Рекомендации по защите компьютера от программ-вымогателей
Защитите вашу жизнь в интернете
Программа-вымогатель — это разновидность вредоносных программ, которая шифрует файлы на компьютере и требует выкуп за их расшифровку. Также встречаются программы, которые шифруют данные, но не требуют выкуп.
Рекомендации по снижению рисков заражения программами-вымогателями
Установите защитное решение
Приложения «Лаборатории Касперского» с актуальными антивирусными базами блокируют атаки и установку вредоносных программ. В состав последних версий приложений входит компонент Мониторинг активности, который автоматически создает резервные копии файлов, если подозрительная программа пытается получить к ним доступ.
Устанавливайте обновления
Своевременно обновляйте программное обеспечение, операционные системы и приложения «Лаборатории Касперского», особенно следите за патчами для устранения уязвимостей. Обновленное программное обеспечение работает на последнем патче, что помогает ограничивать возможности злоумышленников.
Обновления повышают безопасность, стабильность и производительность систем, помогают устранить новейшие уязвимости и не позволяют злоумышленникам их использовать.
Программное обеспечение, которое важно обновлять:
- патчи операционной системы;
- плагины браузеров;
- приложения VPN, обеспечивающие доступ удаленным сотрудникам и выступающие в качестве шлюзов в вашу сеть.
Включите все компоненты и функции защиты приложений «Лаборатории Касперского»
Все компоненты и функции приложений «Лаборатории Касперского» направлены на обеспечение максимальной защиты устройств и снижение рисков заражения программами-вымогателями. Убедитесь, что все компоненты и функции приложения включены и работают.
Создавайте резервные копии файлов и храните их вне компьютера
Резервное копирование данных рекомендуется выполнять регулярно. Даже в случае успешной атаки программ-вымогателей и шифрования файлов резервные данные будут доступны к восстановлению, что позволит уменьшить негативные последствия атаки. Для защиты информации от вредоносных программ и повреждений компьютера создавайте резервные копии файлов и храните их на съемном носителе или в онлайн-хранилище.
Не открывайте файлы из писем от неизвестных отправителей
Программы-вымогатели распространяются через зараженные файлы из электронных писем. В таких письмах мошенники выдают себя за деловых партнеров или сотрудников государственных органов, а темы писем и вложения содержат важные уведомления, например уведомление об иске из арбитражного суда. Перед открытием электронного письма и вложенного файла внимательно проверяйте, кто является отправителем.
Используйте сложные пароли для учетных записей Windows при удаленном подключении
Слабые пароли можно просто угадать или подобрать, что позволит злоумышленникам легко получить доступ к важным данным. Чтобы защитить личные данные и предотвратить взлом учетных записей при удаленном подключении, используйте надежные пароли.
Когда вы работаете через общедоступную сеть, злоумышленники могут использовать службы удаленного рабочего стола, чтобы получить доступ к вашим устройствам. Подключайтесь к удаленному рабочему столу только внутри домашней или корпоративной сети. Информацию о службе удаленного рабочего стола вы можете найти на сайте поддержки Microsoft.
Защитите общие папки
Злоумышленники могут использовать общие папки для шифрования, распространения вредоносного программного обеспечения и перемещения по сети организации. Kaspersky Endpoint Security для Windows защищает общие папки от шифрования и помогает устанавливать для них надежные пароли.
Используйте Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response
Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response помогают выявить и предотвратить атаку на ранних стадиях. С помощью этих решений вы можете обнаруживать и отслеживать подозрительные сигналы.
Защитите учетные записи администраторов
Убедитесь, что учетные записи администраторов защищены надежными паролями, которые регулярно меняются (например, каждые 3 месяца). По возможности используйте двухфакторную аутентификацию, чтобы минимизировать риск получения злоумышленниками контроля над сетью, если им удалось получить доступ к учетным данным.
Отслеживайте подозрительные действия
Проверяйте журналы событий и оперативные данные на предмет подозрительных действий. Следите за боковыми перемещениями в сети и обращайте внимание на исходящий трафик, так как злоумышленникам обычно требуется подключение к внешним сетям или внешним инструментам для кражи данных.
Соблюдайте осторожность при использовании PowerShell
PowerShell часто используется для атак на устройства с операционной системой Windows. Программы-вымогатели и бесфайловые угрозы также используют PowerShell для осуществления атак.
Ограничьте выполнение скриптов PowerShell. Запретите выполнение неподписанных скриптов PowerShell с помощью политик, разрешите выполнять скрипты PowerShell только тем учетным записям, которым это необходимо. Не меняйте политики ограничений PowerShell (Set-ExecutionPolicy). На устройствах, защищенных Kaspersky Endpoint Security для Windows, включите компонент защиты Адаптивный контроль аномалий и переведите правило «Активность скриптовых движков и фреймворков» в режим блокировки.
Настройте политики
Чтобы минимизировать объем сетевой информации, доступной пользователям, учетные записи которых могут быть скомпрометированы, настройте политики и сократите объем сетевой информации, которую злоумышленники могут получить со взломанного устройства. Это ограничит возможности злоумышленника, даже если ему удалось скомпрометировать учетную запись или устройство, а также предотвратит повышение привилегий администратора или других устройств, понижая масштаб и последствия атаки.
Используйте IDS и IPS для обнаружения и предотвращения сканирования сети
Первым шагом целевой атаки является сбор информации. Сканирование сети предоставляет злоумышленникам важную информацию: открытые порты, активные операционные системы и программное обеспечение, статус устройств в сети. Предотвращая сканирование сети, вы не дадите злоумышленникам собрать важную информацию и затрудните их атаку.
Обучайте ваших сотрудников
- Будьте осторожны с вложениями в электронной почте и проверяйте ненадежные электронные адреса. Убедитесь, что компонент Защита от почтовых угроз в Kaspersky Endpoint Security для Windows включен. Этот компонент сканирует компьютеры и защищает их от вредоносных вложений.
- Научитесь распознавать подозрительные ссылки, присланные в электронных письмах или на других платформах обмена сообщениями. Даже если ссылка пришла от знакомого вам человека, его могли взломать.
- Обращайте внимание на подозрительную активность на своих устройствах или учетных записях. Выходите из рабочих систем, если доступ в них больше не требуется.
- Используйте надежные пароли и двухфакторную аутентификацию.
- Регулярно обновляйте персональные операционные системы и программное обеспечение.
«Лаборатория Касперского» предлагает специализированный курс по обучению кибербезопасности — Automated Security Awareness Platform. Он дает теоретические знания и позволяет сформировать навыки кибербезопасного поведения.
Рекомендации по настройке компьютера
Создавайте точки восстановления системы и резервные копии файлов
Регулярно создавайте точки восстановления системы и резервные копии файлов, в том числе на съемном носителе. Это позволит вернуть операционную систему к стабильной работе и восстановить поврежденные файлы в случае сбоя или заражения.
Подробнее о резервном копировании и восстановлении системы смотрите на сайте поддержки Microsoft.
Запретите удаленное подключение к компьютеру
Чтобы злоумышленники не смогли удаленно подключиться к вашему компьютеру, вы можете запретить такие подключения в настройках компьютера:
- Откройте поиск на вашем компьютере и введите «панель управления». Выберите Панель управления.
- Выберите Система.
- Выберите Защита системы.
- Перейдите на вкладку Удаленный доступ. Снимите флажок Разрешить подключения удаленного помощника к этому компьютеру и выберите Не разрешать удаленные подключения к этому компьютеру. Нажмите ОК.
Рекомендации по настройке приложений «Лаборатории Касперского»
- Установите пароль на доступ к приложению «Лаборатории Касперского»:
- Включите компонент Мониторинг активности в приложении «Лаборатории Касперского».
Он блокирует и отменяет действия вредоносных программ, распознает и удаляет баннеры и создает резервные копии файлов, если вредоносная программа пытается получить к ним доступ. Инструкции по настройке в справке:
Рекомендации по расшифровке файлов
Попытайтесь восстановить файлы
Вы можете восстановить файлы с помощью стандартных средств Windows. Инструкция на сайте поддержки Microsoft.
Отключите автоматическое удаление вредоносных файлов
Если на вашем компьютере установлено приложение «Лаборатории Касперского», перейдите в настройки и снимите флажок Автоматически выполнять рекомендуемые действия.
Отправьте файлы на анализ
Обратитесь в техническую поддержку «Лаборатории Касперского». Прикрепите к запросу зашифрованный файл и электронное письмо.
Если вы пользуетесь Kaspersky Endpoint Security для Windows, соберите данные по инструкции и создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount.
Проведите проверку компьютера и удалите вредоносную программу
Запустите полную проверку компьютера, чтобы найти и устранить причину заражения. Если на вашем компьютере не установлено защитное решение, проведите проверку с помощью бесплатного приложения Kaspersky Free и бесплатных утилит.
Что делать, если на компьютере появился подозрительный файл
Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, выполните одно из действий:
- Проверьте файл на известные угрозы с помощью Kaspersky Threat Intelligence Portal. При необходимости сообщите экспертам «Лаборатории Касперского» о ложном срабатывании или новой вредоносной программе. Для этого:
- Нажмите Отправить для повторного анализа на странице с результатами проверки.
- Введите ваш адрес электронной почты, чтобы мы могли при необходимости связаться с вами.
- Нажмите Отправить.
- Обратитесь в техническую поддержку «Лаборатории Касперского». Прикрепите к запросу подозрительный файл и добавьте комментарий «Возможный шифровальщик (вымогатель)».
Если вы пользуетесь Kaspersky Endpoint Security для Windows, соберите данные по инструкции и создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount. - Отправьте файлы для анализа на электронную почту newvirus@kaspersky.com. Для этого добавьте подозрительный файл в архив с расширением ZIP или RAR. Установите для архива пароль infected и флажок Шифровать имена файлов (Encrypt file names).
Где могут храниться файлы программ-вымогателей
- APPDATA
Windows NT/2000/XP — Диск:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista/7/8/10/11 — Диск:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP (временный каталог)
%TEMP%\xxxxxxx.tmp\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx.tmp\xx\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx\, где x — символы a-z, 0-9
%WINDIR%\Temp
- Временный каталог Internet Explorer
Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista/7/8/10/11 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, где x — символы a-z, 0-9
- Рабочий стол
%UserProfile%\Desktop\
- Корзина
Диск:\Recycler\
Диск:\$Recycle.Bin\
Диск:\$Recycle.Bin\s-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000, где x — символы 0-9
- Системный каталог
%WinDir%
%SystemRoot%\system32\
- Каталог документов пользователя
%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads
- Каталог для скачивания файлов в веб-браузере
%USERPROFILE%\Downloads
- Каталог автозагрузки
%USERPROFILE%\Главное меню\Программы\Автозагрузка