.Windows10 Aceasta este extensia fișierelor criptate. Vă avertizăm imediat că fișierele sunt într-adevăr criptate, iar algoritmul de criptare care utilizează algoritmul RSA-2048 cu o lungime a cheii de 3072 de biți face practic imposibilă decriptarea lor. În esență, aceasta este o versiune nouă, mai atentă a faimosului ransomware da_vinci_code, . Când este infectat cu un virus ransomware.Windows10, corpul malware este copiat în folderul de sistemși implementarea în registrul de sistem. În acest fel, virusul va rula de fiecare dată când sistemul pornește. În modul de criptare (virusul se află pe computerul utilizatorului, dar fișierele nu sunt încă criptate), .Windows10 este complet invizibil. Numai după criptarea completă a fișierelor din toate cele mai importante formate (documente, prezentări, baze de date, fotografii, videoclipuri...) utilizatorul va înțelege că au apărut probleme.

Acest lucru va fi raportat de imaginea de fundal de pe desktop și de fișierele indisponibile. În folderul cu fișiere criptate, utilizatorul va găsi un fișier README care descrie procedura de decriptare:

Fișierele dvs. au fost criptate.
Pentru a le decripta, trebuie să trimiteți codul:
(ID computer)
la adresa de e-mail [email protected].
În continuare veți primi toate instrucțiunile necesare.
Încercările de a decripta pe cont propriu nu vor duce la nimic altceva decât pierdere irecuperabilă informaţii.
Dacă tot doriți să încercați, faceți mai întâi copii de rezervă ale fișierelor dvs., în caz contrar
schimbându-le, decriptarea va deveni imposibilă în orice circumstanță.
Dacă nu primiți un răspuns la adresa de mai sus în 48 de ore (și numai în acest caz!),
utilizați formularul de feedback. Acest lucru se poate face în două moduri:
1) Descărcați și instalați Browser Tor prin linkul: https://www.torproject.org/download/download-easy.html.en
ÎN bara de adrese Browser Tor introduceți adresa:

și apăsați Enter. Pagina cu formularul de feedback se va încărca.
2) În orice browser, accesați una dintre adresele:

Toate fișierele importante de pe computerul dvs. au fost criptate.
Pentru a decripta fișierele ar trebui să le trimiteți următoarele cod:
(ID computer)
la adresa de e-mail [email protected].
Apoi veți primi toate instrucțiunile necesare.
Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs.
Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece
decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor.
Dacă nu ați primit răspunsul de la e-mailul menționat mai mult de 48 de ore (și numai în acest caz!),
utilizați formularul de feedback. Puteți face acest lucru în două moduri:
1) Descărcați Tor Browser de aici:
https://www.torproject.org/download/download-easy.html.en
Instalați-l și introduceți următoarea adresă în bara de adrese:
http://cryptsen7fo43rr6.onion/
Presa Intră și apoi se va încărca pagina cu formularul de feedback.
2) Accesați una dintre următoarele adrese în orice browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Fișierele vor arăta astfel:

Dosar cu fișiere criptate de virusul Windows 10

Infectarea cu virusul Windows 10 are loc în primul rând prin e-mail, unde primiți o scrisoare cu un fișier atașat - programul de instalare a virușilor. Acesta poate fi criptat sub o scrisoare de la Serviciul Fiscal, de la contabilul dumneavoastră, ca chitanțe atașate și chitanțe pentru cumpărături etc. Acordați atenție extensiilor de fișiere în astfel de litere - dacă este dosar executiv(.exe), atunci cu mare probabilitate poate fi un container cu un virus Windows 10. Și dacă modificarea ransomware este recentă (cum este cazul Windows 10), este posibil ca antivirusul dvs. să nu răspundă.

Utilizatorilor li se oferă să comunice cu hackeri folosind un anonim rețeaua TOR. Plată pentru „decriptare” în Bitcoins. Acest lucru face efectiv imposibilă identificarea atacatorilor.

Eliminați virusul Windows 10 folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două diferite procese: Dezinstalați infecția și restaurați fișierele de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Remediați amenințările(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul .Windows10 blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu o glisare bagheta magică– dacă nu țineți cont de plata unei sume de răscumpărare nemaivăzute (uneori până la 500 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program recuperare automată fișiere

Se cunoaște o circumstanță foarte neobișnuită. Această infecție se șterge fișierele sursăîn formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software modul de recuperare a obiectelor șterse, chiar dacă fiabilitatea înlăturării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor eficiența acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe Procedura Windows copie de rezervă a fișierelor, care se repetă la fiecare punct de recuperare. Stare importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de apariția infecției. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să introduceți interfața corespunzătoare, selectați fisierele necesareși porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor ransomware reziduale.Windows10

Curatenie in modul manual este plin de omisiunea unor bucăți individuale de ransomware care pot evita eliminarea ca obiecte ascunse sistem de operare sau elemente de registru. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un software de securitate de încredere. pachet software, specializată în malware.

Potrivit experților, furtul de laptop este una dintre principalele probleme în domeniul securității informațiilor (IS).

Spre deosebire de alte amenințări la securitatea informațiilor, natura problemei „laptop furat” sau „unitate flash furată” este destul de primitivă. Și dacă costul dispozitivelor lipsă rareori depășește câteva mii de dolari SUA, valoarea informațiilor stocate pe acestea este adesea măsurată în milioane.

Potrivit Dell și Ponemon Institute, 637.000 de laptopuri dispar în fiecare an numai în aeroporturile americane. Imaginează-ți doar câte unități flash lipsesc, pentru că sunt mult mai mici și scăparea accidentală a unei unități flash este la fel de ușoară ca decojirea perelor.

Când un laptop aparținând unui manager de top al unei companii mari dispare, pagubele cauzate de un astfel de furt se pot ridica la zeci de milioane de dolari.

Cum să te protejezi pe tine și pe compania ta?

Continuăm seria articolelor despre securitate Windows domeniu. În primul articol din serie am vorbit despre înființare intrare sigură la domeniu, iar în al doilea - despre configurarea transferului securizat de date către client de mail:

1. Cum se face un domeniu Windows mai sigur folosind un token? Partea 1.
2. Cum se face un domeniu Windows mai sigur folosind un token? Partea 2.

În acest articol vom vorbi despre configurarea criptării informațiilor stocate pe hard disk. Veți înțelege cum să vă asigurați că nimeni, în afară de dvs., nu poate citi informațiile stocate pe computer.

Puțini oameni știu că Windows are instrumente încorporate care vă ajută să stocați informații în siguranță. Să luăm în considerare una dintre ele.

Cu siguranță unii dintre voi ați auzit cuvântul „BitLocker”. Să ne dăm seama ce este.

Ce este BitLocker?

BitLocker ( numele exact BitLocker Drive Encryption este o tehnologie de criptare a conținutului unităților de computer dezvoltată de Microsoft. A apărut pentru prima dată în Windows Vista.

Folosind BitLocker, a fost posibilă criptarea volumelor de hard disk, dar mai târziu, în Windows 7, a apărut o tehnologie similară, BitLocker To Go, care este concepută pentru a cripta unitățile amovibile și unitățile flash.

BitLocker este standard Windows Professionalși versiuni de server ale Windows, ceea ce înseamnă că în majoritatea cazurilor de utilizare corporativă este deja disponibil. ÎN altfel va trebui să actualizați Licență Windows la Professional.

Cum funcționează BitLocker?

Această tehnologie se bazează pe criptare completă volum executat folosind algoritmul AES (Advanced Encryption Standard). Cheile de criptare trebuie stocate în siguranță, iar BitLocker are mai multe mecanisme pentru aceasta.

Cea mai simplă, dar în același timp cea mai nesigură metodă este parola. Cheia este obținută de la parolă în același mod de fiecare dată și, în consecință, dacă cineva vă află parola, atunci cheia de criptare va deveni cunoscută.

Pentru a evita depozitarea cheii formă deschisă, poate fi criptat fie într-un TPM (Trusted Platform Module), fie pe un token criptografic sau un smart card care acceptă algoritmul RSA 2048.

TPM este un cip conceput pentru a implementa funcții de bază legate de securitate, folosind în principal chei de criptare.

Modulul TPM este de obicei instalat pe placa de bază a computerului, cu toate acestea, este foarte dificil să achiziționați un computer cu un modul TPM încorporat în Rusia, deoarece importul de dispozitive fără notificare FSB în țara noastră este interzis.

Utilizarea unui card inteligent sau a unui token pentru a debloca o unitate este una dintre cele mai sigure moduri de a controla cine a executat acest proces si cand. Pentru a elimina blocarea în acest caz, aveți nevoie atât de cardul inteligent în sine, cât și de codul PIN pentru acesta.

Cum funcționează BitLocker:

1. Când BitLocker este activat, o secvență de biți master este creată folosind un generator de numere pseudoaleatoare. Aceasta este cheia de criptare a volumului - FVEK (cheie de criptare a volumului complet). Acesta criptează conținutul fiecărui sector. Cheia FVEK este păstrată în cea mai strictă confidențialitate.
2. FVEK este criptat folosind VMK (cheia principală de volum). Cheia FVEK (criptată cu cheia VMK) este stocată pe disc printre metadatele de volum. Cu toate acestea, nu ar trebui să ajungă niciodată pe disc în formă decriptată.
3. VMK în sine este, de asemenea, criptat. Utilizatorul alege metoda de criptare.
4. Cheia VMK este criptată în mod implicit folosind cheia SRK (cheia rădăcină de stocare), care este stocată pe un card inteligent criptografic sau pe un token. Acest lucru se întâmplă în mod similar cu TPM.
   Apropo, cheia de criptare a unității de sistem din BitLocker nu poate fi protejată folosind un card inteligent sau un token. Acest lucru se datorează faptului că bibliotecile de la furnizor sunt folosite pentru a accesa carduri inteligente și jetoane și, desigur, nu sunt disponibile înainte de încărcarea sistemului de operare.
   Dacă nu există TPM, atunci BitLocker oferă să salveze cheia de partiție a sistemului pe o unitate flash USB, iar aceasta, desigur, nu este cea mai cea mai buna idee. Dacă sistemul dvs. nu are un TPM, nu vă recomandăm să criptați unitățile de sistem.
   În general, criptarea unității de sistem este o idee proastă. Când sunt configurate corect, toate datele importante sunt stocate separat de datele de sistem. Acest lucru este cel puțin mai convenabil din punctul de vedere al backup-ului lor. În plus, criptarea fișierelor de sistem reduce performanța sistemului în ansamblu, iar funcționarea unui disc de sistem necriptat cu fișiere criptate are loc fără pierderi de viteză.
5. Cheile de criptare pentru alte unități non-sistem și amovibile pot fi protejate folosind un smart card sau un token, precum și un TPM.
   Dacă nu există nici un modul TPM, nici un card inteligent, atunci în loc de SRK, o cheie generată pe baza parolei pe care ați introdus-o este folosită pentru a cripta cheia VMK.

Când pornește de pe un disc de boot criptat, sistemul interogează toate depozitele de chei posibile - verificând prezența unui TPM, verificând porturile USB sau, dacă este necesar, solicită utilizatorului (care se numește recuperare). Descoperirea depozitului de chei permite Windows să decripteze cheia VMK care decriptează cheia FVEK care decriptează datele de pe disc.

Fiecare sector al volumului este criptat separat, iar o parte a cheii de criptare este determinată de numărul acelui sector. Ca rezultat, două sectoare care conțin aceleași date necriptate vor arăta diferit atunci când sunt criptate, ceea ce face foarte dificilă determinarea cheilor de criptare prin scrierea și decriptarea datelor cunoscute anterior.

Pe lângă FVEK, VMK și SRK, BitLocker folosește un alt tip de cheie care este creată „pentru orice eventualitate”. Acestea sunt cheile de recuperare.

Pentru situații de urgență (utilizatorul a pierdut un token, și-a uitat PIN-ul etc.), BitLocker vă solicită să creați o cheie de recuperare în ultimul pas. Sistemul nu prevede refuzul creării acestuia.

Cum să activezi criptarea datelor pe hard disk?

Înainte de a începe procesul de criptare a volumelor de pe hard disk, este important să rețineți că această procedură va dura ceva timp. Durata acestuia va depinde de cantitatea de informații de pe hard disk.

Dacă computerul se oprește sau intră în hibernare în timpul criptării sau decriptării, aceste procese se vor relua acolo unde s-au oprit data viitoare când porniți Windows.

Chiar și în timpul procesului de criptare, sistemul Windows poate fi utilizat, dar este puțin probabil să vă mulțumească cu performanța sa. Ca urmare, după criptare, performanța discului scade cu aproximativ 10%.

Dacă BitLocker este disponibil pe sistemul dvs., atunci când faceți clic dreapta pe numele unității care trebuie criptată, elementul de meniu care se deschide se va afișa Activați BitLocker.

Pe camerele serverelor versiuni Windows trebuie să adăugați un rol Criptarea unității BitLocker.

Să începem configurarea criptării unui volum non-sistem și să protejăm cheia de criptare folosind un token criptografic.

Vom folosi un token produs de compania Aktiv. În special, Rutoken EDS token PKI.

I. Să pregătim Rutoken EDS PKI pentru muncă.

În majoritatea sistemelor Windows configurate în mod normal, după prima conexiune la Rutoken EDS PKI, se descarcă și se instalează automat o bibliotecă specială pentru lucrul cu jetoane produse de compania Aktiv - minidriverul Aktiv Rutoken.

Procesul de instalare pentru o astfel de bibliotecă este următorul.

Prezența bibliotecii de minidriver Aktiv Rutoken poate fi verificată prin intermediul manager de dispozitiv.

Dacă descărcarea și instalarea bibliotecii nu au avut loc dintr-un motiv oarecare, atunci ar trebui să instalați setul Rutoken Drivers for Windows.

II. Să criptăm datele de pe disc folosind BitLocker.

Faceți clic pe numele discului și selectați Activați BitLocker.

După cum am spus mai devreme, vom folosi un token pentru a proteja cheia de criptare a discului.
Este important să înțelegeți că pentru a utiliza un token sau un smart card cu BitLocker, acesta trebuie să conțină chei RSA 2048 și un certificat.

Dacă utilizați serviciul Autoritate de certificare într-un domeniu Windows, atunci șablonul de certificat trebuie să conțină domeniul de aplicare al certificatului „Criptare disc” (mai multe despre configurarea Autorității de certificare în prima parte a seriei noastre de articole despre securitatea domeniului Windows).

Dacă nu aveți un domeniu sau nu puteți modifica politica de eliberare a certificatelor, atunci puteți utiliza o metodă alternativă, folosind un certificat autosemnat, sunt descrise detalii despre cum să eliberați un certificat autosemnat;
Acum să verificăm caseta corespunzătoare.

Pe pasul următor alegeți o metodă pentru salvarea cheii de recuperare (recomandăm să alegeți Tipăriți cheia de recuperare).

Trebuie păstrată o bucată de hârtie cu o cheie de recuperare imprimată loc sigur, mai bine în seif.

În etapa următoare, vom începe procesul de criptare a discului. Odată ce acest proces este finalizat, poate fi necesar să reporniți sistemul.

Când criptarea este activată, pictograma discului criptat se va schimba.

Și acum, când încercăm să deschidem această unitate, sistemul vă va cere să introduceți un token și să introduceți codul PIN al acestuia.

Implementarea și configurarea BitLocker și TPM pot fi automatizate folosind instrumentul WMI sau Scripturi Windows PowerShell. Modul în care sunt implementate scenariile va depinde de mediu. Comenzi BitLocker Windows PowerShell sunt descrise în articol.

Cum să recuperați datele criptate BitLocker dacă simbolul este pierdut?

Dacă doriți să deschideți date criptate în Windows

Pentru a face acest lucru, veți avea nevoie de cheia de recuperare pe care am tipărit-o mai devreme. Introduceți-l în câmpul corespunzător și se va deschide secțiunea criptată.

Dacă doriți să deschideți date criptate pe sistemele GNU/Linux și Mac OS X

Pentru a face acest lucru, aveți nevoie de utilitarul DisLocker și de o cheie de recuperare.

Utilitarul DisLocker funcționează în două moduri:

• FIȘIER - Întreaga partiție criptată de BitLocker este decriptată într-un fișier.
• FUSE - numai blocul accesat de sistem este decriptat.

De exemplu, vom folosi sala de operație sistem Linuxși modul utilitar FUSE.

În cele mai recente versiuni ale comunei distribuții Linux, pachetul dislocker este deja inclus în distribuție, de exemplu, în Ubuntu, începând cu versiunea 16.10.

Dacă dintr-un motiv oarecare pachetul de deblocare nu este disponibil, atunci trebuie să descărcați utilitarul și să îl compilați:

Să deschidem fișierul INSTALL.TXT și să verificăm ce pachete trebuie să instalăm.

În cazul nostru, trebuie să instalăm pachetul libfuse-dev:

Să începem asamblarea pachetului. Să mergem la folderul src și să folosim comenzile make and make install:

Când totul s-a compilat (sau ați instalat pachetul), să începem configurarea.

Să mergem la folderul mnt și să creăm două foldere în el:

• Encrypted-partition - pentru o partiție criptată;
• Decrypted-partition - pentru o partiție decriptată.

Să găsim partiția criptată. Să-l decriptăm folosind utilitarul și să-l mutăm în folderul Partiție criptată:

Să afișăm o listă de fișiere aflate în folderul Partiție criptată:

Să introducem comanda pentru a monta partiția:

Pentru a vizualiza partiția decriptată, accesați folderul Partiție criptată.

Să rezumam

Activarea criptării volumului cu BitLocker este foarte ușoară. Toate acestea se fac fără efort și gratuit (cu condiția să aveți o versiune profesională sau de server de Windows, desigur).

Puteți utiliza un token criptografic sau un card inteligent pentru a proteja cheia de criptare care criptează discul, ceea ce crește semnificativ nivelul de securitate.

ÎN ultima versiune Actualizarea Windows 10 Fall Creators (versiunea 1709) introduce o nouă caracteristică Windows Defender. Funcția " Acces controlat la foldere» vă permite să protejați fișierele și folderele de viruși ransomware și alte amenințări similare.

În acest articol vom încerca să înțelegem ce este funcția „Acces controlat la foldere”. Vă voi arăta cum să activați protecția împotriva ransomware și să faceți un mic experiment cu infecția cu Windows pentru a afla cât de mult poate proteja utilizatorul.

Protecție împotriva ransomware în Windows 10

Funcția de acces controlat la foldere permite utilizatorilor să controleze accesul la anumite foldere. Funcționează pe principiul că tot ceea ce nu se adaugă cearceaf alb- va fi blocat. În teorie, acest lucru ar trebui să facă mai dificil pentru ransomware să obțină acces la foldere și să infecteze fișierele.

Criptoarele sunt principala subclasă de troieni ransomware, iar Windows este principala platformă atacată. De aceea Microsoft încearcă măsuri suplimentare protecţie.

Problema este că ransomware-ul nu este un virus troian clasic, iar contracararea eficientă a acestuia necesită abordări fundamental diferite. Aproape orice antivirus poate prinde un ransomware cunoscut prin semnătură, dar capturarea unei noi copii este o sarcină complet diferită.

Ransomware a criptat un fișier în Windows

O lovitură preventivă a unui antivirus este dificilă, chiar dacă doar pentru că troienii ransomware folosesc mijloace legitime, ca multe programe de criptare populare. Codul lor, de obicei, nu conține semne evidente de activitate rău intenționată, așa că euristica și alte măsuri de analiză non-semnătură ale antivirusurilor adesea nu funcționează.

Găsirea marcatorilor Ransomware distinctivi este o durere de cap pentru toți dezvoltatorii de antivirus. Tot ce pot oferi până acum este să înlocuiască sarcina. În loc să cauți ransomware, concentrează-te pe ținta lor principală și urmărește-l.

Adică, controlați accesul la fișierele și directoarele utilizatorului, precum și efectuați în mod regulat copii de rezervă în cazul în care cineva ajunge la ele.

În practică, aceasta este departe de a fi o abordare ideală. Controlul accesului este din nou un echilibru între securitate și comoditate, puternic înclinat spre disconfort. Conceptual, situația este aceeași ca și atunci când se folosește noua funcție Exploit Guard: fie regulile de interzicere sunt aplicate în întregime, dar lucrul pe computer devine problematic, fie restricțiile sunt stabilite formal de dragul menținerii compatibilității cu software-ul și utilizatorul vechi. comoditate.

Un control similar al accesului a apărut de mult în antivirusurile de la terți, dar într-o formă ușor diferită. A avut ca scop siguranța sistemului, nu detectarea amenințărilor. Se presupune că, dacă antivirusul ratează malware-ul, fonduri suplimentare controlul va fi pur și simplu blocat modificări nedoriteîn directorul \Windows\ și bootloader.

Deși această abordare este încă potrivită pentru fișierele de sistem, nu este pentru fișierele utilizator. Spre deosebire de directorul de sistem, al cărui conținut este mai mult sau mai puțin același diferite calculatoare, utilizatorul poate conține orice.

În plus, solicitările de modificare a fișierelor din acesta pot veni din orice program. Adăugați la acest OLE, capacitatea oricărui proces de a apela altul și de a deschide fișiere prin intermediul acestuia și vă faceți o idee despre cum arată iadul pentru un dezvoltator de antivirus.

De la modificare fișiere utilizator nu afectează în niciun fel funcționarea sistemului de operare; Windows nu a avut mijloace încorporate pentru a le proteja. Totul s-a schimbat odată cu lansarea versiunii actualizate de Windows 10, în care Defender-ul încorporat a început să monitorizeze documentele, fotografiile și alt conținut de utilizator.

Se susține că va împiedica înlocuirea fișierelor cu versiuni criptate, privând autorii ransomware-ului de un motiv pentru a cere o răscumpărare.

Cum să activați accesul controlat la foldere

Iată câțiva pași pentru a activa caracteristica Control acces.

Am rezolvat activarea controlului accesului și adăugarea folderelor protejate. Acum să verificăm în acțiune.

Testarea funcției Windows Access Control

Pentru a testa, am decis să creez un folder de testare C:\Docs\ cu documente diferite tipuriși adăugați-l la lista de control Acces Windows Apărător. Apoi am lansat mai mulți troieni populari de ransomware și am văzut dacă Windows Defender îi poate contracara și protejează utilizatorul de ransomware.

In aceasta Test Windows Defender a făcut față selecției troienilor mai bine decât majoritatea antivirusuri de la terți. Pur și simplu nu a permis copierea niciunui eșantion de pe o unitate de rețea, inclusiv diferite modificări ale WannaCry, Petya, TeslaCrypt, Jigsaw, Locky și Satana.

Toate au fost șterse automat, în ciuda extensiei modificate (.tst) și a ambalajului folosind UPX.

Noua componentă Controlled Folder Access face parte din protecția în timp real. Prin urmare, dezactivați scanarea din mers în Windows Defender și verificați caracteristică nouă Nu va funcționa separat. Dezactivați protectie permanenta este posibil doar complet, dar atunci rezultatul va fi previzibil.

Am extins selecția de testare a ransomware-ului pentru a include tipuri recente și puțin cunoscute. Cu toate acestea, Windows Defender le-a șters instantaneu pe toate, fără a lăsa de ales. Prin urmare, s-a decis desfășurarea unui experiment model, scriind... nu, nu! Despre ce vorbesti, domnule procuror! Deloc, dar un simplu program inofensiv. Iată codul, bun venit în anii nouăzeci!

Orice ransomware înlocuiește fișierele utilizatorului cu versiunile lor criptate. În esență, trebuie să testăm modul în care caracteristica Acces controlat la foldere blochează operațiunile de suprascriere a fișierelor din directorul unui utilizator.

Acest program doar înlocuiește conținutul fișierului în directorul specificat linia pe care o specificați. Semnul > redirecționează ieșirea consolei către un fișier, suprascriindu-l complet.

Avantajul acestui fișier batch este că pare suspect (un fișier executabil cu o reputație scăzută) și codul său este cu siguranță necunoscut antivirusului. A fost doar scris și nu a avut timp să apară nicăieri.

Fișierul lens.txt a fost specificat ca țintă, deoarece conținutul său este formatat cu caractere de tabulatură și este afișat clar în consolă cu comanda mai mult într-un singur ecran.

După lansare fișier batch afișează conținutul directorului C:\Docs\ și apoi fișierul lenses.txt. Încearcă să-l suprascrie cu șirul Datele fișierului au fost înlocuite cu acest șir și arată din nou conținutul lenses.txt pentru a verifica rezultatul.

Fișierul batch în sine este lansat dintr-un alt director - „Descărcări”, simulând obiceiul utilizator neexperimentat(descărcați orice și faceți clic pe totul).

Dacă pur și simplu lansăm fișierul batch făcând dublu clic, vom vedea că fișierul lenses.txt rămâne în in aceeasi forma. Caracteristica Acces controlat la foldere și-a făcut treaba, împiedicând suprascrierea unui document de o comandă dintr-un fișier executabil necunoscut.

În acest caz, textul poate fi ușor deschis și editat în Notepad și apoi salvat peste cel vechi, iar acest lucru nu va ridica întrebări. Notepad-ul este un proces de încredere, iar protecția este transparentă pentru utilizator.

Dacă doriți, puteți adăuga aplicație terță parte la lista de încredere. Da, aveți absolut dreptate când percepeți acest lucru ca un potențial vector de atac.

Dacă mai întâi executăm și rulăm fișierul nostru batch cu drepturi de administrator, fișierul lenses.txt va fi suprascris în liniște. Windows Defender nu se va clinti și nici măcar nu va reflecta acest eveniment în jurnal. Nu-i pasă dacă administratorul a emis o comandă sau un fișier lăsat în numele administratorului.

Astfel, prin utilizarea proceselor de (auto-)încredere sau prin prima escaladare a privilegiilor, troienii ransomware vor putea ocoli noua funcție de acces controlat la foldere introdusă în Windows 10 v. 1709. Mai mult, acest lucru se poate face chiar și folosind metode din vremurile MS-DOS. Trăiască compatibilitatea!

Acces controlat la foldere: are sens?

Cum am putut afla „Controlul accesului” este o protecție cu jumătate de măsură. Va ajuta la reducerea daunelor cauzate de un simplu ransomware care rulează cu drepturi de utilizator și nimic mai mult.

Dacă autorul următorului ransomware folosește metode pentru a escalada privilegiile sau poate trimite o solicitare de modificare a fișierelor printr-un proces de încredere, atunci noile caracteristici ale Windows 10 nu vor salva datele utilizatorului.

Funcția de criptare a discului sau BitLocker a apărut în Windows 7. Cu ajutorul acesteia, puteți cripta SSD-uri, HDD-uri sau medii amovibile. Cu toate acestea, acest proces este însoțit de o serie de dificultăți, dintre care principala este lipsa unui modul TPM, care poate fi detașabil sau integrat în placa de baza. În consecință, utilizatorul poate întâlni un mesaj că „...dispozitivul nu poate folosi TPM. Administratorul trebuie să seteze parametrul. Permite folosind BitLocker fără un TPM compatibil."

Cum să remediați această eroare și să activați BitLocker în Windows 10?

Citește și: Punerea unei parole pe o unitate flash în Windows 8

Activați BitLocker pe Windows 10 fără un TPM compatibil

Pentru a activa criptarea discului fără un TPM compatibil, trebuie să faceți modificări în Editorul de grup local Politici Windows 10. Pentru a face acest lucru facem pașii următori:

• Apăsați „Win+R” și introduceți „msc”.

• Accesați ramura „Configurație computer”, „Șabloane administrative”, „ Componentele Windows„, „Această setare de politică vă permite să selectați criptarea unității BitLocker”, „Unități ale sistemului de operare”. Găsim opțiunea „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire”.

• Faceți dublu clic pentru a deschide setările parametrilor. Setăm următoarele valori.

• După repornirea sistemului, puteți accesa „Panou de control” și selectați „Criptare unitate BitLocker”.

Este demn de remarcat faptul că înainte de a crea un dispozitiv criptat, merită făcut copie de rezervă date.

SoftikBox.com

Cum să activați BitLocker pe Windows 10

2. În fereastra „Parametri”, accesați „Sistem”

3. Apoi, accesați fila „Despre sistem”, mergeți în partea de jos și faceți clic pe „Setări BitLocker”

4. Aici selectăm mediile amovibile pe care dorim să le protejăm și facem clic pe „Activați BitLocker”

5. Așteptați finalizarea acțiunii.

6. În continuare va trebui să selectăm una dintre opțiunile de blocare:

7. Am ales protecția prin parolă! Bifați caseta „Utilizați o parolă pentru a debloca discul”, apoi introduceți parola pe care am creat-o de două ori și faceți clic pe „Următorul”.

8. În fereastra următoare, selectați o opțiune de recuperare în cazul în care uitați parola, de exemplu „Salvare în fișier”

9. Selectați locația pentru a salva fișierul și faceți clic pe „Salvare”

10. Faceți clic pe „Următorul”

11. Setați următorii parametri pentru a se potrivi nevoilor dvs., de exemplu, am ales „Criptați întregul disc”, selectați opțiunea și faceți clic pe „Următorul”

12. În fereastra următoare „Porniți criptarea”

13. Așteptăm sfârșitul criptării dispozitivului de stocare amovibil pe care l-ați ales!

ns1club.ru

Cum să criptați computerul cu Windows 10 folosind BitLocker

Nu este nevoie să descărcați și să instalați Biltocker, acesta este deja încorporat în sistemul de operare și este disponibil numai în Windows 10 Pro și Enterprise. Puteți vedea ce ediție de Windows este instalată pe computer în Panoul de control din fila Sistem. Dacă aveți instalat Windows 10 Home, care nu acceptă BitLocker, vă recomandăm să acordați atenție unui program precum Vera Crypt.

De ce Microsoft nu face această caracteristică disponibilă public este o întrebare deschisă, având în vedere că criptarea datelor este una dintre cele mai eficiente modalități de a le menține în siguranță. Criptarea este o modalitate de a spori securitatea datelor dvs., asigurându-vă că conținutul acestora poate fi citit numai de proprietarul cheii de criptare corespunzătoare. Windows 10 include diverse tehnologii de criptare. De exemplu, criptarea sistem de fișiere EFS și BitLocker Drive Encryption, despre care vom vorbi în acest articol.

• Criptarea hard diskului poate dura pentru o lungă perioadă de timp. Înainte de a începe, vă recomandăm să faceți o copie de rezervă a datelor, deoarece o întrerupere neașteptată a curentului în timpul procesului de criptare le poate deteriora.
• Actualizarea Windows 10 noiembrie include mai multe standard de siguranță criptare. Rețineți că nou standard criptarea va fi compatibilă numai cu sistemele Windows 10 November Update.
• Dacă computerul dvs. nu are un Trusted Platform Module (TPM), un cip care oferă computerului caracteristici de securitate suplimentare, cum ar fi capacitatea de a cripta unitățile BitLocker. Când încercați să activați criptarea, este posibil să primiți un mesaj de eroare TPM: „Acest dispozitiv nu poate folosi Trusted Platform Module (TPM)”

Creați o parolă puternică pentru a vă debloca hard diskul. De fiecare dată când porniți computerul, Windows vă va cere această parolă pentru a vă decripta datele.

Alegeți cum doriți să faceți backup pentru cheia de recuperare. Îl poți salva în contul tău Înregistrările Microsoft, copiați pe o unitate USB sau imprimați.

Salvat?! Acum trebuie să specificați ce parte a discului doriți să criptați.

Veți avea două opțiuni:

• Dacă criptezi disc nou sau un computer nou, trebuie doar să criptați partea de disc care este în uz curent. BitLocker va cripta apoi automat datele pe măsură ce sunt adăugate.
• Dacă activați BitLocker pe un computer sau pe o unitate pe care o utilizați deja, vă recomandăm să criptați întreaga unitate. Acest lucru va asigura că toate datele sunt protejate.

Când sunteți gata să începeți criptarea, faceți clic pe butonul „Continuați”.

Reporniți computerul când vi se solicită.

Îți amintești parola pe care ai creat-o mai devreme? Acum este momentul să-l prezentăm.

După ce vă conectați la Windows, veți observa că nimic global nu s-a schimbat.

Pentru a verifica starea criptării, faceți clic pe Start > File Explorer > Acest PC. Acum veți vedea o lacăt desenat pe discul de sistem. Faceți clic dreapta pe unitate și apoi selectați Gestionați BitLocker.

Vei vedea starea actuală unitate C:\ - Criptare BitLocker (activată). Puteți continua să utilizați computerul pe măsură ce are loc criptarea fundal. Veți fi anunțat când este finalizat.

Dacă doriți să întrerupeți criptarea, puteți face acest lucru în panoul BitLocker Drive Encryption Faceți clic pe linkul „Întrerupeți protecția”. După acest moment, fișierele și folderele nou create nu vor fi criptate. Aici puteți dezactiva complet BitLocker și vă puteți decripta toate datele.

P.S

Sperăm că articolul nostru s-a dovedit a fi util și că ați criptat datele în siguranță, dar nu uitați să aveți grijă de securitatea comunicării - încercați VPN-ul nostru anonim, astăzi în condiții speciale cu un cod promoțional BitLocker.

Citeste si

VeraСrypt - analog al TrueCrypt, revizuire, comparare și instalare

blog.secretvpn.net

Scenariul 1: Activați criptarea unității BitLocker pe unitatea sistemului de operare (Windows 7)

Faceți clic pe Start, faceți clic pe Panou de control, faceți clic pe Sistem și securitate, apoi faceți clic pe Criptare unitate BitLocker.

Faceți clic pe Activați BitLocker pentru unitatea sistemului dvs. de operare. BitLocker vă va verifica computerul pentru a se asigura că îndeplinește cerințele de sistem. Dacă computerul îndeplinește cerințele, BitLocker va afișa informații despre acțiuni ulterioare necesar pentru activați BitLocker(pregătirea discului, activarea TPM și criptarea discului).

Dacă unitatea sistemului de operare are o singură partiție, BitLocker pregătește unitatea comprimându-l și creând o nouă partiție de sistem de operare care este utilizată pentru fișierele de sistem care sunt necesare pentru pornirea sau recuperarea sistemului de operare și care nu sunt criptate. Această unitate nu va avea o scrisoare care să împiedice salvarea accidentală a fișierelor pe ea. După pregătirea discului, trebuie să reporniți computerul.

Dacă TPM-ul nu este inițializat, Expertul de configurare BitLocker vă va solicita să eliminați toate unitățile CD, DVD și USB de pe computer și să reporniți computerul pentru a începe activarea TPM. Vi se va solicita să activați TPM înainte de pornirea sistemului, dar în unele cazuri va trebui să accesați setări BIOSși activați TPM-ul manual. Aceasta depinde de modulul BIOS al computerului. Odată ce confirmați că TPM-ul trebuie activat, sistemul de operare pornește și apare indicatorul Security Hardware Initializing pentru TPM.

Dacă computerul nu are un TPM, se poate folosi BitLocker, dar va folosi metoda de autentificare Startup Key Only. Toate informatiile necesare Cheia de criptare este stocată pe un dispozitiv de memorie flash USB, care trebuie conectat la computer de către utilizator în timpul pornirii sistemului. Cheia, stocată pe o unitate flash USB, este folosită pentru a debloca computerul. Utilizarea modulului TPM este foarte recomandată, deoarece acest modul vă permite să vă protejați împotriva atacurilor critice proces important pornirea computerului. Utilizarea metodei Start Key Only oferă doar criptarea discului; nu oferă verificarea timpurie a componentelor de pornire sau protecție împotriva falsificării hardware. Pentru a utiliza această metodă, computerul trebuie să accepte citirea dispozitivelor USB înainte de a încărca sistemul de operare și, de asemenea, trebuie să activați această metodă de autentificare bifând caseta de selectare Permiteți BitLocker fără o politică TPM compatibilă din setarea Necesită autentificare suplimentară la pornire, aflată în Politica de grup. următorul panou al Editorului local politici de grup: Configurație computer\Șabloane administrative\Componente Windows\BitLocker Drive Protection\Operating System Drives.

După inițializarea TPM, Expertul de configurare BitLocker vă va solicita să selectați o metodă de stocare a cheii de recuperare. Posibil următoarele opțiuni:

• Salvați cheia de recuperare în unitate flash USB. Salvează cheia de recuperare pe o unitate flash USB.
• Salvați cheia de recuperare într-un fișier. Salvează cheia de recuperare pe o unitate de rețea sau în altă locație.
• Tipăriți cheia de recuperare. Imprimă cheia de recuperare.

Utilizați una sau mai multe opțiuni pentru salvarea cheii de recuperare. Pentru fiecare articol, trebuie să urmați expertul pentru a specifica locația în care să salvați sau să tipăriți cheia de recuperare. Când cheia de recuperare este salvată, faceți clic pe Următorul.

Expertul de configurare BitLocker vă întreabă dacă sunteți gata să criptați unitatea. Asigurați-vă că este bifată caseta de selectare Run BitLocker system scan, apoi faceți clic pe Continuare.

Confirmați repornirea computerului făcând clic pe butonul Reporniți acum. După aceasta, computerul va reporni și BitLocker va verifica dacă este compatibil cu BitLocker și este gata pentru criptare. Dacă computerul nu este pregătit, veți primi un mesaj de eroare după ce vă conectați.

Când computerul este pregătit pentru criptare, se afișează bara de stare Criptare cu progresul criptării. Pentru a verifica starea criptării unității, treceți mouse-ul peste pictograma BitLocker Drive Encryption din zona de notificare din partea dreaptă a barei de activități. Criptarea discului va dura ceva timp. Puteți folosi computerul în timp ce criptarea rulează, dar performanța va fi mai mică decât de obicei. Odată ce criptarea este completă, va fi afișat un mesaj de succes.

technet.microsoft.com

Cum să criptați un disc în Windows 10, astfel încât nimeni să nu vă fure fișierele?

Pe Windows 10 și versiuni ulterioare versiuni anterioare Windows oferă criptarea fișierelor folosind tehnologia BitLocker. Trebuie să-l configurați o singură dată și puteți fi sigur că nimeni nu va avea acces la fișierele dvs. sau nu va putea rula programele dvs., chiar dacă obține acces fizic la unitatea laptopului sau computerului dvs. Cum se activează Criptare BitLocker? În primul rând, trebuie să activați politicile de securitate: 1. Apăsați Win+R și rulați comanda gpedit.msc. 2. Accesați Șabloane administrative > Windows Components BitLocker Drive Encryption > Operating System Drives.

3. Faceți dublu clic pe „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire” și selectați opțiunea „Activat”. Acum puteți trece direct la criptare: 1. Deschideți „Explorer” > „Computerul meu” și selectați unitatea pe care doriți să o criptați. 2. Faceți clic dreapta pe pictograma unității și selectați Activare BitLocker.

3. Se va deschide o casetă de dialog cu opțiuni pentru accesarea datelor criptate. Urmați instrucțiunile acestuia și reporniți computerul. Discul va fi criptat. Procesul de criptare poate fi lung, durata acestuia depinzând de volumul de date criptate. În timpul procesului de configurare a criptării, va trebui să creați o cheie sau o parolă pentru a decripta datele. Parola trebuie să utilizeze litere și numere mixte. Când unitatea este instalată în computer, datele sunt criptate și decriptate automat, dar dacă eliminați unitatea criptată de pe aceasta și o conectați la un alt dispozitiv, veți avea nevoie de o cheie pentru a accesa fișierele.

Datele pentru recuperarea cheii pot fi stocate pe o unitate flash, în cont Microsoft, V fișier text sau pe o coală de hârtie tipărită. Rețineți că aceasta nu este cheia în sine, ci doar informații care vă vor ajuta să o recuperați. Cheia poate fi obținută numai după introducerea numelui de autentificare și a parolei pentru contul dvs. Microsoft, ceea ce face mai dificilă spargerea criptării.

Dacă ați criptat sistemul unitate logică, atunci parola va trebui introdusă în timpul pornirii la rece a dispozitivului sau după repornirea acestuia.

În ultimul timp, din ce în ce mai des, am auzit despre viruși ransomware care criptează conținutul discului și stoarc bani. Microsoft a construit protecție împotriva virușilor ransomware în Windows 10.

Protecția funcționează la nivel de sistem. „Acces controlat la foldere” vă permite să mențineți anumite foldere de utilizator sub control.

Trucul este că orice acțiune este blocată în mod implicit. Această caracteristică ar trebui să împiedice orice aplicație suspectă să modifice conținutul folderelor selectate. Când utilizatorul activează această funcție, următoarele foldere sunt protejate implicit: „Imagini”, „Videoclipuri”, „Documente” și altele. Dacă trebuie să te protejezi folder specific, atunci trebuie să îl adăugați singur.

Pentru ca această caracteristică să funcționeze, este necesar ca windows protector a fost pornit. Instrucțiuni scurte vor fi date mai jos.

Mai întâi trebuie să deschideți centrul Protecție Windows Defender si pentru asta intram in cautarea meniului Start - Windows Defender Center - si deschidem aplicatia care apare. O fereastră va apărea în fața ta cu următorul conținut:

Uneori, din cauza neatenției, deschideți Windows Defender Setting, apoi selectați - Windows Defender Security Center

Selectați elementul - Protecție împotriva virușilor și amenințărilor - în meniul din stânga, apoi în fereastra principală - Setări protecție împotriva virușilor și amenințărilor -

Acum, în interfața care apare, coborâm până când vedem elementul - Acces controlat la folder - și activăm funcția prin comutarea comutatorului On/Off. Va apărea o fereastră care vă întreabă „Doriți să permiteți acestei aplicații să modifice modul în care funcționează dispozitivul dvs.?” Răspundem afirmativ.

Făcând acest lucru, am activat funcția de protecție pentru folderele principale „Imagini”, „Desktop”, „Videoclipuri”, etc. Acum să selectăm acele foldere și directoare care trebuie protejate în plus față de cele principale. Pentru a face acest lucru, selectați opțiunea - Foldere protejate -

Și apoi adăugăm foldere. După ce ați adăugat toate folderele, reveniți înapoi și selectați opțiunea - Permiteți unei aplicații prin Acces controlat la foldere - permițând astfel anumitor aplicații să modifice conținutul din folderele protejate. Dacă lucrezi cu servicii cloud prin clienți, atunci ar trebui să le adăugați și pe acestea, astfel încât nimic să nu interfereze cu sincronizarea.

Acum ați finalizat configurarea protecției împotriva virușilor ransomware în Windows 10. Pentru a o dezactiva, pur și simplu comutați comutatorul în modul Oprit în - Controlat Acces la foldere - .

Acum, dacă un virus necunoscut încearcă să cripteze fișierele din aceste foldere, utilizatorul va vedea o notificare în panoul din dreapta. Și toate acțiunile virusului vor fi oprite.

Acest lucru este foarte caracteristică utilăși nu protejează doar folderele selectate de virușii ransomware, ci și de orice modificări neautorizate (editoare de imagini și text care nu au fost incluse în lista de excludere).