τότε η εφεδρική αποθήκευση είναι συνδεδεμένη και διαθέσιμη για εγγραφή. Το προηγμένο Trojan σαρώνει όλα τα τοπικά, εξωτερικά και μονάδες δίσκου δικτύου, καθορίζει τον κατάλογο με τα αντίγραφα ασφαλείας και τα κρυπτογραφεί ή τα διαγράφει, διαγράφοντας τον ελεύθερο χώρο.

Η μη αυτόματη δημιουργία αντιγράφων ασφαλείας είναι πολύ κουραστική και αναξιόπιστη. Είναι δύσκολο να εκτελείτε μια τέτοια λειτουργία κάθε μέρα και σε μεγαλύτερο χρονικό διάστημα θα συγκεντρωθούν πολλά σχετικά δεδομένα, τα οποία δεν θα έχουν πού να αποκατασταθούν. Πώς να είσαι;

Σήμερα, οι περισσότεροι προγραμματιστές προσφέρουν, εκτός από τα κλασικά antivirus, ολοκληρωμένες λύσεις ασφαλείας. Τώρα, εκτός από το τείχος προστασίας, το IDS και άλλα γνωστά στοιχεία, περιέχουν ένα νέο - ασφαλή αποθήκευση αντιγράφων ασφαλείας. Σε αντίθεση με έναν κανονικό κατάλογο με αντίγραφα ασφαλείας, μόνο το ίδιο το πρόγραμμα προστασίας από ιούς έχει πρόσβαση σε αυτόν και ελέγχεται από το πρόγραμμα οδήγησης του. Εξωτερικός έλεγχοςΟ κατάλογος είναι εντελώς απενεργοποιημένος - ακόμη και ένας διαχειριστής δεν μπορεί να τον ανοίξει ή να τον διαγράψει διαχείριση αρχείων. Ας δούμε πόσο καλή είναι αυτή η προσέγγιση.

Μεθοδολογία δοκιμών

Για τα πειράματά μας, φτιάξαμε κλώνους της εικονικής μηχανής με καθαρά παράθυρα 10 και τελευταία σετδιορθώσεις. Καθένα από αυτά είχε εγκατεστημένο το δικό του antivirus. Αμέσως μετά την ενημέρωση των βάσεων δεδομένων, ελέγξαμε την απόκριση προστασίας από ιούς στην επιλογή δοκιμής και το πρόγραμμα προσομοιωτή μας. Το σετ δοκιμής περιελάμβανε 15 δείγματα. Από αυτές, οι 14 ήταν διάφορες τροποποιήσεις γνωστών Trojans ransomware και η δέκατη πέμπτη ήταν ένα πρόγραμμα λήψης Trojan που κατέβασε άλλο ένα ransomwareαπό απομακρυσμένο ιστότοπο.

Όλα τα δείγματα είχαν επέκταση .tst, ανεξάρτητα από την πραγματική μορφή αρχείου. Ένα πρόγραμμα ειδικά γραμμένο για αυτές τις δοκιμές, που απλά ονομάζεται EncryptFiles, μιμήθηκε την τυπική συμπεριφορά ενός κρυπτογραφικού Trojan. Όταν εκκινήθηκε με προεπιλεγμένες παραμέτρους, κρυπτογραφούσε αμέσως τα περιεχόμενα των αρχείων από τον κατάλογο «Τα έγγραφά μου» χωρίς ερωτήσεις. Για λόγους σαφήνειας, αποθηκεύσαμε μηνύματα ηχούς στο πρόγραμμα και τοποθετήσαμε μερικά αρχεία κειμένου σε κωδικοποίηση OEM-866 στον κατάλογο με τα έγγραφα του τρέχοντος χρήστη, προκειμένου να εμφανιστούν αμέσως τα περιεχόμενά τους απευθείας στην κονσόλα. Το ένα αρχείο περιείχε αποσπάσματα από τα έργα των Strugatskys (απλό κείμενο χωρίς μορφοποίηση) και το άλλο περιείχε παραμέτρους φακού σε μορφή πίνακα (μορφοποιημένο κείμενο).

Μετά την εγκατάσταση και την ενημέρωση κάθε προστασίας από ιούς, δείγματα ransomware αντιγράφηκαν στον κατάλογο Λήψεις από έναν φάκελο δικτύου που ήταν συνδεδεμένος σε λειτουργία μόνο για ανάγνωση. Στη συνέχεια, τα αντιγραμμένα αρχεία σαρώθηκαν επιπλέον από το antivirus (αναγκαστική σάρωση κατ' απαίτηση) στις προεπιλεγμένες ρυθμίσεις. Στα δείγματα που απομένουν μετά την επαλήθευση δόθηκε η πραγματική τους επέκταση, μετά την οποία κυκλοφόρησαν. Εάν το σύστημα δεν είχε μολυνθεί, τότε ελέγχθηκε η απόκριση προστασίας από ιούς στο πρόγραμμα προσομοιωτή. Εάν τα αρχεία κρυπτογραφήθηκαν με επιτυχία, προσπαθήσαμε να επαναφέρουμε τις αρχικές τους εκδόσεις χρησιμοποιώντας λογισμικό προστασίας από ιούς και καταγράψαμε το αποτέλεσμα.

Kaspersky Total Security

Εγκαταστήσαμε σε μία από τις δοκιμαστικές εικονικές μηχανές Kaspersky Total Security, η οποία υποσχέθηκε «προστασία από ransomware για την αποφυγή καταστροφής αρχείων κακόβουλο λογισμικό" Το KTS αναγνώρισε σχεδόν όλες τις απειλές όταν προσπαθούσε να αντιγράψει δείγματα ransomware από έναν φάκελο δικτύου.

Μόνο ένα αρχείο από τα δεκαπέντε συμπεριλήφθηκε στον κατάλογο "Λήψεις" - nd75150946.tst - αυτό είναι το Trojan.Downloader, και είναι γνωστό εδώ και πολύ καιρό. Με αυτόν πρόσθετη επαλήθευσηκατόπιν αιτήματος, η KTS έκρινε και πάλι το αρχείο ασφαλές. Σαράντα πέντε σαρωτές προστασίας από ιούςΤο VirusTotal δεν συμφωνούσε μαζί του.

Ανοίξαμε αυτό το δείγμα με ένα πρόγραμμα επεξεργασίας Hex για να προσδιορίσουμε την πραγματική επέκτασή του. Η γνωστή κεφαλίδα 50 4B 03 04 και το όνομα ενός άλλου αρχείου μέσα - προφανώς, αυτό είναι ένα αρχείο ZIP. Μέσα στο αρχείο ήταν ύποπτο αρχείο: το εικονίδιο του ταιριάζει έγγραφο PDFκαι η επέκταση ήταν .scr - προφύλαξη οθόνης, δηλαδή είναι εκτελέσιμος κώδικας.

Όταν προσπαθείτε να εκτελέσετε ένα αρχείο με την επέκταση .scr από Αρχείο KTSαπέκλεισε το αυτόματα αποσυσκευασμένο αντίγραφό του στον προσωρινό κατάλογο του χρήστη. Με βάση τα αποτελέσματα της ανάλυσης cloud μέσω του δικτύου KSN, αναγνώρισε αυτό το αρχείο ως άγνωστο κακόβουλο αντικείμενο και πρότεινε τη διαγραφή του με επανεκκίνηση. Σε αυτή την περίπτωση, ήταν μια υπερβολική προφύλαξη, αφού το Trojan δεν απέκτησε τον έλεγχο και μπορούσε να διαγραφεί με οποιονδήποτε τρόπο, όπως ένα κανονικό αρχείο.

Είναι αξιοσημείωτο ότι η Kaspersky Total Security δεν μαθαίνει από τα λάθη της. Στο επανέλεγχοτο αρχείο θεωρήθηκε και πάλι καθαρό, αν και το αρχείο που αποσυσκευάστηκε από αυτό είχε μόλις προκαλέσει έναυσμα σύμφωνα με τα αποτελέσματα της ανάλυσης στο KSN.

Στην αρχή του επόμενου σταδίου δοκιμών, ελέγξαμε την αρχική κατάστασηΚατάλογος "My Documents" και εξάγετε τα περιεχόμενα μερικών αρχείων κειμένου από αυτόν στην κονσόλα.

Μετά από αυτό ανοίξαμε τη λειτουργική μονάδα "Δημιουργία αντιγράφων ασφαλείας και επαναφορά" και δημιουργήσαμε αντίγραφα ασφαλείας αυτών των εγγράφων στον φάκελο "Δημιουργία αντιγράφων ασφαλείας" απευθείας στο κατάτμηση συστήματος. Σε μια πραγματική κατάσταση, αξίζει να επιλέξετε μια διαφορετική τοποθεσία (για παράδειγμα, εξωτερική μονάδα δίσκου), αλλά για τη δοκιμή μας δεν έχει σημασία. Η πρόσβαση σε αυτόν τον φάκελο ελέγχεται σε κάθε περίπτωση από τα εργαλεία KTS και μέσω ενός τυπικού προγράμματος οδήγησης σύστημα αρχείωνΟι Trojans δεν μπορούν να αλληλεπιδράσουν με αυτό.

Χρησιμοποιώντας κανονικά εργαλεία, ακόμη και ένας διαχειριστής μπορεί να δει μόνο τις ιδιότητες αυτού του φακέλου. Όταν προσπαθείτε να συνδεθείτε, ο διαχειριστής αντιγράφων ασφαλείας KTS ξεκινά αυτόματα και σας ζητά να εισαγάγετε έναν κωδικό πρόσβασης, εάν είχε οριστεί προηγουμένως.

Ο ίδιος ο διαχειριστής αντιγράφων ασφαλείας της Kaspersky είναι πολύ σαφής. Μπορεί να επιλέξει τυπικούς καταλόγους, υποδείξτε τη δική σας ή εξαιρέστε ξεχωριστά αρχεία. Ο αριθμός των αρχείων κάθε τύπου εμφανίζεται αμέσως στο παράθυρο στα αριστερά και το μέγεθός τους εμφανίζεται στις ιδιότητες στα δεξιά.

Εκτός από την εγγραφή αντιγράφων ασφαλείας σε τοπικό και αφαιρούμενες μονάδες δίσκου, το KTS υποστηρίζει την αποστολή τους στο Dropbox. Η χρήση του χώρου αποθήκευσης cloud είναι ιδιαίτερα βολική εάν το κακόβουλο λογισμικό εμποδίζει τον υπολογιστή να ξεκινήσει και να συνδέσει εξωτερικά μέσα.

Το KTS αγνόησε το πρόγραμμα προσομοιωτή μας. Κρυπτογραφούσε ήρεμα τα αρχεία, μετατρέποντας το περιεχόμενό τους σε gobbledygook. Η άρνηση πρόσβασης στους υποκαταλόγους "Τα βίντεό μου", "Οι εικόνες μου" και "Η μουσική μου" είναι ένα ελάττωμα του ίδιου του προγράμματος, το οποίο δεν επηρεάζει σε καμία περίπτωση την ικανότητά του να κρυπτογραφεί αρχεία στο %USERPROFILE%Documents.

Εάν στο πρόγραμμά μας η λειτουργία αποκρυπτογράφησης εκτελείται απλά όταν εκκινείται με το κλειδί /decrypt, τότε στους Trojans δεν ξεκινά πάντα ακόμα και μετά την εκπλήρωση των απαιτήσεων λύτρων. Το μόνο είναι αρκετό γρήγορη επιλογήεπαναφέροντας κρυπτογραφημένα αρχεία σε αυτήν την περίπτωση, αφήνονται να αντικατασταθούν από ένα που δημιουργήθηκε προηγουμένως αντιγράφων ασφαλείας. Με λίγα μόνο κλικ, επαναφέραμε επιλεκτικά ένα από τα κρυπτογραφημένα αρχεία στην αρχική του θέση. Με τον ίδιο τρόπο, μπορείτε να επαναφέρετε έναν ή περισσότερους ολόκληρους καταλόγους.

Χώρος ασφαλείας Dr.Web

Όπως το KTS, το Dr.Web SS αναγνώρισε 14 από τα 15 δείγματα όταν προσπάθησε να τα αντιγράψει στον κατάλογο "Λήψεις".

Ωστόσο, σε αντίθεση με το KTS, εντόπισε ακόμα το Trojan.Downloader στο υπόλοιπο δείγμα μετά την αλλαγή της επέκτασής του σε ZIP και την εκτέλεση αναγκαστικής σάρωσης.

Οι περισσότερες ρυθμίσεις του Dr.Web SS είναι κλειδωμένες από προεπιλογή. Για να το ενεργοποιήσετε, πρέπει πρώτα να κάνετε κλικ στο εικονίδιο κλειδώματος και να εισαγάγετε τον κωδικό πρόσβασης, εάν έχει οριστεί.

Τα αντίγραφα ασφαλείας δημιουργούνται στο Dr.Web SS χρησιμοποιώντας το εργαλείο «Αποτροπή απώλειας δεδομένων». Οι διαθέσιμες ρυθμίσεις είναι ελάχιστες. Μπορείτε να επιλέξετε τυπικούς καταλόγους χρηστών για δημιουργία αντιγράφων ασφαλείας ή να καθορίσετε τους δικούς σας, να ορίσετε έναν από τους επιλεγμένους περιορισμούς στον όγκο των αντιγράφων, να καθορίσετε τη θέση των αντιγράφων ασφαλείας και να διαμορφώσετε το πρόγραμμα δημιουργίας αντιγράφων ασφαλείας. Το Dr.Web SS δεν υποστηρίζει τη μεταφόρτωση στο χώρο αποθήκευσης cloud, επομένως πρέπει να περιοριστείτε σε τοπικές μονάδες δίσκου.

Η προστασία του εφεδρικού καταλόγου του Dr.Web SS είναι πιο επιθετική από αυτή του KTS. Ο διαχειριστής δεν μπορεί καν να δει τις ιδιότητές του μέσω του Explorer.

Δημιουργήσαμε αντίγραφα ασφαλείας των εγγράφων και ξεκινήσαμε το δεύτερο μέρος της δοκιμής.

Ο προσομοιωτής Dr.Web SS δεν αναγνώρισε το πρόγραμμα και δεν παρενέβη με κανέναν τρόπο στη λειτουργία του. Σε κλάσματα δευτερολέπτου, όλα τα αρχεία κρυπτογραφήθηκαν.

Εκτελώντας ξανά το Data Loss Prevention, επαναφέραμε τα αρχικά αρχεία. Ωστόσο, δεν διατηρήθηκαν εκεί που αναμενόταν.

Όταν καθορίζετε τον φάκελο προορισμού "My Documents", ένας υποκατάλογος με σημερινή ημερομηνίακαι ο χρόνος ως όνομα. Τα αποθηκευμένα αρχεία από το αντίγραφο ασφαλείας έχουν ήδη αποσυσκευαστεί σε αυτό και με την επαναφορά όλων σχετικές διαδρομές. Αυτό δημιουργεί μια εξαιρετικά άβολα μεγάλη διαδρομή που θα μπορούσε εύκολα να υπερβεί το κοινό όριο των 255 χαρακτήρων.

Norton Security Premium

Υπενθυμίζοντας το Norton Ghost, το οποίο έγινε το πρότυπο εφεδρικών αντιγράφων στη δεκαετία του '90, ήταν εύκολο να προβλέψουμε την εμφάνιση παρόμοιας λειτουργικότητας στο antivirus της Symantec. Προκαλεί έκπληξη το γεγονός ότι πέρασαν δύο δεκαετίες προτού γίνει δημοφιλής αυτή η προφανής λύση. Δεν θα υπήρχε ευτυχία, αλλά η ατυχία θα βοηθούσε.

Όταν προσπαθούσε να αντιγράψει έναν κατάλογο με δείγματα ransomware, το NSP εντόπισε και έθεσε σε καραντίνα 12 από τις 15 απειλές.

Και τα τρία εναπομείναντα αρχεία αναγνωρίζονται ως κακόβουλα όταν αναλύονται από το VirusTotal, συμπεριλαμβανομένων δύο από αυτά από το πρόγραμμα προστασίας από ιούς Symantec. Απλώς οι προεπιλεγμένες ρυθμίσεις γίνονται έτσι ώστε το NSP να μην ελέγχει κάποια αρχεία κατά την αντιγραφή. Εκτελούμε μια αναγκαστική σάρωση... και το NSP εντοπίζει δύο ακόμη Trojan στον ίδιο κατάλογο.

Όπως και τα προηγούμενα προγράμματα προστασίας από ιούς, το NSP αφήνει το πρόγραμμα λήψης Trojan μετονομασμένο Αρχείο ZIP. Όταν προσπαθείτε να εκτελέσετε το αρχείο .scr από το αρχείο, το NSP αποκλείει την εκκίνηση του μη συσκευασμένου αντιγράφου του Trojan από τον προσωρινό κατάλογο του τρέχοντος χρήστη. Σε αυτήν την περίπτωση, το ίδιο το αρχείο δεν υποβάλλεται σε επεξεργασία με κανέναν τρόπο.

Το αρχείο θεωρείται καθαρό ακόμα και αν σαρωθεί ξανά αμέσως μετά τον εντοπισμό του Trojan που εξήχθη από αυτό. Η επιγραφή φαίνεται ιδιαίτερα αστεία: «Εάν πιστεύετε ότι υπάρχουν ακόμα απειλές, κάντε κλικ εδώ». Όταν κάνετε κλικ σε αυτό, οι βάσεις δεδομένων ενημερώνονται (ή όχι εάν είναι ήδη φρέσκες).

Προκαλεί έκπληξη το γεγονός ότι ορισμένα από τα παλιά δείγματα ransomware εξακολουθούν να εντοπίζονται από το NSP μόνο από ευρετικούς αναλυτές και εργαλεία ελέγχου cloud. Φαίνεται ότι οι ιολόγοι της Symantec είναι πολύ τεμπέληδες για να διατηρούν βάσεις δεδομένων τωρινή κατάσταση. Το antivirus τους απλώς μπλοκάρει οτιδήποτε ύποπτο και περιμένει την αντίδραση του χρήστη.

Το δεύτερο στάδιο των δοκιμών πραγματοποιήθηκε παραδοσιακά. Δημιουργήσαμε αντίγραφα ασφαλείας των αρχείων από τον κατάλογο My Documents και στη συνέχεια προσπαθήσαμε να τα κρυπτογραφήσουμε.

Ο διαχειριστής αντιγράφων ασφαλείας στο NSP αρχικά με ικανοποίησε με τη λογική του. Χρησιμοποιεί το κλασικό «Τι; Οπου; Πότε;», γνώριμο από την προ-σοβιετική εποχή. Ωστόσο, στη σύγχρονη εκδοχή επισκιάζεται από την υπερβολική αφαίρεση. Αντί να καταγράφονται απευθείας αντικείμενα με πλήρεις διαδρομές και αρχεία κατά επέκταση, χρησιμοποιούνται η εικονική τους θέση και η ομαδοποίηση υπό όρους ανά τύπο. Ο καθένας μπορεί να μαντέψει ποια αρχεία NSP θα θεωρήσει σχετικά με τις οικονομικές πληροφορίες και ποια απλά θα τοποθετηθούν στην ενότητα "Άλλα".

Επιπρόσθετες ρυθμίσειςείναι δυνατά (για παράδειγμα, χρησιμοποιώντας τον σύνδεσμο «Προσθήκη ή εξαίρεση αρχείων και φακέλων»), αλλά είναι πολύ δύσκολο να γίνουν. Για χάρη μερικών αρχείων (κάθε ένα λιγότερο από ένα kilobyte), πρέπει να δημιουργήσετε αντίγραφα ασφαλείας μισού δέντρου καταλόγου και κάθε είδους σκουπίδια όπως το desktop.ini, και ο οδηγός δημιουργίας αντιγράφων ασφαλείας προσφέρεται να το απαθανατίσει σε ένα CD-R. Φαίνεται ότι ο 21ος αιώνας δεν έφτασε για όλους.

Από την άλλη πλευρά, στους χρήστες NSP παρέχονται 25 GB αντιγράφων ασφαλείας στο cloud. Για να ανεβάσετε αντίγραφα ασφαλείας εκεί, απλώς επιλέξτε "Ασφαλής αποθήκευση δικτύου" ως τοποθεσία προορισμού.

Έχοντας δημιουργήσει ένα τοπικό αντίγραφο ασφαλείας, ξεκινήσαμε ένα πρόγραμμα που προσομοιώνει τις ενέργειες ενός Trojan ransomware. Το NSP δεν την εμπόδισε με κανέναν τρόπο και της επέτρεψε να κρυπτογραφήσει τα αρχεία.

Η επαναφορά τους από ένα αντίγραφο ασφαλείας ήταν ταχύτερη και πιο βολική από ό,τι στο Dr.Web SS. Αρκούσε να επιβεβαιωθεί η αντικατάσταση και τα αρχεία στην αρχική τους μορφή εμφανίστηκαν αμέσως στην αρχική τους θέση.

K7 Ultimate Security

Προηγουμένως, αυτό το προϊόν από την ινδική εταιρεία K7 Computing ονομαζόταν Antivirus Plus. Υπάρχει ακόμα μια μικρή σύγχυση με τα ονόματα αυτού του προγραμματιστή. Για παράδειγμα, η διανομή K7 Total Security δεν διαθέτει εργαλεία δημιουργίας αντιγράφων ασφαλείας. Γι' αυτό δοκιμάσαμε την έκδοση Ultimate - τη μοναδική που μπορεί να δημιουργήσει αντίγραφα ασφαλείας.

Σε αντίθεση με τα antivirus που είναι γνωστά στη Ρωσία, αυτή η εξέλιξη ήταν ένα σκοτεινό άλογο στις δοκιμές μας. Η φράση "ινδικός κώδικας" θεωρείται μια βρώμικη λέξη μεταξύ των προγραμματιστών και δεν περιμέναμε πολλά από αυτήν. Όπως έδειξαν οι δοκιμές, ήταν μάταιο.

Το K7 Ultimate Security είναι το πρώτο antivirus που εντόπισε αμέσως και τις 15 απειλές από την επιλογή μας. Δεν θα μου επέτρεπε καν να ολοκληρώσω την αντιγραφή δειγμάτων στον κατάλογο "Λήψεις" και θα τα διέγραφε απευθείας στον φάκελο του δικτύου εάν δεν ήταν συνδεδεμένος σε λειτουργία μόνο για ανάγνωση.

Ο σχεδιασμός του προγράμματος είναι καμουφλάζ και ατσάλι. Προφανώς, οι προγραμματιστές θέλουν να παίζουν τανκς ή απλά προσπαθούν να προκαλέσουν συσχετισμούς με κάτι αξιόπιστο με αυτόν τον τρόπο. Οι παράμετροι δημιουργίας αντιγράφων ασφαλείας στο K7 ρυθμίζονται περίπου με τον ίδιο τρόπο όπως στο NSP. Συνολικά, ωστόσο, η διεπαφή του K7 είναι λιγότερο γεμάτη και διευκολύνει την πρόσβαση στη μικροσυντονισμό.

Το K7 δεν αντέδρασε με κανέναν τρόπο στην εκκίνηση του προγράμματος προσομοιωτή και στην κρυπτογράφηση των αρχείων. Όπως πάντα, έπρεπε να επαναφέρω τα πρωτότυπα από ένα αντίγραφο ασφαλείας.

Είναι βολικό ότι κατά την επαναφορά, μπορείτε να επιλέξετε μεμονωμένα αρχεία και να τα γράψετε στην αρχική τους θέση. Έχοντας απαντήσει καταφατικά στο αίτημα αντικατάστασης του υπάρχοντος αρχείου, επαναφέραμε το lenses.txt με μερικά κλικ στην αρχική του θέση.

Δεν υπάρχει τίποτα άλλο να προσθέσουμε για την απόδοση του K7 σε αυτή τη δοκιμή. Η επιτυχία είναι επιτυχία.

συμπεράσματα

Παρά καλά αποτελέσματαδοκιμή, τα συνολικά συμπεράσματα ήταν απογοητευτικά. Ακόμη και πλήρεις εκδόσειςΤα δημοφιλή προγράμματα προστασίας από ιούς επί πληρωμή επιτρέπουν την εμφάνιση ορισμένων παραλλαγών ransomware στις προεπιλεγμένες ρυθμίσεις τους. Η επιλεκτική σάρωση κατά παραγγελία δεν εγγυάται επίσης την ασφάλεια των σαρωμένων αρχείων. Οι γνωστές από καιρό τροποποιήσεις των Trojans αποφεύγουν επίσης τον εντοπισμό χρησιμοποιώντας πρωτόγονα κόλπα (όπως η αλλαγή της επέκτασης). Το νέο κακόβουλο λογισμικό ελέγχεται σχεδόν πάντα για ανίχνευση πριν απελευθερωθεί στη φύση.

Δεν πρέπει να βασίζεστε σε αναλυτή συμπεριφοράς, έλεγχο στο σύννεφο, χαρακτηριστικά φήμης αρχείων και άλλα εργαλεία ανάλυσης χωρίς υπογραφή. Υπάρχουν κάποια οφέλη από αυτές τις μεθόδους, αλλά πολύ λίγα. Ακόμη και το πρωτόγονο πρόγραμμα προσομοιωτή μας με μηδενική φήμη και όχι ψηφιακή υπογραφήΔεν έχει αποκλειστεί από κανένα antivirus. Όπως πολλά Trojans ransomware, περιέχει πολλά ελαττώματα, αλλά αυτό δεν το εμποδίζει να κρυπτογραφεί εύκολα αρχεία αμέσως μετά την εκκίνηση.

Αυτόματο αντιγράφων ασφαλείαςΤα αρχεία χρήστη δεν είναι συνέπεια προόδου, αλλά απαραίτητο μέτρο. Μπορεί να είναι αρκετά αποτελεσματικό μόνο με μόνιμη προστασίαδημιουργία αντιγράφων ασφαλείας με χρήση του ίδιου του antivirus. Ωστόσο, θα είναι αποτελεσματικό ακριβώς μέχρι να ξεφορτωθεί το antivirus από τη μνήμη ή να απεγκατασταθεί εντελώς. Επομένως, αξίζει πάντα να δημιουργείτε επιπλέον αντίγραφα σε ορισμένα σπάνια συνδεδεμένα μέσα ή να τα ανεβάσετε στο cloud. Φυσικά, αν εμπιστεύεστε αρκετά τον πάροχο cloud.