Главная Windows 8 Как защитить компьютер от шифровальщиков. WannaCry: как защититься от вируса-шифровальщика. Что можно делать

Как защитить компьютер от шифровальщиков. WannaCry: как защититься от вируса-шифровальщика. Что можно делать

Сегодня многие уже на себе ощутили результаты действий киберпреступников, основное оружие которых — вирусы-шифровальщики. Основная цель – с их помощью вымогать деньги у пользователей. За разблокировку личных файлов могут требовать десятки тысяч гривен, а с владельцев бизнеса - миллионы (например, за заблокированную базу 1С).
Надеемся, что наши советы помогут максимально обезопасить Вашу базу данных.

Антивирусная защита

Конечно, главное средство защиты — это антивирус. Обязательно надо следить за актуальностью антивирусной программы, ведь вирусные базы данных автоматически (без участия пользователя) обновляются несколько раз в день. Надо регулярно отслеживать появление новых надежных антивирусных программ, и добавлять их в свои продукты.
Одна из таких программ — облачный сервис ESET LiveGrid®, который блокирует вирус раньше, чем он попадает в антивирусную базу. Система ESET сразу анализирует подозрительную программу и определяет степень ее опасности, при подозрении на вирус процессы программы блокируются.

Так же можно воспользоваться бесплатным антивирусом AVG, он конечно немного уступает ESET но имеет хорошую степень зашиты от вирусов, а для полной зашиты можно купить и лицензию на AVG

В начале 2017 года эксперты из MRG Effitas провели тестирование 16 популярных антивирусных продуктов для использования их у домашних пользователей на операционной системе Microsoft Windows 10, 64-битной. В испытаниях надежности антивирусов использовалось 386 образцов различных вредоносных кодов, включая 172 трояна, 51 бэкдор, 67 банковских вредоносных программ, 69 шифраторов и 27 потенциально опасных и рекламных программ.

Вот результаты тестирования

По данной диаграмме можно определить лучший бесплатный антивирус 2017 года так же и лучший платный антивирус, а какой уже ставить себе для зашиты на компьютер или ноутбука, решать Вам.

Если же Ваш выбрал пал на платный антивирус, и Вы остановилась на NOD32, то обизательнно проверять, включена ли функция ESET LiveGrid®, можно так: ESET NOD32 - Дополнительные настройки - Служебные программы - ESET LiveGrid® - Включить систему репутации ESET LiveGrid®.

Злоумышленники всегда надеются на то, что пользователи не успели установить последние обновления, и им удастся использовать уязвимости в программном обеспечении. Прежде всего, это касается операционной системы Windows, поэтому надо проверить и активировать автоматические обновления ОС (Пуск - Панель управления - Центр обновления Windows - Настройка параметров - Выбираем способ загрузки и установки обновлений).

Если Вы не используете службу шифрования, которая предусмотрена в Windows, лучше ее отключить, ведь некоторые модификации шифровальщиков используют эту функцию в своих целях. Для ее отключения надо выполнить такие шаги: Пуск - Панель управления - Администрирование - Службы - Шифрованная файловая система (EFS) и перезагрузить систему.
Но если Вы уже применяли шифрование для защиты каких-либо файлов или папок, то надо убрать галочки в соответствующих чекбоксах (ПКМ - Свойства - Атрибуты - Дополнительно - Шифровать содержимое для защиты данных). Если этого не сделать, то после отключения службы шифрования, Вы потеряете доступ к этой информации. Узнать, какие файлы были зашифрованы, легко - они выделены зеленым цветом.

Ограниченное использование программ

Чтобы повысить уровень безопасности, можно заблокировать запуск программ, которые не соответствуют заданным требованиям. Такие настройки, по умолчанию, установлены для Windows и Program Files.

Настроить локальную групповую политику можно так:
Нажимаем выполнить и вводим команду: gpedit.msc («Пуск — Выполнить (Win+R) — secpol.msc»)

Выбираем:

«Конфигурация компьютера»
«Конфигурация Windows»
«Параметры безопасности»
«Политики ограниченного использования программ» нажимаем правую кнопку мышки и жмем

После чего, нужно создать правило, которое запрещает запуск программ из каких-либо мест, кроме разрешенных

Заходим в раздел «Дополнительные правила» и нажимаем правую кнопку. В появившемся окне жмем на пункт «Создать правило для пути»

В поле путь ставим звездочку «*», т.е. любой путь и выбираем уровень безопасности: Запрещено.

И так продолжим работать в «Политики ограниченного использования программ» и жмем правой кнопкой мышки на пункт «Применение» и выбираем «Свойства».

Данные настройки можно оставить, как они есть по умолчания или включить применение ко всему без исключений, а так же, можно переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (если у вас на компьютере заведены учетные записи пользователя и администратора).

И в пункте «Назначенные типы файлов» выбираем расширение каких типов файлов будет поставлен запрет на запуск. В этом окне указаны расширения, которые блокируются при попытке запуска.

Лучше добавить еще расширение .js - java script .

Эффективная настройка займет какое-то время, но результат этого стоит.

Запрет на запуск определённых программ мили файлов можете настроить на своё усмотрение, в зависимости от поставленных задача и целей.

После чего правила нужно запустить, и что бы это сделать переходим в «Уровни безопасности» и нажимаем правую кнопку мышки на «Запрещено». В появившемся окне жмем «По умолчанию» и наши правила применены.

Советуем не работать с учетной записи администратора. Это позволит уменьшить урон при случайном заражении (Включить учетную запись администратора - Задать пароль - Лишить текущего пользователя административных прав - Добавить в группу пользователи).
Для работы с правами администратора в Windows есть специальный инструмент - «Контроль учетных записей», который сам запросит пароль для выполнения операций. Проверка настройки: Пуск - Панель управления - Учетные записи пользователей - Изменение параметров контроля учетных записей - По умолчанию - Уведомлять только при попытках внести изменения в компьютер

Контрольные точки восстановления системы

К сожалению, бывают случаи, когда вирусы преодолевают все уровни защиты. Поэтому у Вас должна быть возможность вернуться в прежнее состояние системы. Настроить автоматическое создание контрольных точек можно так: Мой компьютер - ПКМ - Свойства - Защита системы - Параметры защиты.
Обычно, по умолчанию, защита включена только для системного диска, но шифровальщик может запортить содержимое всех разделов. Чтобы восстановить файлы стандартными средствами или программой Shadow Explorer, необходимо включить защиту для всех дисков. Контрольные точки занимают какой-то объем памяти, но они спасут данные в случае заражения.

В состав обновления Windows 10 Fall Creators Update входят новые механизмы защиты вашего компьютера. Одна из новых функций называется «Контролируемый доступ к папкам» или “Controlled folder access” в английской локализации. Она создана для того, чтобы предотвратить ваш компьютер от заражения так называемым “ransomware” или вирусом-вымогателем, который шифрует файлы на компьютере и требует выкуп за их расшифровку (обычно жертва платит, но так и не получает содержимое своего диска обратно). Контролируемый доступ к папкам по умолчанию отключен, поэтому для защиты вам понадобится включить эту функцию вручную. В этой статье мы расскажем об особенностях контролируемого доступа, что это такое и как им пользоваться.

Для справки : контролируемый доступ к папкам – превентивная мера. Это значит, что функция не поможет, если компьютер уже заражен. С ее помощью можно лишь предотвратить , но никак не исправить заражение. Лечение компьютера после атаки вируса-шифровальщика - тема для отдельного разговора.

Что такое контролируемый доступ к папкам Windows 10

Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10. Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее. В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.

Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка». Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.

Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.

Как включить защиту от шифрования «Контролируемый доступ к папкам»

Чтобы включить контролируемый доступ к папкам в Windows 10, вам надо сначала убедиться, что система обновлена до соответствующей версии. Нажмите Win + R и введите winver . Проверьте номер версии Windows. Если у вас установлена 1709 и выше, значит ваш компьютер можно защитить новой функцией. Если нет, тогда вам надо обновить свое устройством. О том, как установить Windows 10 Fall Creators Update (именно в этом обновлении появилась функция контролируемого доступа), читайте в соответствующей статье по ссылке.

После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки , а другая Разрешить работу приложениям через контролируемый доступ к папкам .

Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.

По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.

Нажмите на кнопку Защищенные папки , а затем Добавить защищенную папку . В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.

Для справки : Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.

Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить .

Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ. Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений. Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.

Если же Защитник Windows обнаруживает неладное, система уведомит вас соответствующим сообщением. Выглядит оно вот так:

Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.

Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить .

Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов. Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows. Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно. Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать .

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
Поменяйте драйвера.
Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
Обновите операционную систему и все остальное ПО.
Обновите и запустите антивирусник.
Повторно подключитесь к сети.
Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус . Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Но NCA настойчиво призывает не платить деньги . Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать .

2. Сделать резервные копии важной информации.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Трояны-шифровальщики - особый тип малвари, создаваемой для вымогательства (ransomware). Их массовый забег впервые был зарегистрирован в конце 2006 года. За прошедшие десять лет ситуация почти не изменилась. Сегодня всё так же новые образцы троянов продолжают шифровать файлы под носом у антивирусов и требовать плату за расшифровку. Кто в этом виноват и, главное, что делать?

WARNING

Если троян зашифровал файлы, сразу выключи компьютер! Затем загрузись с флешки и постарайся собрать максимум данных. В идеале нужно сделать посекторный образ диска и уже после этого спокойно анализировать ситуацию.

Всадники шифрокалипсиса

Сегодня у большинства пользователей стоит какой-нибудь популярный антивирус или хотя бы MSRT – встроенное в Windows «средство для удаления вредоносных программ». Однако ransomware спокойно запускаются, шифруют файлы и оставляют сообщение с требованием выкупа. Обычно ключ для расшифровки обещают прислать после оплаты каким-нибудь полуанонимным способом. Например, зайти через Tor на страницу с дальнейшими инструкциями и перечислить выкуп на одноразовый номер кошелька.

Антивирусы реагируют на это так редко, что их разработчиков даже стали обвинять в сговоре. Это не первый случай, когда вирусологов подозревают в преступных целях, но технически здесь все объясняется проще. Дело в том, что троян-шифровальщик не выполняет никаких действий, однозначно свидетельствующих о его вредоносной активности. Сам троян-шифровальщик - это простейшая программа с набором библиотек общего назначения. Иногда это просто скрипт или батник, запускающий другие портейбл-утилиты. Давай разберем общий алгоритм действий шифровальщиков подробнее.

Обычно пользователь сам скачивает и запускает ransomware. Трояна подсовывают жертве под видом обновления, нужной утилиты, документа с фишинговой ссылкой и другими давно известными методами социальной инженерии. Против человеческой наивности антивирусы бессильны.

Попавший в систему троян-шифровальщик может быть опознан по сигнатуре только в том случае, если он уже есть в базах. Новые образцы в них заведомо отсутствуют, а модификации старых троянов дополнительно проверяют на детекты перед распространением.

После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создает копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено - они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешенное поведение.

В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведет себя скучно. Он просто создает копии документов и баз данных, шифрует их, а затем удаляет без возможности восстановления оригинальные файлы пользователя и ключ шифрования, оставляя текст с требованием выкупа. Во всяком случае, авторам троянов хотелось бы видеть именно такое идеальное поведение. В действительности же эта цепочка процессов может дать сбой на любом этапе, благодаря чему становятся возможными альтернативные методы расшифровки.

Превентивные меры

Обычные антивирусы не в силах бороться с новыми шифровальщиками, сигнатуры которых пока отсутствуют в их базах. Они могут лишь распознавать наиболее грубые модификации на уровне эвристики. Комплексные решения (вроде Dr.Web Security Space и Kaspersky Internet Security / Total Security) уже умеют устранять их деструктивные последствия. Они заранее создают копии пользовательских файлов, скрывают их и блокируют доступ к ним сторонних программ. В случае если троян доберется до фоток и документов из стандартных каталогов, всегда можно будет восстановить их из копий, а зашифрованные файлы просто удалить.

Поскольку антивирусный комплекс загружает свой драйвер и модуль резидентной защиты еще до входа пользователя, это довольно надежный метод хранения резервных копий. Однако их можно делать и сторонними утилитами. Главное, чтобы они размещались на внешнем носителе, который отключается сразу после создания бэкапа. Иначе троян обнаружит резервные копии на постоянно подключенном винчестере и также зашифрует их или повредит.

Из универсальных программ для бэкапа функцией дополнительной защиты от действий вредоносных программ обладает бесплатная утилита Veeam Endpoint Backup Free . Она умеет автоматически отключать USB-диски сразу после завершения создания резервных копий и сохранять несколько версий файлов.

К дополнительным особенностям программы относится умение бэкапить системные разделы без их отключения (теневая копия), практически мгновенное восстановление отдельных файлов и каталогов (их можно открывать прямо из образа по ссылкам) и другие интересные опции. Также она умеет создавать загрузочный диск со своей средой восстановления на тот случай, если троян заблокировал нормальную работу ОС.

Кроме универсальных утилит для резервного копирования с дополнительными функциями защиты от шифровальщиков, есть целый ряд специализированных программ превентивной защиты. Одни из них бесплатно доступны только на стадии бета-тестирования, а затем становятся новым модулем платного антивируса (например, так было с Malwarebytes Anti-Ransomware). Другие пока существуют именно как отдельные бесплатные решения.

GridinSoft Anti-Ransomware

Эта украинская утилита для предотвращения заражения программами-вымогателями как раз находится в стадии бета-тестирования. Разработчики описывают ее как универсальное средство, препятствующее любым попыткам выполнить несанкционированное шифрование файлов. Они обещают эффективно блокировать атаки ransomware и предотвращать вызываемую ими потерю данных. На практике утилита оказалась бесполезной. Первый же троян-шифровальщик из старой подборки преспокойно запустился, сделал свое грязное дело и повесил на рабочий стол требования о выкупе.

CryptoPrevent Malware Prevention

Эта утилита оставила самое неоднозначное впечатление. CPMP действует проактивно на основе большого набора групповых политик и множества поведенческих фильтров, контролируя действия программ и состояние пользовательских каталогов. В ней доступны несколько режимов защиты, включая уровень «Максимальный», который работает по принципу «включил и забыл».

Интерфейс программы обеспечивает быстрый доступ к десяткам настроек, но после изменения большинства из них требуется перезагрузка. Само приложение CPMP не должно работать все время. Его требуется запускать только для мониторинга и обслуживания. Например, для проверки состояния, чтения логов, обновления или изменения параметров.

При этом графическая надстройка очень долго запускается и в ней нет оповещений в реальном времени. Также нет и привычного карантина. В режиме «Максимальная защита» все файлы, опознанные как опасные, просто удаляются без вопросов.

Для проверки мы попробовали поставить в CPMP максимальный уровень защиты и последовательно выпустить на волю семь разных троянов-вымогателей. Три из них были удалены CPMP сразу при попытке запуска. Никаких сообщений при этом не отображалось. Четыре других благополучно стартовали, однако до финиша не добрались. CPMP не давал им создать новые файлы и зашифровать пользовательские, но и не удалял. Загрузка процессора все время была 100%, диск стрекотал, и делать что-либо в тестовой системе было невозможно.

С трудом нам удалось добраться до клавиши Kill Apps Now в окне CPMP. Через секунду все программы, запущенные от имени пользователя (включая Process Explorer), были принудительно выгружены. В оперативной памяти остались только системные процессы.

За время боя некоторые зловреды обосновались на рабочем столе, а троян Satan.f добавил в автозапуск вывод текстового требования о выкупе. Шифрования файлов при этом не произошло, но и полного удаления малвари тоже.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Дата публикации: 06.03.2016

В последнее время шифровальщики стали самым "попсовым" вирусом. Такой вирус шифрует все ваши файлы и требует выкуп за них. Вся прелесть вируса в его простоте. Хороший шифровальщик не "палится" антивирусами, а зашифрованные файлы практически нельзя расшифровать. Но, как и от любого вируса, вы можете защитить себя от заражения таким зловредом.

Как он работает

Я понимаю, что это скучно, но без знания теории не обойтись:)
Стандартный вирус, шифрующий ваши данные, работает по следующей схеме. Вы получаете сомнительный файл по электронной почте. Нарушая все законы информационной самозащиты, вы запускаете этот файл. Вирус отправляет запрос на сервер злоумышленника. Происходит генерация уникального ключа, с помощью которого все файлы на вашем компьютере шифруются. Ключ отсылается на сервер и хранится там.

Вирус показывает вам окошко (либо меняет рабочий стол) с предупреждением и требованием выкупа. За расшифровку файлов с вас потребуют определенное количество биткоинов (криптовалюта, использующаяся в интернете). При этом зашифрованные файлы невозможно открыть, сохранить, отредактировать, ибо они наглухо зашифрованы стойким алгоритмом.

При этом есть некоторые нюансы. Некоторые шифровальщики вообще выбрасывают ключ, а потому, заплатив выкуп, вы все равно не расшифруете ваши фото, видео и другие файлы.
Большинство шифровальщиков начинают работать после того, как получат ответ от сервера злоумышленника. А потому есть мизерный шанс, что успев вырубить интернет, вы прервете работу вируса (но провернуть это на практике нереально).

Есть и кривые шифровальщики, которые хранят ключ на компьютере жертвы, либо используют один ключ для всех. Для расшифровки в таких случаях существуют специальные утилиты и сервисы от антивирусных компаний.

Как защититься от шифровальщика

1) Установить антивирус

Если вы ещё не установили антивирус, то обязательно это сделайте. Даже бесплатные антивирусы типа Avast или Avira защитят вас в 80% случаев.
Так как исходный код самых популярных шифровальщиков уже давно известен антивирусным лабораториям, а потому они могут вычислить их и заблокировать их работу.

2) Используйте последнюю версию браузера

Вирусы часто используют уязвимости в браузере для заражения вашего компьютера. А потому важно постоянно обновлять браузер, ведь обновления исправляют критические и 0-day уязвимости в браузерах. Естественно, обновления выходят только для популярных браузеров. А потому использование экзотического браузера (типа Arora или, не дай бог, TheWorld) подвергает вас сильнейшему риску.

3) Не запускайте подозрительные файлы

В 90% случаев шифровальщики отправляются жертвам в виде спама по электронной почте. Поэтому не открывайте письма от незнакомых адресатов и с подозрительным содержанием. Обычно шифровальщики кочуют по интернету в виде псевдо-pdf. Т.е..pdf.exe. Естественно, что последнее.exe означает исполняемый файл под которым прячется вирус. Стоит его запустить, и можете забыть о драгоценных фотографиях из отпуска и документах по работе.

4) Корпоративный риск

Если вы работает в крупной компании, то будьте осторожны. Вы можете стать жертвой нацеленной атаки. В таких случаях злоумышленники заранее выясняют всю важную информацию о компании, её сотрудниках. В итоге, злоумышленники проведут замаскированную атаку. Например, вы можете получить отчет по работе с корпоративного (заранее взломанного) e-mail, который будет выглядеть как обычная корреспонденция, однако заразит вас шифровальщиком.

Поэтому будьте внимательны, регулярно обновляйте антивирус и браузер. А также не запускайте файлы с сомнительным расширением.

5) Регулярно сохраняйте важную информацию (backup)

Все важные файлы должны иметь резервную копию. Это защитит вас не только от шифровальщиков, но и от простейшего форс-мажора (отключили электричество, сломался ноутбук). Делать резервные копии можно по-разному. Можно сохранять всю важную информацию на usb-флешку. Можно сохранить все в "облаке" или на популярном файлохранилище (Dropbox и т.д.). А можно делать запароленные архивы и отправлять их самому себе по электронной почте.

Что не стоит делать

1) Обращаться к компьютерщикам

Вам могут пообещать избавиться от вируса и вернуть доступ к файлам. Но вряд ли кто-то на это способен. Нужно понимать, что алгоритмы шифрования были изначально придуманы так, чтобы их никто не расшифровал без ключа. Поэтому идти в «компьютерную помощь» всё равно что выкинуть деньги на ветер.

2) Надеяться только на антивирус

Злоумышленники используют отработанные схемы. А потому антивирусы не всегда выявляют вирус-шифровальщик. Это связано во многом потому, что чисто технически шифровальщик не является вирусом, т. к. не выдает своим поведением опасность, а потому эвристически анализатор антивирусов не выявляет работу такого вируса.

3) Быть наивным пользователем ОС на базе Линукс

Можно часто услышать, что под Линукс нет вирусов и система эта абсолютно безопасна и неуязвима. Только вот дистрибутивы на Линукс не защищают от вирусов, а просто не позволяют «выстрелить себе в ногу», т.е. не дают пользователю доступ к изменению системных файлов и настроек. Поэтому шифровальщики под Линукс могут запуститься только в случае, если получат root-доступ. Я надеюсь, не нужно говорить пользователям Линукс о том, что запускать сомнительные приложения из под рута — невероятная тупость:)

Выводы

Как видно от современной пандемии шифрования спасают всё те же старые добрые методы самозащиты и контроля. Не нужны специальные знания, не нужны специальные программы. Для безопасной работы вам достаточно лишь антивируса, обновлённого браузера и головы на плечах.

Последние советы раздела «Компьютеры & Интернет»:

Браузеры. Компьютер. Социальные сети. Программы