Как Kaspersky Internet Security защищает файлы от программ-вымогателей

Все решения «Лаборатории Касперского» умеют бороться с вирусами-шифровальщиками. Давайте разберемся, как это у них получается.

Как Kaspersky Internet Security защищает файлы от программ-вымогателей

Программы-вымогатели воруют файлы пользователей и обещают вернуть их только после получения выкупа. Рабочая схема у этих троянов простая: зловред попадает в систему, шифрует с помощью сложного алгоритма важные данные — документы, фотографии, видеозаписи, сохранения к любимым играм. И сообщает об этом пользователю. Затем тот получает инструкцию, в которой указано, куда, в какой валюте и в каком размере нужно перевести выкуп. Взамен создатели зловреда обещают прислать ключ расшифровки.

Уже сейчас в Интернете орудует целая стайка хорошо натренированных троянов-вымогателей, и с каждым годом они становятся все продуманнее и совершеннее. Самые известные из них — TeslaCrypt, CryptoLocker, TorrentLocker, Cryptowall, CoinVault, CTB-Locker и их модификации.

Киберпреступники не без причины усердно трудятся над усовершенствованием своих зловредов, ведь те приносят им немалые деньги. Современные трояны-вымогатели связываются с командным сервером с помощью анонимной сети Tor, а выкуп просят прислать в неотслеживаемой криптовалюте — биткойнах. В результате поймать преступников или взломать их сервера и достать ключи становится практически невозможно даже для опытных специалистов по безопасности.

В некоторых случаях киберпреступники оказывают техническую поддержку своим жертвам, а также вкладывают силы и средства в «маркетинг» — создание гигантских ботнетов и проведение фишинговых кампаний по распространению вредоносного ПО.

Этот бизнес процветает, и не стоит надеяться, что шифровальщики исчезнут сами собой. Они будут развиваться, и нам с вами придется с ними жить — и бороться.

«Лаборатория Касперского» разработала собственный механизм защиты от троянов-вымогателей, реализованный во всех наших антивирусных решениях. Давайте разберемся, как он работает, на примере Kaspersky Internet Security.

«Мониторинг активности» — это специальный защитный компонент, созданный для противодействия вирусам-шифровальщикам. Действует он следующим образом: как только Kaspersky Internet Security обнаруживает, что какая-то программа производит подозрительные манипуляции с вашими файлами, наше решение немедленно создает резервные копии этих данных. После Kaspersky Internet Security тщательно анализирует подозрительное ПО и, если оно действительно плохо себя ведет, блокирует его.

С точки зрения пользователя, процесс выглядит очень просто. Видеоролик внизу иллюстрирует два возможных сценария: работу трояна-шифровальщика на ПК без защиты и на ПК с установленным Kaspersky Internet Security. После запуска невинного .exe-файла на уязвимом компьютере все файлы быстро шифруются, у них меняется расширение и они больше не открываются. Все, кроме одного, — с инструкцией, написанной киберпреступниками.

С защищенной системой такой сценарий не сработает. Если пользователь запустит вредоносный exe-файл, Kaspersky Internet Security выведет на экран оповещение об обнаружении опасного ПО. Далее антивирус заблокирует все операции, совершаемые зловредом, и удалит его из системы. В конце Kaspersky Internet Security откатит назад все изменения, произведенные троянской программой. Вся операция занимает считаные секунды и не требует вмешательства пользователя.

Напоминаем, что для эффективной работы вам нужно правильно настроить Kaspersky Internet Security. Это несложно. Подробную пошаговую инструкцию вы найдете в этом посте.

2015 год: как это было

2015 год подходит к концу, и до Нового Года осталось всего ничего. Securelist выпустил на прошлой неделе свои итоговые материалы (Kaspersky Security Bulletin 2015), а мы хотим поделиться с вами

Советы