Установите защитное решение

Приложения «Лаборатории Касперского» с актуальными антивирусными базами блокируют атаки и установку вредоносных программ. В состав последних версий приложений входит компонент Мониторинг активности, который автоматически создает резервные копии файлов, если подозрительная программа пытается получить к ним доступ.

Устанавливайте обновления

Своевременно обновляйте программное обеспечение, операционные системы и приложения «Лаборатории Касперского», особенно следите за патчами для устранения уязвимостей. Обновленное программное обеспечение работает на последнем патче, что помогает ограничивать возможности злоумышленников.

Обновления повышают безопасность, стабильность и производительность систем, помогают устранить новейшие уязвимости и не позволяют злоумышленникам их использовать.

Программное обеспечение, которое важно обновлять:

• патчи операционной системы;
• плагины браузеров, такие как Flash, Silverlight и другие;
• приложения VPN, обеспечивающие доступ удаленным сотрудникам и выступающие в качестве шлюзов в вашу сеть.

Включите все компоненты защиты приложений «Лаборатории Касперского»

Все компоненты приложений «Лаборатории Касперского» направлены на обеспечение максимальной защиты устройств и снижение рисков заражения программами-вымогателями. Убедитесь, что следующие компоненты включены:

• защита от файловых угроз;
• защита от веб-угроз;
• защита от почтовых угроз;
• анализ поведения;
• защита от эксплойтов;
• AMSI-защита;
• откат вредоносных действий;
• предотвращение вторжений;
• Kaspersky Security Network.

Создавайте резервные копии файлов и храните их вне компьютера

Резервное копирование данных рекомендуется выполнять регулярно. Даже в случае успешной атаки программ-вымогателей и шифрования файлов резервные данные будут доступны к восстановлению, что позволит уменьшить негативные последствия атаки. Для защиты информации от вредоносных программ и повреждений компьютера создавайте резервные копии файлов и храните их на съемном носителе или в онлайн-хранилище.

Не открывайте файлы из писем от неизвестных отправителей

Программы-вымогатели распространяются через зараженные файлы из электронных писем. В таких письмах мошенники выдают себя за деловых партнеров или сотрудников государственных органов, а темы писем и вложения содержат важные уведомления, например уведомление об иске из арбитражного суда. Перед открытием электронного письма и вложенного файла внимательно проверяйте, кто является отправителем.

Используйте сложные пароли для учетных записей Windows при удаленном подключении

Слабые пароли могут быть легко угаданы или подобраны злоумышленниками, что позволит им легко получить доступ к важным данным. Чтобы защитить личные данные и предотвратить взлом учетных записей при удаленном подключении, используйте надежные пароли. Инструкция в статье.

При работе через общедоступную сеть службы удаленного рабочего стола могут быть использованы злоумышленниками для получения доступа к вашим устройствам. Подключайтесь к удаленному рабочему столу только внутри домашней или корпоративной сети. Информацию о службе удаленного рабочего стола вы можете найти на сайте поддержки Microsoft.

Обеспечьте защиту общих папок

Злоумышленники могут использовать общие папки для шифрования, распространения вредоносного программного обеспечения и перемещения по сети организации. Kaspersky Endpoint Security для Windows защищает общие папки от шифрования и помогает устанавливать для них надежные пароли.

Используйте Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response

Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response помогают выявить и предотвратить атаку на ранних стадиях. С помощью этих решений вы можете обнаруживать и отслеживать подозрительные сигналы.

Обеспечьте защиту учетных записей администраторов

Убедитесь, что учетные записи администраторов защищены надежными паролями, которые регулярно меняются (например, каждые 3 месяца). По возможности используйте двухфакторную аутентификацию, чтобы минимизировать риск получения злоумышленниками контроля над сетью, если им удалось получить доступ к учетным данным.

Отслеживайте подозрительные действия

Проверяйте журналы событий и оперативные данные на предмет подозрительных действий. Следите за боковыми перемещениями в сети и обращайте внимание на исходящий трафик, так как злоумышленникам обычно требуется подключение к внешним сетям или внешним инструментам для кражи данных.

Соблюдайте осторожность при использовании PowerShell

Решение PowerShell часто используется для атак на устройства с операционной системой Windows. Программы-вымогатели и бесфайловые угрозы также используют PowerShell для осуществления атак .

Ограничьте выполнение скриптов PowerShell. Запретите выполнение неподписанных скриптов PowerShell с помощью политик, разрешите выполнять скрипты PowerShell только тем учетным записям, которым это необходимо. Не меняйте политики ограничений PowerShell (Set-ExecutionPolicy). На устройствах, защищенных Kaspersky Endpoint Security для Windows, включите компонент защиты Адаптивный контроль аномалий и переведите правило «Активность скриптовых движков и фреймворков» в режим блокировки.

Настройте политики

Чтобы минимизировать объем сетевой информации, доступной пользователям, учетные записи которых могут быть скомпрометированы, настройте политики и сократите объем сетевой информации, которую злоумышленники могут получить со взломанной устройства. Это ограничит возможности злоумышленника, даже если ему удалось скомпрометировать учетную запись или устройство, а также предотвратит повышение привилегий администратора или других устройств, понижая масштаб и последствия атаки.

Используйте IDS и IPS для обнаружения и предотвращения сканирования сети

Первым шагом целевой атаки является сбор информации. Сканирование сети предоставляет злоумышленникам важную информацию: открытые порты, активные операционные системы и программное обеспечение, статус устройств в сети. Предотвращая сканирование сети, вы не дадите злоумышленникам собрать важную информацию и затрудните их атаку.

Обучайте ваших сотрудников

• Будьте осторожны с вложениями в электронной почте и проверяйте ненадежные электронные адреса. Убедитесь, что компонент Защита от почтовых угроз в Kaspersky Endpoint Security для Windows включен. Этот компонент сканирует компьютеры и защищает их от вредоносных вложений.
• Опасайтесь странных ссылок, присланных в электронных письмах или на других платформах обмена сообщениями. Даже если ссылка пришла от знакомого вам человека, его могли взломать.
• Научитесь распознавать подозрительные ссылки и файлы, замечать подозрительную активность на своих устройствах или учетных записях, используйте надежные пароли и двухфакторную аутентификацию, регулярно обновляйте персональные операционные системы и программное обеспечение, выходите из системы, когда доступ в нее больше не требуется.
  «Лаборатория Касперского» предлагает специализированный курс по обучению кибербезопасности — Automated Security Awareness Platform. Эта платформа дает теоретические знания и позволяет сформировать навыки кибербезопасного поведения.

Создавайте точки восстановления системы и резервные копии файлов

Регулярно создавайте точки восстановления системы и резервные копии файлов, в том числе на съемном носителе. Это позволит вернуть операционную систему к стабильной работе и восстановить поврежденные файлы в случае сбоя или заражения.

Подробнее о резервном копировании и восстановлении системы смотрите на сайте поддержки Microsoft.

Запретите удаленное подключение к компьютеру

Чтобы злоумышленники не смогли удаленно подключиться к вашему компьютеру, вы можете запретить такие подключения в настройках компьютера:

1. Откройте поиск на вашем компьютере и введите «панель управления». Выберите Панель управления.

2. Выберите Система.

3. Выберите Защита системы.

4. Перейдите на вкладку Удаленный доступ. Снимите флажок Разрешить подключения удаленного помощника к этому компьютеру и выберите Не разрешать удаленные подключения к этому компьютеру. Нажмите ОК.

Теперь удаленный доступ к вашему компьютеру будет запрещен.

1. Установите пароль на доступ к приложению «Лаборатории Касперского». Инструкция в справке:
   • Kaspersky Basic, Standard, Plus, Premium;
   • Kaspersky Security Cloud;
   • Kaspersky Internet Security;
   • Kaspersky Anti-Virus;
   • Kaspersky Total Security;
   • Kaspersky Small Office Security;
   • Kaspersky Endpoint Security для Windows.
2. Включите компонент Мониторинг активности в приложении «Лаборатории Касперского».
   Он блокирует и отменяет действия вредоносных программ, распознает и удаляет баннеры и создает резервные копии файлов, если вредоносная программа пытается получить к ним доступ. Инструкции по настройке в справке:
   • Kaspersky Basic, Standard, Plus, Premium;
   • Kaspersky Security Cloud;
   • Kaspersky Internet Security;
   • Kaspersky Anti-Virus;
   • Kaspersky Total Security;
   • Kaspersky Small Office Security;
   • Kaspersky Endpoint Security для Windows.

Попытайтесь восстановить файлы

Вы можете восстановить файлы с помощью стандартных средств Windows. Инструкция на сайте поддержки Microsoft. 

Отключите автоматическое удаление вредоносных файлов

Если на вашем компьютере установлено приложение «Лаборатории Касперского», перейдите в настройки и снимите флажок Автоматически выполнять рекомендуемые действия в разделе Общие.

Мы не рекомендуем удалять вредоносные файлы из карантина, они могут содержать ключи для расшифровки.

Отправьте файлы на анализ

Свяжитесь с технической поддержкой «Лаборатории Касперского», выбрав тему для своего запроса. Прикрепите к запросу зашифрованный файл и электронное письмо.

Специалисты «Лаборатории Касперского» не могут гарантировать расшифровку поврежденных файлов.

Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, выполните одно из действий:

• Проверьте файл на известные угрозы на сайте OpenTIP. При необходимости сообщите экспертам «Лаборатории Касперского» о ложном срабатывании или новой вредоносной программе. Для этого:
  1. Нажмите Submit to reanalyze на странице с результатами проверки.
  2. Введите ваш адрес электронной почты, чтобы мы могли при необходимости связаться с вами.
  3. Нажмите Send.
• Свяжитесь с технической поддержкой «Лаборатории Касперского», выбрав тему для своего запроса. Прикрепите к запросу подозрительный файл и добавьте комментарий «Возможный шифровальщик (вымогатель)».
  
• Отправьте файлы для анализа на электронную почту newvirus@kaspersky.com. Для этого добавьте подозрительный файл в архив с расширением ZIP или RAR. Установите для архива пароль infected и флажок Шифровать имена файлов (Encrypt file names). Инструкция в статье.

• APPDATA

Windows NT/2000/XP — Диск:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8/10 — Диск:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local 

• TEMP (временный каталог)

%TEMP%\xxxxxxx.tmp\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx.tmp\xx\, где x — символы a-z, 0-9
%TEMP%\xxxxxxx\, где x — символы a-z, 0-9
%WINDIR%\Temp

• Временный каталог Internet Explorer

Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, где x — символы a-z, 0-9

• Рабочий стол

%UserProfile%\Desktop\

• Корзина

Диск:\Recycler\             
Диск:\$Recycle.Bin\  
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000, , где x — символы 0-9

• Системный каталог

%WinDir%                                                      
%SystemRoot%\system32\

• Каталог документов пользователя

%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads

• Каталог для скачивания файлов в веб-браузере

%USERPROFILE%\Downloads  

• Каталог автозагрузки

%USERPROFILE%\Главное меню\Программы\Автозагрузка