+7 (963) 839-0705 (пн-пт с 10 до 18, МСК+7)
корзина ( )

Рекомендации Лаборатории Касперского по защите компьютера от программ-вымогателей

Программа-вымогатель — это разновидность вредоносных программ, которая шифрует файлы на компьютере и требует выкуп за их расшифровку. Также встречаются программы, которые шифруют данные, но не требуют выкуп. Нет никакой гарантии, что вы сможете расшифровать файлы после оплаты выкупа.

Лаборатория Касперского рекомендует заранее настроить и защитить устройство, чтобы в будущем предотвратить заражение и уменьшить возможный ущерб.

Рекомендации Лаборатории Касперского по снижению рисков заражения программами-вымогателями

Установите защитное решение

Приложения «Лаборатории Касперского» с актуальными антивирусными базами блокируют атаки и установку вредоносных программ. В состав последних версий приложений входит компонент Мониторинг активности, который автоматически создает резервные копии файлов, если подозрительная программа пытается получить к ним доступ.

Устанавливайте обновления

Своевременно обновляйте программное обеспечение, операционные системы и приложения «Лаборатории Касперского», особенно следите за патчами для устранения уязвимостей. Обновленное программное обеспечение работает на последнем патче, что помогает ограничивать возможности злоумышленников.

Обновления повышают безопасность, стабильность и производительность систем, помогают устранить новейшие уязвимости и не позволяют злоумышленникам их использовать.

Программное обеспечение, которое важно обновлять:

  • патчи операционной системы;
  • плагины браузеров;
  • приложения VPN, обеспечивающие доступ удаленным сотрудникам и выступающие в качестве шлюзов в вашу сеть.

Включите все компоненты и функции защиты приложений «Лаборатории Касперского»

Все компоненты и функции приложений «Лаборатории Касперского» направлены на обеспечение максимальной защиты устройств и снижение рисков заражения программами-вымогателями. Убедитесь, что все компоненты и функции приложения включены и работают.

Создавайте резервные копии файлов и храните их вне компьютера

Резервное копирование данных рекомендуется выполнять регулярно. Даже в случае успешной атаки программ-вымогателей и шифрования файлов резервные данные будут доступны к восстановлению, что позволит уменьшить негативные последствия атаки. Для защиты информации от вредоносных программ и повреждений компьютера создавайте резервные копии файлов и храните их на съемном носителе или в онлайн-хранилище.

Не открывайте файлы из писем от неизвестных отправителей

Программы-вымогатели распространяются через зараженные файлы из электронных писем. В таких письмах мошенники выдают себя за деловых партнеров или сотрудников государственных органов, а темы писем и вложения содержат важные уведомления, например уведомление об иске из арбитражного суда. Перед открытием электронного письма и вложенного файла внимательно проверяйте, кто является отправителем.

Используйте сложные пароли для учетных записей Windows при удаленном подключении

Слабые пароли можно просто угадать или подобрать, что позволит злоумышленникам легко получить доступ к важным данным. Чтобы защитить личные данные и предотвратить взлом учетных записей при удаленном подключении, используйте надежные пароли (Kaspersky Password Manager — менеджер паролей для компьютера и мобильных устройств. Подскажет, если вы используете ненадежные или дублирующиеся пароли, поможет сегенерировать надежный пароль для новой учетной записи. Позволяет безопасно хранить пароли и автоматически заполнять формы авторизации на сайтах).

Когда вы работаете через общедоступную сеть, злоумышленники могут использовать службы удаленного рабочего стола, чтобы получить доступ к вашим устройствам. Подключайтесь к удаленному рабочему столу только внутри домашней или корпоративной сети. Информацию о службе удаленного рабочего стола вы можете найти на сайте поддержки Microsoft.

Защитите общие папки

Злоумышленники могут использовать общие папки для шифрования, распространения вредоносного программного обеспечения и перемещения по сети организации. Kaspersky Endpoint Security для Windows защищает общие папки от шифрования и помогает устанавливать для них надежные пароли.

Защитите учетные записи администраторов

Убедитесь, что учетные записи администраторов защищены надежными паролями, которые регулярно меняются (например, каждые 3 месяца). По возможности используйте двухфакторную аутентификацию, чтобы минимизировать риск получения злоумышленниками контроля над сетью, если им удалось получить доступ к учетным данным.

Отслеживайте подозрительные действия

Проверяйте журналы событий и оперативные данные на предмет подозрительных действий. Следите за боковыми перемещениями в сети и обращайте внимание на исходящий трафик, так как злоумышленникам обычно требуется подключение к внешним сетям или внешним инструментам для кражи данных.

Соблюдайте осторожность при использовании PowerShell

PowerShell часто используется для атак на устройства с операционной системой Windows. Программы-вымогатели и бесфайловые угрозы также используют PowerShell для осуществления атак.

Ограничьте выполнение скриптов PowerShell. Запретите выполнение неподписанных скриптов PowerShell с помощью политик, разрешите выполнять скрипты PowerShell только тем учетным записям, которым это необходимо. Не меняйте политики ограничений PowerShell (Set-ExecutionPolicy). На устройствах, защищенных Kaspersky Endpoint Security для Windows, включите компонент защиты Адаптивный контроль аномалий и переведите правило «Активность скриптовых движков и фреймворков» в режим блокировки.

Настройте политики

Чтобы минимизировать объем сетевой информации, доступной пользователям, учетные записи которых могут быть скомпрометированы, настройте политики и сократите объем сетевой информации, которую злоумышленники могут получить со взломанного устройства. Это ограничит возможности злоумышленника, даже если ему удалось скомпрометировать учетную запись или устройство, а также предотвратит повышение привилегий администратора или других устройств, понижая масштаб и последствия атаки.

Используйте IDS и IPS для обнаружения и предотвращения сканирования сети

Первым шагом целевой атаки является сбор информации. Сканирование сети предоставляет злоумышленникам важную информацию: открытые порты, активные операционные системы и программное обеспечение, статус устройств в сети. Предотвращая сканирование сети, вы не дадите злоумышленникам собрать важную информацию и затрудните их атаку.

Обучайте ваших сотрудников

Злоумышленники попробуют начать атаку с любого устройства в сети, к которому смогут получить доступ. Расскажите всем вашим сотрудникам о том, какие риски бывают и что делать в подозрительных случаях: 

  • Будьте осторожны с вложениями в электронной почте и проверяйте ненадежные электронные адреса. Убедитесь, что компонент Защита от почтовых угроз в Kaspersky Endpoint Security для Windows включен. Этот компонент сканирует компьютеры и защищает их от вредоносных вложений.
  • Научитесь распознавать подозрительные ссылки, присланных в электронных письмах или на других платформах обмена сообщениями. Даже если ссылка пришла от знакомого вам человека, его могли взломать.
  • Обращайте внимание на подозрительную активность на своих устройствах или учетных записях. Выходите из рабочих систем, если доступ в них больше не требуется.
  • Используйте надежные пароли и двухфакторную аутентификацию.
  • Регулярно обновляйте персональные операционные системы и программное обеспечение.

Рекомендации Лаборатории Касперского по настройке компьютера

Создавайте точки восстановления системы и резервные копии файлов

Регулярно создавайте точки восстановления системы и резервные копии файлов, в том числе на съемном носителе. Это позволит вернуть операционную систему к стабильной работе и восстановить поврежденные файлы в случае сбоя или заражения.

Подробнее о резервном копировании и восстановлении системы смотрите на сайте поддержки Microsoft.

Запретите удаленное подключение к компьютеру

Чтобы злоумышленники не смогли удаленно подключиться к вашему компьютеру, вы можете запретить такие подключения в настройках компьютера:

  1. Откройте поиск на вашем компьютере и введите «панель управления». Выберите Панель управления.

Переход в панель управления в Windows 10.

  1. Выберите Система.

Переход к просмотру сведений о компьютере в Windows 10.

  1. Выберите Защита системы.

Переход к свойствам системы в Windows 10.

  1. Перейдите на вкладку Удаленный доступ. Снимите флажок Разрешить подключения удаленного помощника к этому компьютеру и выберите Не разрешать удаленные подключения к этому компьютеру. Нажмите ОК.

Установление запрета на удаленное подключение к компьютеру в Windows 10.

Рекомендации по настройке приложений «Лаборатории Касперского»

  1. Установите пароль на доступ к приложению «Лаборатории Касперского»:
  2. Включите компонент Мониторинг активности в приложении «Лаборатории Касперского».
    Он блокирует и отменяет действия вредоносных программ, распознает и удаляет баннеры и создает резервные копии файлов, если вредоносная программа пытается получить к ним доступ. Инструкции по настройке в справке:

Рекомендации по расшифровке файлов

Попытайтесь восстановить файлы

Вы можете восстановить файлы с помощью стандартных средств Windows. Инструкция на сайте поддержки Microsoft

Отключите автоматическое удаление вредоносных файлов

Если на вашем компьютере установлено приложение «Лаборатории Касперского», перейдите в настройки и снимите флажок Автоматически выполнять рекомендуемые действия.

Мы не рекомендуем удалять вредоносные файлы из карантина, они могут содержать ключи для расшифровки.

Отправьте файлы на анализ

Обратитесь в техническую поддержку «Лаборатории Касперского». Прикрепите к запросу зашифрованный файл и электронное письмо. Если вы пользуетесь Kaspersky Endpoint Security для Windows, создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount.

Специалисты «Лаборатории Касперского» не могут гарантировать расшифровку поврежденных файлов.

Проведите проверку компьютера и удалите вредоносную программу

Запустите полную проверку компьютера, чтобы найти и устранить причину заражения. Если на вашем компьютере не установлено защитное решение, проведите проверку с помощью бесплатных приложений «Лаборатории Касперского»: Kaspersky Free, Kaspersky Rescue Disk или Kaspersky Virus Removal Tool

Что делать, если на компьютере появился подозрительный файл

Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, выполните одно из действий:

  • Проверьте файл на известные угрозы на сайте Kaspersky Threat Intelligence Portal. При необходимости сообщите экспертам «Лаборатории Касперского» о ложном срабатывании или новой вредоносной программе. Для этого:
    1. Нажмите Отправить для повторного анализа на странице с результатами проверки.
    2. Введите ваш адрес электронной почты, чтобы мы могли при необходимости связаться с вами.
    3. Нажмите Отправить.
  • Обратитесь в техническую поддержку «Лаборатории Касперского». Прикрепите к запросу подозрительный файл и добавьте комментарий «Возможный шифровальщик (вымогатель)». Если вы пользуетесь Kaspersky Endpoint Security для Windows, создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount.
  • Отправьте файлы для анализа на электронную почту newvirus@kaspersky.com. Для этого добавьте подозрительный файл в архив с расширением ZIP или RAR по инструкции. Установите для архива пароль infected и флажок Шифровать имена файлов (Encrypt file names).

Установка пароля и шифрования для архива.

Где могут храниться файлы программ-вымогателей

  • APPDATA

Windows NT/2000/XP — Диск:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8/10 — Диск:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local 

  • TEMP (временный каталог)

%TEMP%\xxxxxxx.tmp\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx.tmp\xx\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx\, где x — символы a-z, 0-9
%WINDIR%\Temp

  • Временный каталог Internet Explorer

Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, где x — символы a-z, 0-9

  • Рабочий стол

%UserProfile%\Desktop\

  • Корзина

Диск:\Recycler\             
Диск:\$Recycle.Bin\  
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000, , где x — символы 0-9

  • Системный каталог

%WinDir%                                                      
%SystemRoot%\system32\

  • Каталог документов пользователя

%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads

  • Каталог для скачивания файлов в веб-браузере

%USERPROFILE%\Downloads  

  • Каталог автозагрузки

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Kaspersky Standard, Plus, Premium доступны уже сейчас на нашем сайте, корпоративные продукты Kaspersky Endpoint Security и Kaspersky Small Office Security вы можете приобрести, отправив заявку на электронный адрес order@auum.ru.