Рекомендации по защите компьютера от программ-шифровальщиков
Общие рекомендации
1. Не открывайте почтовые вложения от неизвестных отправителей
В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное.
При этом вредоносными могут оказаться не только файлы формата EXE. Зафиксированы случаи заражения компьютеров при открытии DOC и PDF файлов, специально сформированных злоумышленниками.
2. Своевременно обновляйте антивирусные базы, операционную систему и другие программы
Регулярно обновляйте антивирус. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. А также устанавливайте обновления для операционной системы и других программ, которыми вы пользуетесь.
3. Регулярно создавайте резервные копий файлов и храните их вне компьютера
Храните резервные копии вне компьютера (запрещается хранить резервные копии на том же компьютере, для которого эти копии создаются. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.
4. Минимизация привилегий на права доступа пользователей в операционной системе, к сетевым ресурсам
Минимизируйте привилегии пользователям на права доступа в операционной системе, выделите только те права доступа, которые необходимы им для выполнения служебных обязанностей. Если вы используете общие сетевые папки, то рекомендуем создать отдельную сетевую папку для каждого пользователя (структурного подразделения). Права на запись должны быть только у владельца папки. Это поможет избежать шифрования документов во всех сетевых папках при заражении одного компьютера.
5. Настройка RDP (Remote Desktop Protocol)
Все чаще программы-шифровальщики для заражения используют RDP. Такой способ становится все популярнее, так как позволяет не ждать, пока жертва откроет вредоносное вложение или перейдет по зараженной ссылке. Внимательнее относиться к настройке RDP, включать его только при необходимости и использовать для удаленных подключений сложные пароли.
Рекомендации по настройке параметров компьютера
В операционных системах Windows есть компонент "Резервное копирование и восстановление", который создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуем включить службу для всех разделов. Для включения необходимой зайти: пуск -> панель управления -> система -> защита системы. Затем добавить нужный раздел или диск.
Рекомендации по настройке параметров антивируса от программ-шифровальщиков
Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками настройте параметры антивируса:
для Kaspersky Endpoint Security 10
Что делать, если файлы зашифрованы
1. Отключите автоматическое удаление обнаруженных вредоносных файлов
Если у вас установлен какой-либо антивирусный продукт, то в настройках параметров этого продукта выполните следующее:
Отключите автоматическое удаление обнаруженных вредоносных объектов.
Установите действие Поместить файл на карантин. Как это сделать, посмотрите в статье для вашего антивируса:
для Kaspersky Endpoint Security 10
Не рекомендуется удалять файлы из карантина, так как в некоторых случаях вредоносные файлы могут содержать ключи, которые могут помочь при расшифровке.
2. Удалите вирус
Если у вас не установлен какой-либо антивирусный продукт, то проведите полную проверку при помощи бесплатных программ:
3. Отправьте подозрительные файлы на анализ
Если вы обнаружили подозрительный файл, запуск которого мог привести к заражению компьютера и шифрованию файлов, то вы можете отправить запрос:
- В лабораторию Касперского через сервис https://scan.kaspersky.com.
- В лабораторию Касперского через сервис My Kaspersky. Прикрепите к запросу подозрительный файл и добавьте комментарий "возможный шифровальщик".
- На электронную почту newvirus@kaspersky.com. Файлы для анализа запакуйте в архив с паролем infected (с помощью программы-архиватора WinRar). При задании пароля установите флажок Encrypt file names.
4. Попытайтесь восстановить файлы
Вы можете попытаться восстановить файлы с помощью компонента "Восстановление утерянных или удаленных файлов".
Восстановление файлов из резервной копии:
1. Откройте средство "Архивация и восстановление". Для этого необходимо зайти в пуск -> панель управления -> восстановление -> восстановление фаилов
2. Щелкните "Восстановить мои файлы", а затем следуйте инструкциям в мастере.
* Этот способ будет работать в том случае, если ранее Вы настроили Архивацию данных. Для этого необходимо зайти в пуск -> панель управления -> Архивация и восстановление -> Настроить резервное копирование
Восстановление файлов или папки в предыдущее состояние:
1. Щелкните файл или папку правой кнопкой мыши, перейдите на вкладку "Предыдущие версии". Отобразится список доступных предыдущих версий файла или папки. В этот список включаются и файлы, сохраненные при резервном копировании (если вы используете программу архивации данных), и точки восстановления (если доступны оба типа архивации).
2. Прежде чем восстанавливать предыдущую версию файла или папки, выберите ее, а затем щелкните "Открыть", чтобы убедиться, что это нужная вам версия.
3. Для восстановления предыдущей версии выберите ее, а затем щелкните "Восстановить"
5. Воспользуйтесь утилитами для автоматической расшифровки файлов
- Утилита RectorDecryptor
- Утилита XoristDecryptor
- Утилита RakhniDecryptor
- Утилита Dr.Web Security Space
Источники
1. Рекомендации по защите компьютера от программ-шифровальщиков
2. Возможна ли защита от троянцев-шифровальщиков?
3. Восстановление утерянных или удаленных файлов
4. Резервное копирование и восстановление системы компьютера