פורסם 2016 בנובמבר 89 שנים 50% מהקורבנות משלמים את הכופר, בממוצע לאדם הכופר עומד על 350$ ששולםולא מעט לא מקבלים את הקבצים גם אחרי ששילמומתקפות מהסוג הזה רק עולות ועולותקודם צריך הגנה בסיסית:אנטי וירוס qihoo total security במצב security כדי שכל מנועי האנטיוירוס ייפעלו אצלו עם הסרגל כלים שלו לכרום,פיירוול privateFirewall (שבוע ראשון הוא במצב אימון אחרי זה עובד חזק יותר) , לוודא שבנתב של האינטרנט מוגדר NAT וDMZ מבוטל,שניהם חינמיים וטובים יותר כנראה מכל החבילות האחרות שהם בתשלום, קספרסקי וביטדפנדר גם סבבה יחסיתמעבר לזה לגבות את המידע להארדדיסק חיצוני , אני ממליץ על deskstar של היטאצ'י HGST לשרתי NAS, מאוד אמינים ומהירים,בנוסף אפשר להצפין את הגיבוי עם סיסמה משלכם עם veracrypt לעשות קובץ לכל כונן , אחרי הביקורת אבטחה האחרונה הוא כבר יותר בטוח מbitlocker,לגבות פעם בכמה חודשים את מה שחשובאם כבר נפגעתם , אתם יכולים לנסות לשחזר עם https://www.nomoreransom.org/https://noransom.kaspersky.com/בנוסף קליק ימני על התיקייה ללחוץ מאפיינים ולראות previous versions , לפעמים זה עובד אז שווה לנסותרוב תוכנות הכופר מצפינות את הקובץ ואז רק אחרי זה מוחקות אותו,מה שאומר שהמידע של הקובץ לא נמחק רק הרשומה שלו במערכת קבצים,כן , כשמוחקים קובץ בווינדוס הוא לא באמת נמחק,ולכן ניתן לשחזור על ידי תוכנות כמוZero assumption recoveryGetDataBack ntfsR-Studioאם זאת, יש תוכנות כופר כמו petya שבמקום להצפין קבצים ספציפיים מצפינות את הרשומות של הארדדיסק עצמו מה שנקרא MFT ולא נותנות למערכת הפעלה לעלות , למרות שלא נוגע בכלל בקבציםזה גם ניתן לשיחזור על ידי התוכנות למעלה,מבלי לשלם לתוקפים כסףממליץ לגבות קבצים חשובים לענן כמו mega.nz שהוא מצויין בטוח ומהיר , וגם google drive סבבהבנוסף להשתמש ב dns של גוגל 8.8.8.84.4.4.4והכי חשוב זה ערנות של משתמשים , לא ללחוץ על קישורים או קבצים מצורפים במיילים חשודים ,גם אם זה מחבר כי יכול להיות שוירוס הדביק אותו ושלח לכל אנשי הקשר, ולא להיכנס לאתרים לא בטוחים בלי הגנה,הרבה מהפרצות אבטחה מגיעות מתוך תוספים של הדפדפן כמו פלאש , או מסמכי אופיס עם מאקרו ,ומשימוש באינטרנט אקספלורר IEאני ממליץ לגלוש מכרום או מ edge , הם הכי בטוחיםואפשר גם עם ad block plus או משהו דומהיש הרבה מיילים מסוג spear phishing שהאקר חוקר מי אתה חודשים וכותב מייל במיוחד בשבילך,ומזייף הכל שייראה אמיתי,ככה שבסבירות גבוהה תלחץ עליו , לא איזה משהו גנרי למלא משתמשים,(בעסקאות חשוב לוודא מספרי SWIFT של העברה בנקאית, שזה אותו אדם שעשיתם איתו עסקים פעם, אם רלוונטי)אז צריך להיות זהיר בתקופה הזאת ולא להשאיר מחשב דלוק כל השנה כשהוא מחובר לרשת , כדי שיהיה פחות סיכוי לחדירה , תמיד לעדכן תוכנות ומערכת הפעלה נגד פירצות חדשותואם הודבקתם , ככל שתנתקו את המחשב מהר יותר מהחשמל ומהרשת פחות סיכוי לנזקבנוסף יש כמה תוכנות שהם ספציפית אנטי כופר:kaspersky anti ransomwareMalwarebytes Anti-Ransomwarebitdefender anti ransomwaresophos intercept xמובילים כרגע , אבל כל אחד תופס סוגים שונים של רנסום והם עובדים בשיטות שונותלגבי סריקה יותר יסודית ממליץ להשתמש ב autoruns של sysinternals , ולהפעיל אותו כאדמין , ולעשות סריקה של virustotal ובדיקת מקוריות של הקבציםאחרי זה יש סריקה של חוות דעת שניה שזה 60 אנטיוירוסים שסורקים קבצים חשובים:hitman proherdprotectלסרוק עם שתיהם את המחשבאפשר גם לסרוק offline לפני שהווינדוס עולה ממערכת הפעלה חיצונית שניגשת לraw data בהארדדיסק עם,bitdefender rescue cdלגבי מחיקה של תוכנות ריגול ותוכנות לא רצויות שפוגעות בפרטיות ומכבידות על המחשב ממליץ על AdwCleanerאחרי לגבי דברים אחרים שמתחבאים במחשב מה שנקרא rootkit:GMERPC HUNTERשתי התוכנות הכי טובות בתחום לגילוי שלהםמבחינת הגדרות במחשב , כמה דרכים לאבטח את עצמכם מפני מתקפה ,זה למתקדמים:תמיד להציג קבצים מוסתרים , קבצי מערכת וסיומות (באפשרויות תיקייה)לא ללחוץ על קבצי EXE באימייל שמקבלים ולא על לינקים חשודים,לוודא מי השולח , אם זה חבר יכול להיות שהוא הודבק בתולעת,לבטל הרצת מאקרוים במסמכי אופיסלבטל את החיבור מרחוק למחשב , rdp remote desktop vnc logmein teamviewer...לבטל את ההפעלה אוטומטית מדיסק CD , או דיסק און קי,לגלוש בVPN מIP סיני או רוסי , הרבה פעמים התוקפים לא רוצים לתקוף את עצמם אז בודקים IPלעשות את כונן C מתחת ל60 גיגה הרבה פעמים וירוסים בודקים ככה שהם לא רצים בVM של אנליסט אבטחה,חשוב מאוד!, לא למפות כונני רשת או כונני ענן כמו דרופבוקס בmy computer , כי אז התוכנת כופר תצפין לכם את הגיבוילא לפתוח קבצים חשודים כ admin , אלא רק בsandbox או VMהגדרות חשובות: (כדאי לעשות נקודת שחזור לפני , בשחזור המערכת , אם עושים טעות יכול לקלקל את המחשב , אז להיות זהיר קצת)לשנות את השם או סיומת של הקבצי מערכת: בתיקיה של ווינדוס או SYSTEM32 , לבדוק גם ב WOW64vssadmin.exesyskey.execipher.exebcdedit.exeוירוסים משתמשים בהם כדי לבטל את השחזור , אם הם לא יהיו באותו השם הוירוסים לא יוכלו לחסום את זהאותו דבר בהגדרות registry , נכנסים לregedit דרך winkey+R,ואז ,הפעם לא משנים את השם , אלא מבטלים הרשאות כתיבה לכולם(מבטלים ירושה של הרשאות בתיקיה) , ככה ששום וירוס לא יישנה את הערכים האלו HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBa ckupHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VSS\SettingsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BackupRestore\SystemStateRestoreHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestoreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecuteHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBootHKEY_LOCAL_MACHINE\BCD00000000HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\E xplorerHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem הרבה תוכנות כופר מנסות לשנות את הערכים האלהבנוסף הרבה מהקבצים שהם מצפינות נמצאים בתיקיה של הפרופיל של המשתמש %USERPROFILE% ששם השולחן עבודה והתיקיה של המסמכים והורדות...אז קבצים חשובים לא לשים שם , גם לא בroot של כונן מסויים , רק בתיקייה פנימית, הם מחפשים מסמכים , קבצי מולטימדיה תמונות וסרטונים , קבצים מכווצים , קבצי קוד מקור , קבצי DB... ואז מצפינים אותם והם עושים הגדרה שייפעל משהו בעלייה של המחשב מתוך התיקייה של%TEMP% (C:\Users\user123\AppData\Local\Temp) אז אפשר לראות בautoruns.exe של sysinternals מה עולה בעלייה, הרבה פעמים הם שמים שמות שמנסים להיות דומים לדברים אמיתיים של מיקרוסופט , או שם רנדומלי , או EXE בלי שם חברה,אז לשים לב לדברים מוזרים שם נערך 2016 בנובמבר 89 שנים על-ידי igalk474
פורסם 2017 בפברואר 28 שנים שמרתי אצלי קישור לכתבה במקרה ו..אני אצטרך ברגע אמת. ארצה להוסיף שמתוך שעמום לקחתי מחשב ישן והדבקתי אותו בכוונה בתוכנות כופר חדשות בשביל לבדוק אמינות של אנטי וירוס מסוים. המדע בכתבה עזר מאוד.
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.