Овај водич за превенцију и заштиту од Рансомваре -а бави се превенцијом ^(Ransomware)Рансомваре^(Ransomware) -а и корацима које можете предузети да блокирате и спречите Рансомваре^(Ransomware) , нови малвер који објављује вести свуда из погрешних разлога.

Изнова^(Time) и изнова учимо о претњама и новим варијантама малвера као што је Рансомваре^(Ransomware) који представљају опасност за кориснике рачунара. Вирус рансомваре закључава приступ датотеци или вашем рачунару и захтева да се креатору плати откуп за поновни приступ, што је обично дозвољено путем анонимног унапред плаћеног ваучера или биткоина^(Bitcoin) . Једна специфична претња рансомваре-а која је успела да привуче пажњу у последње време је Цриптолоцкер^{(Cryptolocker)} , осим ФБИ^(FBI) рансомваре-а, Црилоцк^(Crilock) & Лоцкер^(Locker) .

Посебност рансомваре-а је у томе што може доћи сам (често путем е-поште) или путем бацкдоор-а или преузимача, који се доноси као додатна компонента. Ваш рачунар би се могао заразити рансомваре-ом када кликнете на злонамерну везу у е-поруци, тренутној поруци, на друштвеној мрежи или на компромитованој веб локацији – или ако преузмете и отворите злонамерни прилог е-поште. Штавише, као озлоглашени вирус, већина антивирусних програма га може не открити. Чак и ако ваш антивирусни софтвер може да уклони рансомваре, много пута ћете остати са гомилом закључаних датотека и података!

Како спречити Рансомваре

Иако је ситуација забрињавајућа и исход је фаталан у већини случајева ако се не придржавате правила аутора малвера – пошто шифроване датотеке могу бити оштећене без поправке – можете предузети одређене превентивне мере како бисте спречили проблем. Можете спречити шифровање рансомваре-а! Дозволите нам да видимо неке од корака за превенцију Рансомваре-а^{(Ransomware prevention steps)} које можете предузети. Ови кораци вам могу помоћи да блокирате и спречите Рансомваре^(Ransomware) .

Ажурирани ОС и сигурносни софтвер^{(Updated OS & security software)}

Подразумева се да користите потпуно ажуриран модеран оперативни систем^{(fully updated modern operating system)} као што је Виндовс 10/8/7, добар антивирусни софтвер^{(antivirus software)} или Интернет Сецурити Суите^{(Internet Security Suite)(good antivirus software or an Internet Security Suite)} и ажурирани безбедни претраживач^{(updated secure browser)} и ажурирани клијент е-поште^{(updated email client)} . Подесите клијент е-поште да блокира .еке датотеке^{(block .exe files)} .

Аутори злонамерног^(Malware) софтвера сматрају да су корисници рачунара, који користе застареле верзије ОС-а, лака мета. Познато је да поседују неке рањивости које ови озлоглашени криминалци могу да искористе да нечујно уђу у ваш систем. Зато закрпите или ажурирајте свој софтвер. Користите реномирани сигурносни пакет. Увек је препоручљиво да покренете програм који комбинује и софтвер за заштиту од малвера и софтверски заштитни зид како би вам помогао да идентификујете претње или сумњиво понашање јер аутори малвера често шаљу нове варијанте како би избегли откривање. Можда бисте желели да прочитате овај пост о триковима Рансомваре-а и понашању претраживача.

Прочитајте о заштити од Рансомваре-а у оперативном систему Виндовс 10^{(Ransomware protection in Windows 10)} .^{(Read about Ransomware protection in Windows 10.)}

Направите резервну копију података^{(Back up your data)}

Свакако можете минимизирати штету насталу у случају да се ваша машина зарази Рансомваре-ом^(Ransomware) тако што ћете редовно правити резервне копије^{(regular backups)} . У ствари, Мицрософт^(Microsoft) је дао све од себе и рекао да је резервна копија најбоља одбрана од Рансомваре-а, укључујући Цриптолоцкер.

Никада немојте кликнути на непознате везе или преузимати прилоге из непознатих извора^{(Never click on unknown links or download attachments from unknown sources)}

То је важно. Е- пошта^(Email) је уобичајен вектор који користи Рансомваре^(Ransomware) да би дошао на ваш рачунар. Зато никада немојте кликнути ни на једну везу за коју мислите да изгледа сумњиво. Чак и ако имате 1% сумње – немојте! Исто важи и за прилоге. Сигурно можете преузети прилоге које очекујете од пријатеља, рођака и сарадника, али будите веома опрезни са прослеђивањем поште коју можете добити чак и од својих пријатеља. Мало правило које треба запамтити у таквим ситуацијама: Ако сте у недоумици – НЕ^{(If in doubt – DONT)} ! Погледајте мере предострожности које треба предузети када отварате прилоге е-поште^{(when opening email attachments)} или пре него што кликнете на веб везе^{(clicking on web links)} .

РансомСавер је веома користан додатак за Мицрософт Оутлоок^(Outlook) који открива и блокира поруке е-поште које имају прикачене датотеке малвера за рансомваре.

Прикажи скривену екстензију датотеке^{(Show hidden file-extension)}

Једна датотека која служи као улазна рута за Цриптолоцкер^{(Cryptolocker)} је она са екстензијом „.ПДФ.ЕКСЕ“. Злонамерни софтвер^(Malware) воли да прикрије своје .еке датотеке у безопасне .пдф^(.pdf) датотеке . .доц или .ткт датотеке. Ако омогућите функцију да видите пуну екстензију датотеке, може бити лакше уочити сумњиве датотеке и елиминисати их на првом месту. Да бисте приказали скривене екстензије датотека, урадите следеће:

Отворите контролну таблу^{(Control Panel)} и потражите Опције ^(Options)фасцикле^(Folder) . На картици Приказ^(View) поништите избор опције Сакриј екстензије за познате типове датотека^{(Hide extensions for known file types)} .

Click Apply > OK.Сада када проверите своје датотеке, називи датотека ће се увек појављивати са њиховим екстензијама као што су .доц^(.doc) , .пдф^(.pdf) , .ткт^(.txt) итд. Ово ће вам помоћи да видите праве екстензије датотека.

Disable files running from AppData/LocalAppData folders

Покушајте да креирате и примените правила у оквиру Виндовс^(Windows) -а или користите неки софтвер за превенцију упада да бисте забранили одређено, значајно понашање које користи неколико Рансомваре-а^(Ransomware) , укључујући Цриптолоцкер^{(Cryptolocker)} , за покретање извршне датотеке из фасцикли Подаци апликације^{(App Data)} или Локални подаци апликације . ^{(Local App Data)}Цриптолоцкер Превентион Кит^{(Cryptolocker Prevention Kit)} је алатка коју је креирао Тхирд Тиер^{(Third Tier)} која аутоматизује процес прављења смерница групе^{(Group Policy)} за онемогућавање датотека које се покрећу из фасцикли „Подаци апликације^{(App Data)} “ и „ Локални подаци о апликацији^{(Local App Data)} “, као и онемогућавање покретања извршних датотека из Темп .^(Temp)директоријум разних услужних програма за распакивање.

Апликација на белу листу^{(Application whitelisting)}

Стављање на белу листу апликација је добра пракса коју већина ИТ администратора користи да спречи покретање неовлашћених извршних датотека или програма на њиховом систему. Када то урадите, само софтвер који сте ставили на белу листу биће дозвољено да ради на вашем систему, због чега непознати извршни фајлови, малвер или рансомвер једноставно неће моћи да се покрећу. Погледајте како да ставите програм на белу листу .

Онемогућите СМБ1^{(Disable SMB1)}

СМБ^(SMB) или Сервер Мессаге Блоцк^{(Server Message Block)} је мрежни протокол за дељење датотека намењен за дељење датотека, штампача итд. између рачунара. Постоје три верзије – Сервер Мессаге Блоцк^{(Server Message Block)} ( СМБ^(SMB) ) верзија 1 ( СМБв1^(SMBv1) ), СМБ^(SMB) верзија 2 ( СМБв2^(SMBv2) ) и СМБ^(SMB) верзија 3 ( СМБв3^(SMBv3) ). Препоручује се да онемогућите СМБ1 из безбедносних разлога.

Користите АппЛоцкер^{(Use AppLocker)}

Користите^(Use) уграђену функцију Виндовс АппЛоцкер^(AppLocker) да бисте спречили кориснике да инсталирају или покрећу апликације из Виндовс продавнице^{(prevent Users from installing or running Windows Store Apps )} и да контролишу који софтвер треба да се покреће . Можете да конфигуришете свој уређај у складу са тим како бисте смањили шансе за инфекцију Цриптолоцкер^{(Cryptolocker)} рансомвером.

Такође можете да га користите за ублажавање рансомваре-а блокирањем извршне датотеке која није потписана, на местима рансомваре-а као што су:

• <кориснички профил>АппДатаЛоцалТемп
• \AppData\Local\Temp\ *
• АппДатаЛоцалТемп**

Овај пост ће вам рећи како да креирате правила помоћу АппЛоцкер-^{(create rules with AppLocker)} а за извршну датотеку и апликације на белу листу.

Коришћење ЕМЕТ-а^{(Using EMET)}

Енханцед Митигатион Екпериенце Тоолкит штити Виндовс рачунаре од сајбер-напада и непознатих експлоатација. Он открива и блокира технике експлоатације које се обично користе за искоришћавање рањивости оштећења меморије. Он спречава експлоатације да испусте Тројан^(Trojan) , али ако кликнете на отвори датотеку, неће моћи да вам помогне. АЖУРИРАЊЕ^(UPDATE) : Овај алат тренутно није доступан. Виндовс 10 Фалл Цреаторс Упдате^{(Creators Update)} ће укључити ЕМЕТ^(EMET) као део Виндовс Дефендер^{(Windows Defender)} - а, тако да корисници овог ОС-а не морају да га користе.

Заштитите МБР

Заштитите главни запис за покретање^{(Master Boot Record)} рачунара помоћу МБР филтера^{(MBR Filter)} .

Онемогућите протокол удаљене радне површине^{(Disable Remote Desktop Protocol)}

Већина Рансомваре-а^(Ransomware) , укључујући малвер Цриптолоцкер^{(Cryptolocker)} , покушава да добије приступ циљним машинама преко протокола за удаљену радну површину^{(Remote Desktop Protocol)} ( РДП^(RDP) ), Виндовс^(Windows) услужног програма који дозвољава приступ вашој радној површини са даљине. Дакле, ако сматрате да вам РДП^(RDP) не користи, онемогућите удаљену радну површину^{(disable remote desktop)} да бисте заштитили своју машину од Филе Цодер^{(File Coder)} -а и других експлоатација РДП -а.^(RDP)

Онемогућите Виндовс хост за скриптовање^{(Disable Windows Scripting Host)}

Породице малвера^(Malware) и рансомвера често користе ВСХ^(WSH) за покретање .јс или .јсе датотека да би заразиле ваш рачунар. Ако немате користи од ове функције, можете да онемогућите Виндовс Сцриптинг Хост да бисте остали безбедни.

Користите алате за превенцију или уклањање рансомвера^{(Use Ransomware prevention or removal tools)}

Користите добар бесплатни софтвер против рансомваре-а^{(free anti-ransomware software)} . БитДефендер АнтиРансомваре и РансомФрее^(RansomFree) су неки од добрих. Можете користити РанСим Рансомваре Симулатор да проверите да ли је ваш рачунар довољно заштићен.

Касперски ВиндовсУнлоцкер  може бити користан ако Рансомваре^(Ransomware) потпуно блокира приступ вашем рачунару или чак ограничи приступ одабраним важним функцијама, јер може очистити Регистри заражен рансомвером^(Registry) .

Ако можете да идентификујете рансомвер , то може мало олакшати ствари јер можете користити алате за дешифровање рансомвера који могу бити доступни за тај одређени рансомвер.^{(If you can identify the ransomware, it can make things a bit easier as you can use the ransomware decryption tools that may be available for that particular ransomware.)}

Ево листе бесплатних алата за дешифровање рансомвареа^{(Ransomware Decryptor Tools)} који вам могу помоћи да откључате датотеке.

Одмах прекините везу са Интернетом^{(Disconnect from the Internet immediately)}

Ако сте сумњичави у вези са датотеком, реагујте брзо како бисте прекинули њену комуникацију са Ц&Ц сервером пре него што заврши шифровање ваших датотека. Да бисте то урадили, једноставно се одмах искључите са интернета^(Internet) , ВиФи^(WiFi) -а или своје мреже^(Network) , јер процес шифровања захтева време, па иако не можете да поништите ефекат Рансомваре-а^(Ransomware) , свакако можете ублажити штету.

Користите Опоравак система да бисте се вратили у стање познатог чистог^{(Use System Restore to get back to a known-clean state)}

Ако имате омогућено враћање система на Виндовс^(Windows) машини, што инсистирам да јесте, покушајте да вратите систем у познато чисто стање. Ово није сигуран метод, али у одређеним случајевима може помоћи.

Вратите БИОС сат^{(Set the BIOS clock back)}

Већина Рансомваре-а^(Ransomware) , укључујући Цриптолоцкер^{(Cryptolocker)} , или ФБИ Рансомваре , нуди рок или временско ограничење у којем можете извршити уплату. Ако се продужи, цена кључа за дешифровање може значајно да порасте и – не можете се ни цењкати. Оно што барем можете да покушате је да „откуцате сат“ тако што ћете БИОС^(BIOS) сат вратити на време пре истека рока рока. Једино решење када сви трикови пропадну јер вас може спречити да платите вишу цену. Већина рансомваре-а нуди вам период од 3-8 дана и може захтевати чак и до 300 УСД или више за кључ за откључавање ваших закључаних датотека са подацима.

Иако је већина циљаних група Рансомваре-а била у САД и Великој Британији, не постоји географско ограничење. Свако може бити погођен тиме – и сваким даном открива се све више и више рансомваре малвера . Зато предузмите неке кораке да спречите Рансомваре да дође на ваш рачунар. Овај пост говори нешто више о Рансомваре нападима и честим питањима^{(Ransomware Attacks & FAQ)} .
^{(While most of the targeted groups by Ransomware have been in the US and the UK, there exists no geographical limit. Anyone can be affected by it – and with every passing day, more and more ransomware malware is being detected. So take some steps to prevent Ransomware from getting onto your computer. This post talks a little more about Ransomware Attacks & FAQ.)}

Сада прочитајте: ^{(Now read:)} Шта учинити након Рансомваре напада^{(What to do after a Ransomware attack)} .

How to protect against and prevent Ransomware attacks & infections

This Ransоmware prevention & protection guide takеs a look at Rаnsomware prevention and the steps you can take to block & prevent Ransomware, the new malware whіch making news all around for the wrong reasons.

Time and again we learn about threats, and new variants of malware such as Ransomware that pose a danger to computer users. The ransomware virus locks access to a file or your computer and demands that a ransom be paid to the creator for regaining access, usually allowed via either an anonymous pre-paid cash voucher or Bitcoin. One specific ransomware threat that has managed to attract attention in recent times, is Cryptolocker, apart from FBI ransomware, Crilock & Locker.

The specialty of the ransomware is that it may come on its own (often by email) or by way of a backdoor or downloader, brought along as an additional component. Your computer could get infected with ransomware, when you click on a malicious link in an email, an instant message, a social networking site or in a compromised website – or if you download and open a malicious email attachment.  Moreover, like a notorious virus, it may go undetected by most antivirus programs. And even if your antivirus software is able to remove the ransomware, many a time, you will just be left with a bunch of locked files and data!

How to prevent Ransomware

While the situation is worrisome and the outcome is fatal in most cases if you fail to comply with the malware author’s rules – since the encrypted files can be damaged beyond repair – you can take certain preventive measures to keep the problem at bay. You can prevent ransomware encryption! Let us see some of the Ransomware prevention steps you can take. These steps can help you block & prevent Ransomware.

Updated OS & security software

Goes without saying that you use a fully updated modern operating system like Windows 10/8/7, a good antivirus software or an Internet Security Suite and an updated secure browser, and an updated email client. Set your email client to block .exe files.

Malware authors find computer users, who are running outdated versions of OS, to be easy targets. They are known to possess some vulnerabilities which these notorious criminals can exploit to silently get onto your system. So patch or update your software. Use a reputable security suite. It is always advisable to run a program that combines both anti-malware software and a software firewall to help you identify threats or suspicious behavior as malware authors frequently send out new variants, to try to avoid detection. You might want to read this post on Ransomware tricks & Browser behaviors.

Read about Ransomware protection in Windows 10.

Back up your data

You can certainly minimize the damage caused in the case of your machine getting infected with Ransomware by taking regular backups. In fact, Microsoft has gone all out and said that backup is the best defense against  Ransomware including Cryptolocker.

Never click on unknown links or download attachments from unknown sources

This is important. Email is a common vector used by Ransomware to get on your computer. So never ever click on any link which you may think looks suspicious. Even if you have a 1% doubt – don’t! The same holds true for attachments too. You can surely download attachments you are expecting from friends, relatives & associates, but be very careful of the mail forwards which you may receive even from your friends. A small rule to remember in such scenarios: If in doubt – DONT! Take a look at the precautions to take when opening email attachments or before clicking on web links.

RansomSaver is a very useful add-in for Microsoft’s Outlook that detects and blocks emails that have ransomware malware files attached to them.

Show hidden file-extension

One file that serves as the entry route for Cryptolocker is the one named with the extension “.PDF.EXE”. Malware like to disguise their .exe files as harmless looking .pdf. .doc or .txt files. If you enable the feature to see the full file extension, it can be easier to spot suspicious files and eliminate them in the first place. To show hidden file extensions, do the following:

Open Control Panel and search for Folder Options. Under the View tab, uncheck the option Hide extensions for known file types.

Click Apply > OK. Now when you check your files, the file names will always appear with their extensions like .doc, .pdf, .txt, etc. This will help you in seeing the real extensions of the files.

Disable files running from AppData/LocalAppData folders

Try to create and enforce rules within Windows, or use some Intrusion Prevention Software, to disallow a particular, notable behavior used by several Ransomware, including Cryptolocker, to run its executable from the App Data or Local App Data folders. The Cryptolocker Prevention Kit is a tool created by Third Tier that automates the process of making a Group Policy to disable files running from the App Data and Local App Data folders, as well as disabling executable files from running from the Temp directory of various unzipping utilities.

Application whitelisting

Application whitelisting is good practice that most IT administrators employ to prevent unauthorized executable files or programs from running on their system. When you do this, only software that you have whitelisted will be allowed to run on your system, as a result of which, unknown executive files, malware or ransomware will just not be able to run. See how to whitelist a program.

Disable SMB1

SMB or Server Message Block is a network file sharing protocol meant for sharing files, printers, etc, between computers. There are three versions – Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3). It is recommended that you disable SMB1 for security reasons.

Use AppLocker

Use Windows built-in feature AppLocker to prevent Users from installing or running Windows Store Apps and to control which software should run. You may configure your device accordingly to reduce the chances of Cryptolocker ransomware infection.

You can also use it to mitigate ransomware by blocking executable not signed, in places ransomware like:

• <users profile>\AppData\Local\Temp
• <users profile>\AppData\Local\Temp\*
• <users profile>\AppData\Local\Temp\*\*

This post will tell you how to create rules with AppLocker to an executable, and whitelist applications.

Using EMET

The Enhanced Mitigation Experience Toolkit protects Windows computers against cyber-attacks & unknown exploits. It detects and blocks exploitation techniques that are commonly used to exploit memory corruption vulnerabilities. It prevents exploits from dropping Trojan, but if you click open a file, it will not be able to help. UPDATE: This tool is not available now. Windows 10 Fall Creators Update will include EMET as a part of Windows Defender, so users of this OS need not use it.

Protect MBR

Protect your computer’s Master Boot Record with MBR Filter.

Disable Remote Desktop Protocol

Most Ransomware, including the Cryptolocker malware, tries to gain access to target machines via Remote Desktop Protocol (RDP), a Windows utility that permits access to your desktop remotely. So, if you find RDP of no use to you, disable remote desktop to protect your machine from File Coder and other RDP exploits.

Disable Windows Scripting Host

Malware and ransomware families often make use of WSH to run .js or .jse files to infect your computer. If you have no use for this feature, you can disable Windows Scripting Host to stay safe.

Use Ransomware prevention or removal tools

Use a good free anti-ransomware software. BitDefender AntiRansomware and RansomFree are some of the good ones. You may use RanSim Ransomware Simulator to check if your computer is sufficiently protected.

Kaspersky WindowsUnlocker can be useful if the Ransomware totally blocks access to your computer or even restrict access to select important functions, as it can clean up a ransomware infected Registry.

If you can identify the ransomware, it can make things a bit easier as you can use the ransomware decryption tools that may be available for that particular ransomware.

Here is a list of free Ransomware Decryptor Tools that can help you unlock files.

Disconnect from the Internet immediately

If you are suspicious about a file, act quickly to stop its communication with the C&C server before it finishes encrypting your files. To do so, simply disconnect yourself from the Internet, WiFi or your Network immediately, because the encryption process takes time so although you cannot nullify the effect of Ransomware, you can certainly mitigate the damage.

Use System Restore to get back to a known-clean state

If you have System Restore enabled on your Windows machine, which I insist that you have, try taking your system back to a known clean state. This is not a fool-proof method, however, in certain cases, it might help.

Set the BIOS clock back

Most Ransomware, including Cryptolocker, or the FBI Ransomware, offer a deadline or a time limit within which you can make the payment. If extended, the price for the decryption key can go up significantly, and – you cannot even bargain. What you can at least try is “beat the clock” by setting the BIOS clock back to a time before the deadline hour window is up. The only resort, when all tricks fail as it can prevent you from paying the higher price. Most ransomware offer you a 3-8 days period and may demand even up to USD 300 or more for the key to unlocking your locked data files.

While most of the targeted groups by Ransomware have been in the US and the UK, there exists no geographical limit. Anyone can be affected by it – and with every passing day, more and more ransomware malware is being detected. So take some steps to prevent Ransomware from getting onto your computer. This post talks a little more about Ransomware Attacks & FAQ.

Now read: What to do after a Ransomware attack.

Related posts

• Преузмите ПДФ водич за Виндовс Цомманд Референце од Мицрософта

• Преузмите Виндовс 10 водиче за почетнике од Мицрософта

• Како прећи са Виндовс Пхоне на иПхоне: Водич корак по корак

• Водич за примену Мицрософт Едге за пословање

• Водич за Мицрософт Ворд за почетнике - Водич о томе како да га користите

• Свеобухватан водич за приватност на мрежи

• 3 начина да промените слику профила Спотифи (кратки водич)

• Онемогућите закључани екран у оперативном систему Виндовс 10 [ВОДИЧ]

• Свеобухватан водич за форматирање текста Дисцорд

• Водич за корисничка права над производима Мицрософт количинског лиценцирања (ПУР).

• Водич корак по корак за инсталирање ФФмпег на Виндовс 10

• Водич за почетнике за оптимизацију оперативног система Виндовс 11/10 за боље перформансе

• Референтни водич за подешавања групних смерница за Виндовс 10

• Преузмите Виндовс 10 водиче за почетнике од Мицрософта

• Бфсвц.еке: Да ли је безбедан или вирус? Водич за трајно уклањање

• Преузмите Водич за Виндовс Инк за Виндовс 10 од Мицрософта

• Како избрисати преузимања на Андроиду (ВОДИЧ)

• Водич за преузимање Твитцх ВОД-а (2022)

• Зауставите потпуно ажурирање Виндовс 10 [ВОДИЧ]

• Како ући у БИОС на Виндовс 10 [ВОДИЧ]