Онлайн сервис «Найди свою улицу

Восстановление зашифрованных файлов касперский. Файлы с расширением.xtbl — как расшифровать и восстановить информацию. Признаки заражения WildFire Locker

26.01.2022

Хакеры-вымогатели очень похожи на обычных шантажистов. Как в реальном мире, так и в кибер-среде есть единичный или групповой объект атаки. Его либо крадут либо делают недоступным. Далее преступники используют определенные средства коммуникации с жертвами для передачи своих требований. Компьютерные мошенники обычно выбирают всего несколько форматов для письма с требованием выкупа, но его копии можно обнаружить практически в любом участке памяти инфицированной системы. В случае семьи шпионского ПО, известного как Troldesh или Shade, при контакте с жертвой аферисты практикуют особый подход.

Рассммотрим поближе этот штамм вируса-шифровальщика, который ориентирован на русскоязычную аудиторию. Большинство аналогичных инфекций определяет раскладку клавиатуры на атакуемом ПК, и если одним из языков является русский, вторжение прекращается. Однако вирус-вымогатель XTBL неразборчив: к несчастью для пользователей, атака разворачивается независимо от их географического местоположения и языковых предпочтений. Наглядным воплощением такой универсальности является предупреждение, которое появляется в виде фона рабочего стола, а также ТХТ файла с инструкцией по уплате выкупа.

Вирус XTBL обычно распространяется через спам. Сообщения напоминают письма известных брендов, или просто бросаются в глаза, поскольку в теме сообщения используются такие выражения, как «Срочно!» или «Важные финансовые документы». Фишинговая уловка сработает, когда получатель такого эл. сообщения загрузит ZIP-файл, содержащий код JavaScript, или объект Docm с потенциально уязвимым макросом.

Выполнив базовый алгоритм на скомпрометированном ПК, троян-вымогатель переходит к поиску данных, которые могут представлять ценность для пользователя. С этой целью вирус сканирует локальную и внешнюю память, одновременно сопоставляя каждый файл с набором форматов, подобранных на основе расширения объекта. Все файлы.jpg, .wav, .doc, .xls, а также множество прочих объектов подвергаются шифрованию через симметричный блочный крипто-алгоритм AES-256.

Различают два аспекта такого вредоносного воздействия. Прежде всего, пользователь утрачивает доступ к важным данным. Кроме того, имена файлов подвергаются глубокой кодировке, из которой на выходе получается бессмысленный набор из шестнадцатеричных символов. Все, что объединяет имена пораженных файлов, это добавленное к ним расширение xtbl, т.е. название кибер-угрозы. Имена зашифрованных файлов иногда имеют особый формат. В некоторых версиях Troldesh имена зашифрованных объектов могут оставаться без изменений, а в конце добавляется уникальный код: [email protected], [email protected], or [email protected].

Очевидно, злоумышленники, внедрив адреса эл. почты непосредственно в названия фалов, указывают жертвам способ коммуникации. Электронная почта также указана в другом месте, а именно в письме-требовании выкупа, которое содержится в файле “Readme.txt”. Такие Notepad-документы появятся на Рабочем столе, а также во всех папках с закодированными данными. Ключевой посыл состоит в следующем:

“Все файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: [Ваш уникальный шифр] на электронный адрес [email protected] or [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации”

Электронный адрес может меняться в зависимости от распространяющей вирус группы шантажистов.

Что касается дальнейшего развития событий: в общих чертах, мошенники отвечают рекомендацией перечислить выкуп, который может составлять 3 биткойн, или иную сумму в этом диапазоне. Обратите внимание, никто не может гарантировать, что хакеры выполнят свое обещание даже после получения денег. Чтобы восстановить доступ к.xtbl файлам, пострадавшим пользователям рекомендуется в первую очередь испробовать все доступные тернативные способы. В некоторых случаях данные можно привести в порядок с помощью службы теневого копирования томов (Volume Shadow Copy), предусмотренной непосредственно в ОС Windows, а также программ-дешифраторов и восстановления данных от независимых разработчиков ПО.

Удалить вирус-шифровальщик XTBL с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

  1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с расширением.xtbl

Как было отмечено, программа-вымогатель XTBL блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя XTBL

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.

Этот текст может сэкономить вам где-то $300 . Примерно столько потребует в качестве выкупа средний троян-шифровальщик. А в «заложниках» у него окажутся ваши личные фотографии, документы и другие файлы с зараженного компьютера.

Подцепить такую заразу очень просто. Для этого вовсе не обязательно часами лазить по сомнительным порносайтам или открывать все файлы подряд из почтовой папки «Спам». Даже не делая ничего предосудительного в Интернете, вы все равно рискуете. Как? Читайте дальше.

Что такое вирусы вымогатели (ransomware)?

Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа .

Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) - и они самые опасные.

Другая группа зловредов - блокировщики (blocker) - просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

Сколько денег требуют шифровальщики в качестве выкупа?

По-разному, однако $300, это та сумма, которую потребует в качестве выкупа средний троян-шифровальщик. Бывают «скромные» вымогатели, которым достаточно и $30. А бывает, что сумма измеряется десятками тысяч долларов . Большой выкуп обычно требуют с компаний и других состоятельных клиентов - их часто заражают целенаправленно, в «ручном режиме».

Можно расшифровать зараженные файлы без выкупа?

Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.

Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.

Как платят выкуп?

Обычно с помощью криптовалюты - биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно . Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.

Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти - когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.

Как на мой компьютер могут попасть вымогатели?

Cамый распространенный способ - через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением - срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.

Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security - последние версии умеют это делать автоматически).

Некоторые вымогатели умеют распространяться с помощью локальной сети . Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.

Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.

Каких файлов стоит опасаться?

Вторая категория повышенной опасности - документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.

Важный момент: Windows по умолчанию скрывает расширения известных системе типов файлов. Так что, встретив файл с именем Important_info.txt, не спешите по нему кликать, полагаясь на безопасность текстового содержимого: «txt» может оказаться частью имени, а расширение у файла при этом может быть совсем другим.

Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?

У меня Mac. Для них же нет вымогателей?

Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger , сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Как вылечить компьютер, если я подцепил вымогателя?

От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker .

С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу - для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.

Следующий этап - восстановление зашифрованных файлов.

Если есть резервная копия, то проще всего восстановить файлы из нее.

Если резервной копии нет, можно попробовать расшифровать файлы с помощью специальных утилит - декрипторов. Все бесплатные декрипторы, созданные «Лабораторией Касперского», можно найти на сайте .

Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов - запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ - заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.

Почему не стоит платить выкуп?

Во-первых, нет никаких гарантий, что файлы к вам вернутся, - верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы - он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.

Во-вторых, не стоит поддерживать преступный бизнес.

Я нашел нужный декриптор, но он не помогает. Что делать?

Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий. Но и мы не дремлем и постоянно обновляем наши утилиты. Заходите на этой сайт периодически и, возможно, мы найдем для вас лечение.

Как остановить заражение шифровальщиком, если вовремя заметил угрозу?

В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно - они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.

А если я делаю бэкапы, я в безопасности?

Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.

Антивируса достаточно, чтобы не заразиться?

В большинстве случаев - да, хотя антивирусы бывают разные. Антивирусные решения «Лаборатории Касперского», согласно независимым тестам (а только независимым тестам от крупных солидных учреждений и стоит в принципе доверять), защищают лучше большинства других. Однако ни один антивирус не способен блокировать все угрозы на 100%.

Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить - значит, сразу блокируем.

В наших продуктах этим занимается модуль под названием «Мониторинг активности » (System Watcher). Если он, например, замечает попытку массового шифрования файлов, то блокирует опасный процесс и откатывает обратно сделанные в файлах изменения. Отключать этот компонент ни в коем случае не стоит.

В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.

Можно что-то настроить на компьютере, чтобы защититься от вируса шифровальщика?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox , можно прочитать на нашем блоге.

в) Включить показ расширений файлов в «Проводнике» Windows.

г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.

д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode), запрещающую установку и исполнение любых программ, которые не внесены в «белый список». По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.

Видео


Шифрующие вирусы-вымогатели в последнее время стали одной из главных угроз и мы ежедневно узнаем о новых атаках, новых вирусах-вымогателях или их версиях и, к сожалению, о жертвах, с которых киберпреступники требуют выкуп за возвращение доступа к зашифованным данным. Поэтому Kaspersky Lab в компоненту System Watcher (Мониторинг активности) новейших продуктов включила особую подсистему борьбы с шифрующими вредоносными программами Kaspersky Cryptomalware Countermeasures Subsystem. Благодаря набору уникальных технологий, в Латвии и в мире среди пользователей новейших продуктов Kaspersky , которые корректно использовали предоставленные продуктами возможности, практически нет пострадавших от атак шифрующих вирусов-вымогателей! И это не магия и не заговор, как иногда говорят даже специалисты, видя, как в отличии от пользователей других антивирусов поклонники продуктов Kaspersky остаются невредимыми в атаках шифрующих вирусов-вымогателей. Это просто изобретенные и реализованные разработчиками Kaspersky Lab технологии!

В какие продукты влючены System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Особые технологии для борьбы с шифрующими вирусами-вымогателями включены в текущие версии следующих ниже перечисленных продуктов для операционной системы Windows или их компонет для Windows.

Продукты для малого бизнеса:
Продукты корпоративной защиты:

* Всем продуктам доступно 30-дневное бесплатное полнофукциональное испробование с местной техническо поддержкой. Для испробования и установить, а .

Как работает System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Kaspersky Lab ежедневно в среднем обрабатывает 315 000 новых образцов вредоносного ПО. При таком большом наплыве новых вредоносных программ антивирусным компаниям очень часто приходится защищать пользователей от атак вредоносных программ, которые им еще неизвестны. По аналогии с реальным миром это было бы также, как идентифицировать преступника до того, как получены его отпечатки пальцев, фотография и другие данные. Как это сделать? Наблюдая и анализируя поведение. Именно этим и занимается встроенная в новейшие продукты Kaspersky Lab непрерывно наблюдающая за компьютерной системой компонента под названием System Watcher (Мониторинг активности).

System Watcher наблюдает происходящие в системе процессы и детектирует вредоносные действия, используя сигнатуры последовательностей поведения Behaviour Stream Signatures (BSS) и позволяя таким образом определить и остановить работу совсем новых и неизвестных вредоносных программ по их поведению. Но это не все. Пока становится ясным, что какая-нибудь программа является вредоносной, она может успеть кое-что сделать. Поэтому еще одной особенностью System Watcher является способность откатывать обратно изменения в системе сделанные вредоносной программой.

Для того, чтобы откатывать обратно изменения сделанные новой шифрующей вредоносной программой, специалисты Kaspersky Lab добавили к компоненте System Watcher подсистему борьбы с шифрующими вирусами Kaspersky Cryptomalware Countermeasures Subsystem, которая создает резервные копии файлам, если их открывает подозрительная программа, и в последствии при необходимости восстанавливает их с сохраненных копий. Таким образом, даже если шифрующий вирус является новым, то есть у антивируса нет его "отпечатков пальцев", и он неидентифицируется другими механизмами, System Watcher детектирует его по поведению и, используя уже упомянутую подсистему, возвращает компьютерную систему с состояние, какое было до атаки вредоносной программы.

Распознавание неизвестной шифрующей вредоносной программы по поведению, остановку ее работы и откат изменений произведенных ею (замену зашифрованных файлов нешифрованными копиями) можно увидеть в демонастрационном видео ниже.



Тут необходимо пояснить, что каждому конкретному пользователю ситуации, когда необходимо задействование Kaspersky Cryptomalware Countermeasures Subsystem, могут произойти крайне редко, так как информация о каждом инциденте с неизвестной вредоносной программой за считанные доли секунды попадает в облако Kaspersky Security Network и другие пользователи решений Kaspersky с этого момента уже защищены против новой угрозы системой раннего детектирования. Это означает, что любая дальнейшая попытка инфицирования компьютеров пользователей Kaspersky будет блокирована уже ранней сигнатурой. Именно действием таких уникальных механизмов объясняется факт, что в Латвии практически не было пострадавших среди пользователей новейших продуктов Kaspersky, так как это работает как глобальная иммунная система для всех 400 миллионов пользователей Kaspersky во всем мире!

Дополнительную информацию о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem на английском языке можно найти в документах в формате PDF:

Что еще небходимо знать о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

System Watcher и вместе с ним автоматически Kaspersky Cryptomalware Countermeasures Subsystem в соответсвии с началными установками производителя включены по умолчанию. Пользователю после инсталляции продуктов нет необходимости производить какие либо дополнительные действия для использование выше описанных технологий.

Особо надо отметить, что System Watcher не входит в состав продукта Kaspersky Anti-Virus for Windows Workstation 6.0 (выпущен в 2007 году), кторый еще иногда используется. Пользователи этого продукта призываются к использованию бесплатного перехода на более новый Kaspersky Endpoint Security for Windows. Легальные пользователи могут загружать и устанавливать новейшие версии продуктов бесплатно, к примеру, с раздела " " этого сайта.

Kaspersky WildfireDecryptor - простой инструмент для восстановления файлов, которые были зашифрованы трояном-вымогателем WildFire Locker.

В случае, когда заражение шифровальщиком уже произошло, WildfireDecryptor поможет справиться с его последствиями и расшифровать файлы с расширением.wflx.

Признаки заражения WildFire Locker

WildFire Locker - шифровальщик, который распространяется через сообщения электронной почты, заголовки которых были модифицированы таким образом, чтобы имитировать доверенные компании в качестве отправителя. Жертве сообщают информацию, из-за которой ничего не подозревающие пользователи скачивают и запускают приложенный в письме файл.

Сразу после открытия вредоносного файла, Wildfire проникает в систему и в качестве целей выбирает офисные документы и файлы PDF, которые зашифровываются с помощью алгоритмов RSA или AES-256. Расширения файлов заменяются на WFLX, и, следовательно, пользователи больше не могут их открыть. Зловред также оставляет сообщения о том, как разблокировать файлы в каждой атакованной папке и на рабочем столе.

Важно отметить, что программа-вымогатель удаляет все копии теневых томов на компьютере. Соответственно, нет никакого смысла восстанавливать файлы с помощью предыдущих точек восстановления системы.

Позволяет восстановить инфицированные файлы

Основная цель инструмента - помочь найти ключ шифрования для инфицированных WildFire Locker файлов. Рекомендуется указать путь к одному из взломанных файлов и убедиться, что вы создали резервную копию всех документов перед выполнением восстановления.

Инструмент позволяет определить сканируемые объекты на жестких дисках, съемных накопителях и сетевых разделах на тот случай, если заражение распространилось за пределы компьютера. Пользователь может настроить удаления инфицированных файлов после успешной расшифровки и восстановления файлов.

Кроме того, не забудьте удалить исполняемый файл WildFire Locker, чтобы не производить операции восстановления повторно. Исполняемый файл располагается в папке %LocalAppData%.

Kaspersky Anti-Ransomware Tool for Business разработан с целью защиты ПК с ОС Windows от программ-вымогателей.

Существует класс троянских программ, предназначенных для вымогательства денег у жертв. Они так и называются - программы-вымогатели (по-английски ransomware). К этому классу принадлежат также получившие распространение в последние годы шифровальщики.

Исходящие от данных программ угрозы направлены на блокирование работы компьютера либо на шифрование данных, хранящихся на диске, с блокированием доступа к некоторым файлам. После этого злоумышленники требуют заплатить за отмену изменений, произведённых такой программой в чужом компьютере. Это влечёт серьёзные убытки, преимущественно в корпоративной среде.

Бесплатная программа Kaspersky Anti-Ransomware совместима с другими антивирусами и может быть инструментом дополнительной защиты от троянов-вымогателей, а также шифровальщиков. А чтобы сохранить компьютер в полной безопасности стоит - это бесплатное приложение.

Возможности нового антивируса Kaspersky:

  • Бесплатный
  • Обнаруживает вымогатели на уровне премиум бизнес-решений.
  • Используемые технологии антивирусной защиты: файловый антивирус и «Мониторинг активности»
  • Совместим со сторонними антивирусами
  • Поддерживает распространённые ОС: Windows от 7 до 10 (в том числе Anniversary Update)
  • Отчёты о выявлении отправляет по мейлу для администратора

Ограничения


Anti-Ransomware Tool от Kaspersky для защиты компьютеров применяет разные методы обнаружения угрозы. Антивирус идентифицирует вредоносные приложения, анализируя информацию, которая содержится в антивирусных базах. В целях обнаружения характерного поведения вымогательских программ этот инструмент применяет две инновационные технологии: «Мониторинг активности» и Kaspersky Security Network.

Kaspersky Security Network позволяет быстрее реагировать на неизвестные угрозы, тогда как «Мониторинг активности» способен блокировать опасные изменения системы и выполнять их откат.

Пользователи, участвующие в работе Kaspersky Security Network, дают возможность «Лаборатории Касперского» быстро собирать данные о новых источниках угроз и создавать решения для обезвреживания их. Kaspersky Security Network - облачная сеть, участие в которой включает отправку статистики, которую данный антивирус собирает на каждом ПК, на котором он работает.

В момент обнаружения угрозы Anti-Ransomware Tool выполняет её автоматическое блокирование и заносит в список заблокированных приложений (в интерфейсе именуемый Blocked Applications). Однако перед блокировкой программа-вымогатель способна успеть осуществить некоторые действия в операционке (к примеру, изменить файлы либо создать новые, либо произвести изменения в реестре). Для выполнения отката всех действий вредоносной программы Anti-Ransomware сохраняет историю активности всех приложений.

Антивирус Kaspersky Anti-Ransomware помещает файлы, которые были созданы вредоносной программой, в своё хранилище. Они могут быть оттуда восстановлены сотрудниками «Лаборатории Касперского». При необходимости восстановления файлов из хранилища можно получить консультацию на форуме разработчика.