最新的勒索软件特别讨厌,一旦你得到了它,要摆脱它真是一件痛苦的事。以下是如何在被咬之前保护你的公司资产的方法。
有互联网上的一大威胁wiling各地现在:一个特别讨厌的勒索一块名为Cryptolocker。许多人,许多组织都被感染了这种恶意软件,但幸运的是,有万无一失的方法,以避免它和方式也减轻损害没有让lowlifes获胜。
Cryptolocker是什么?
Cryptolocker通过社会工程进入了我们的大门。通常病毒负载网络钓鱼信息隐藏在一个附件,一个声称从商业复印机像施乐提供PDF的扫描图像,从主要的送货服务UPS orFedEx提供跟踪信息或从银行确认信线或乙酰转移。
Cryptolocker给受感染用户的勒索信
当然,病毒是一个可执行附件,但有趣的是,表示可执行文件的图标是一个带有Windows隐藏扩展功能的PDF文件,发送者只是简单地加上了“。这样,不知情的用户就会误以为附件是来自可信发送方的无害pdf文件。当然,它绝不是无害的。
一旦Cryptolocker进入大门,它的目标文件具有以下扩展:
*。odt、*。ods, *。odp, *。odm, *。odc, *。odb, *。医生,*。多克斯,*。docm, *。wps, *。xls, *。xlsx, *。xlsm, *。xlsb, *。xlk, *。ppt, *。pptx, *。pptm, *。mdb, *。accdb, *。pst, *。dwg, *。dxf, *。dxg, *。wpd, *。rtf, *。wb2型,*。mdf, *。dbf, *。psd, *。pdd, *。pdf, *。每股收益,*。ai *。indd, *。cdr *.jpg, *.jpe, img_*.jpg, *。dng, *。3 fr, *。arw, *。srf, *。sr2, *。湾,*。crw, *。cr2, *。dcr, *。kdc, *。小块土地,*。mef, *。股价,*。新*。北莱茵-威斯特法伦州*。orf, *。英国皇家空军,*。生,*。rwl, *。rw2, *。* .ptx r3d, *。pef, *。srw, *。* .der x3f, *。cer, *。crt, *。pem, *。可以,*。p12, *。p7b, *.p7c
当它发现匹配的扩展名的文件,它使用加密的公钥文件,然后使得在HKEY_CURRENT_USER \ SOFTWARE \ CryptoLocker \文件在Windows注册表中的文件的记录。然后,它会提示他或她的文件已被加密的用户,他或她必须使用预付费卡或比特币送几百块钱给恶意软件的作者。
一旦支付完成,解密通常就开始了。通常有一个四天的付款期限;该恶意软件的作者声称,如果赎金没有及时收到,解密文件所需的私钥将被删除。如果私钥被删除,您的文件基本上将永远无法解密——您可以尝试强制使用密钥,但作为一个实际问题,这将花费顺序或数千年。实际上,你的文件不见了。
目前,Cryptolocker存在的唯一版本是针对本地驱动器和映射驱动器上的文件和文件夹。该恶意软件目前并没有试图通过基于网络的通用命名约定路径来执行它的不法行为,尽管人们推测这对勒索软件的作者来说只是一个相对简单的改变。
防病毒和反恶意软件程序,无论是运行在端点上还是执行入站电子邮件消息卫生,都很难阻止这种感染。除非您有一个全面的电子邮件过滤规则剥离可执行附件,并且该工具足够智能,不允许用户请求从隔离中返回项目,否则您将看到您的用户收到这些试图引入Cryptolocker的钓鱼消息。这只是时间问题。
预防:软件限制策略和AppLocker
到目前为止,预防Cryptolocker感染的最佳工具是软件限制策略,因为修复感染涉及时间、金钱、数据丢失或全部三者。有两种策略:常规的软件限制策略和增强的AppLocker策略。我将介绍如何使用两者来防止Cryptolocker感染。
软件限制策略
软件限制策略(SRPs)允许您通过使用组策略来控制或阻止某些程序的执行。您可以使用SRPs来阻止可执行文件在特定的用户空间区域中运行,Cryptolocker首先使用这些区域启动自己。最好的地方是通过组政策,虽然如果你是一个精明的家庭用户或较小的企业没有域名,你可以推出本地安全政策工具,做同样的事情。
一个提示:如果您使用组策略,创建为每个限制政策的新GPO。这使得它更容易关闭,可能是过于严格的政策。
以下是如何做到这一点:
*注意这个条目在步骤5-8中已经介绍过了。这里包括了它,供您以后参考。
WinRAR和7Zip是Windows环境中常用的压缩程序的名称。
关闭策略。
为了保护Windows Vista和更新的机器,创建另一个GPO,并称之为“SRP for Windows Vista and up To prevent Cryptolocker”。Repeat the steps above to create the SRP and create path rules based on the following table.
关闭策略。
一旦这些GPOs被同步到你的电脑上——这可能需要三次重新启动,所以允许一些时间——当用户试图从电子邮件附件中打开可执行文件时,他们会收到一个错误,说他们的管理员已经阻止了该程序。这将停止与Cryptolocker的连接。
不幸的是,采取这种“阻止这一切在那些点”的方法意味着其他程序用户可以从网站,像转到会议提醒和其他小实用工具,确实有合法的目的安装,也将被阻止。有一个解决方案,但是:您可以创建临时允许软件限制策略的GPO规则。Windows允许这些“白名单”的应用程序它拒绝任何其他之前,所以通过定义SRP GPO这些异常,你会指示Windows,让这些应用程序,同时阻止一切运行。只要象我们上面那样设置的安全级别无限制,而不是禁止。
AppLocker的
AppLocker是类固醇的SRP特性。但是,它只适用于Windows 7终极版或Windows 7企业版,或Windows 8 Pro或Windows 8企业版,所以如果你目前仍在使用Windows XP,或你有大量Windows Vista机器,AppLocker不会为你做任何事情。
但是,如果您是一家拥有批量许可证的大型公司,并且部署了操作系统的企业版本,那么AppLocker在防止Cryptolocker感染方面真的很有帮助,因为您可以简单地阻止程序运行——除了那些来自已签署证书的特定软件发行商的程序。
下面是该怎么做:
注意:还要利用这个机会检查在文件服务器共享访问控制列表(acl)上设置的权限。Cryptolocker没有特殊的功能来覆盖deny权限,因此如果被感染的用户登录到权限非常有限的帐户,损害将是最小的。相反,如果您允许每个人组对NTFS权限的写访问您的大多数文件共享,并且您使用映射驱动器,一个Cryptolocker感染可能会使您陷入一个伤害的世界。现在检查您的权限。尽可能收紧。与业务应用程序供应商合作,进一步收紧“可支持性”所“需要”的宽松权限——通常这些规范都不必要地宽泛。
使用SRP或AppLocker策略,您可以阻止Cryptolocker的执行并避免许多问题。
缓解:以前的版本(阴影副本)和阴影管理器
如果您不幸感染了Cryptolocker,那么您可以使用一些缓解策略。(当然,您也可以随时从备份中恢复。)这两种策略都涉及到一个叫做影子拷贝的工具,它是Windows系统恢复功能的一个组成部分。这在Windows的客户端版本中是默认开启的,存储管理的最佳实践是在基于Windows服务器的文件服务器上手动开启。如果你保持这个设置不变,你可能在你的电脑或文件共享上有备份。
之前的版本
要恢复使用传统的Windows界面文件的以前版本,只需右键单击有问题的文件,并选择属性。如果启用系统还原,或者您的管理员已通过组策略启用卷影副本,你应该能够看到在属性窗口中的先前版本选项卡。这将列出所有的文件记录的版本。选择Cryptolocker感染前一个版本,然后单击复制导出的文件放到其它地方的副本,或恢复加密的文件属于哪里弹出备份权。你可以,如果你不知道确切的日期和感染时间直接从这个盒子打开的文件太多。
ShadowExplorer
ShadowExplorer是可下载的免费工具这使得探索系统上所有可用的影子副本变得更加容易。当大量文件被Cryptolocker感染并需要立即恢复它们时,这是一个有用的功能。
当您安装并运行该工具时,您可以从窗口顶部的下拉菜单中选择驱动器和阴影复制日期和时间。然后,就像在常规的Windows资源管理器菜单中一样,您可以选择您想要的文件夹和文件,然后右键单击并选择Export。在文件系统上选择要将导出的影子副本放置的目标,然后就可以还原备份了。当然,这是一个以前的版本,所以它可能没有对您的文件进行最新的更新,但这比完全丢失它们或为它们支付赎金要好得多。
最后一句话
Cryptolocker糟透了。它的创造者是个渣滓。欺骗用户下载加密文件的软件,然后向他们索要数百美元,让他们把自己的数据还给他们,这种做法是卑鄙的。请现在就采取措施,这样你就不必成为那个付你的钱并使这种垃圾继续下去的人。
这篇文章中,如何避免被感染,如果你被感染了怎么办,最初发表于Computerworld.com。
乔纳森·哈塞尔运行82风险投资有限责任公司,夏洛特的基础了一家咨询公司,北卡罗来纳州,他也有Apress出版媒体公司的编辑。到达他在jhassell@gmail.com。
了解更多关于windows的信息在计算机世界的Windows主题中心。
这篇文章名为“Cryptolocker: How to avoid infection and what do if you are”,最初发表于《计算机世界》 。