Наприкінці 2019 року група хакерів, відома як Maze, винайшла тактику, яка незабаром поширилася по всій сфері кіберзлочинності: красти та шифрувати дані та погрожувати опублікувати їх, якщо не буде виплачено викуп.

Але згідно з даними, отриманими в результаті аналізу платформ даркнету, де ці хакери викладають викрадену інформацію, така практика, яка іноді називається “подвійним вимаганням”, стає все менш поширеною. Про це пише The Record.

Обсяг даних,  опублікованих на вищевказаних сайтах з метою вимагання викупів, у 2020 році стабільно зростав і досягли піку в 521 жертву у грудні того ж року. Але ця цифра скорочувалася майже щомісяця в 2021 році і в червні скоротилася до 129 жертв – найменша кількість з серпня 2020 року.

Алан Ліска, експерт з  вивчення шкідників- вимагачів у Recorded Future, який відстежує сайти витоків, якими керують хакерські групи, що застосовують такі методи, сказав, що ці групи, ймовірно, усвідомлюють, що погроза публікації вкрадених даних не приносить їм більше грошей.

“Хакери-вимагачі придумали всю цю систему, яка, на їхню думку, заохочувала б людей платити, а ми, дослідники та журналісти, зробили це і сказали, що це має сенс”, – сказав він. “Але ми з часом побачили, що компанії насправді не несуть відчутних збитків, якщо їхні дані потрапляють у даркнет. Хакери -вимагачі не завжди є такими психологічними геніями, якими ми їх вважаємо!

В останні місяці такі групи, як Babuk, відмовились розміщувати дані, отримані з мереж жертв, на хакерських форумах, вирішивши зосередитися на вдосконаленні програм -вимагачів та інших видах кіберзлочинності, сказав Ліска.

“Ми бачили, як вони повністю зосереджуються на вимаганні, а через два місяці вони повернулися до програм -вимагачів – виявляється, що ніхто не хоче платити, щоб припинити розміщення своїх даних”.

Інші великі групи вимагачів, включаючи Avaddon, REvil та Clop, закрилися або зазнали тривалих збоїв в останні місяці.

Ще одна причина, чому платформи, куди можна викласти дані, можуть занепадати, – це те, що вони розглядаються як відповідальність для груп. Сайти вимагають, щоб групи публічно розкривали більше своєї інфраструктури, що могло б спростити правоохоронним органам припинити діяльність груп. Крім того, це може спонукати потерпілих працювати з правоохоронними органами, оскільки тактика унеможливлює приховування вимагачами свого походження.

За словами Ліски цей останній пункт потенційно змусив компанії приділити необхідну увагу вимагачам.

“Одне з того, що зробили хакери своїми діями, – це виявило, наскільки велика наша проблема вимагачів”, – сказав він. “Більшість атак -вимагачів не схожі на ту, що була проведена проти Colonial Pipeline – про них ніхто ніколи не знає, оскільки компанії не хочуть оприлюднювати їх. Зараз вимагачі постійно в новинах, тому що зловмисники публікують їх “.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ

Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ

Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ

Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ

До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.

Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.

Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.

Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена ​​на продаж в Darknet.

Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.

Ця стаття Кіберзлочинцям стає невигідно публікувати викрадені дані раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

У понеділок, 27 квітня розробники вимагача-шифрувальника Shade оголосили, що припиняють свою діяльність та випустили шифрувальні ключі, щоб їх жертви могли відновити файли безкоштовно, пише SecurityWeek

Troldesh та Encoder.858, Shade присутній на тіньовому ринку зловмисного програмного забезпечення з 2014 року. Оновлений з можливістю віддаленого  відключення в 2016 році, троян став однією з найпоширеніших загроз минулого року, коли він зміг шифрувати файли з 340 різних розширень (за допомогою алгоритму AES 256).

Shade розповсюджувався в основному за допомогою фішингових електронних листів, що містять шкідливі ZIP-архіви. Минулого року дослідники з питань безпеки виявили, що це найпоширеніший фрагмент зловмисного програмного забезпечення, який зберігається у прихованих “добре відомих” каталогах сайтів з HTTPS.

Тепер автори викупних програм заявляють, що вони фактично припинили розповсюдження зловмисного програмного забезпечення в кінці минулого року, і що тепер вирішили повністю припинити свою злочинну діяльність  і випустили понад 750 000 ключів для розшифровки, а також утиліту для дешифрування за допомогою ключів.

“Зараз ми прийняли рішення поставити останню точку в цій історії та опублікувати всі ключі дешифрування, які ми маємо (загалом понад 750 тисяч). Ми також публікуємо нашу програму розшифровки; Ми також сподіваємось, що, маючи ключі, антивірусні компанії видадуть власні більш зручні для розшифровки інструменти, – відзначили автори трояна-вимагача у коментарі на GitHub.

Розробники також стверджують, що інші дані, пов’язані з операцією, включаючи вихідний код трояна, були знищені.

“Ми вибачаємось перед усіма жертвами нашого трояна і сподіваємось, що опубліковані нами ключі допоможуть їм відновити свої дані”, – кажуть вони.

Крім того, автори опублікували інструкції про те, як жертви можуть відновити свої файли навіть без допомоги спеціальних інструментів розшифровки.

Потерпілим рекомендується зачекати, коли компанії, що професійно займаються кібербезпекою, випустять офіційні інструменти розшифровки для файлів, зашифрованих Shade, але поки що немає інформації про те, коли такі утиліти стануть доступними.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Ця стаття Автори вимагача Shade випустили ключі для розшифровки файлів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Дослідники з питань кібербезпеки виявили новий варіант шкідника-вимагача Snatch, який спочатку перезавантажує заражені комп’ютери з Windows у безпечному режимі і лише потім шифрує файли жертв, щоб уникнути виявлення антивірусу.

На відміну від традиційного зловмисного програмного забезпечення, новий вимагач Snatch обирає запуск у безпечному режимі, оскільки в діагностичному режимі операційна система Windows запускається з мінімальним набором драйверів та служб, не завантажуючи більшість сторонніх програм запуску, включаючи антивірусне програмне забезпечення. Про це пише TheHackerNews.

Snatch вперше виявили влітку 2018 року, але дослідники SophosLabs помітили вдосконалення щодо роботи в безпечному режимі  лише в останніх кібератаках проти різних організацій, які вони розслідували.

“Дослідники SophosLabs розслідували триваючу серію атак з програмами-вимагачами, в яких алгоритм вимкнення програмного забезпечення змушує машину з  Windows перезавантажуватися в безпечний режим перед початком процесу шифрування”, – кажуть дослідники. “Програмне забезпечення, яке називає себе Snatch, створює себе як сервіс [SuperBackupMan за допомогою реєстру Windows], який працюватиме під час завантаження в безпечному режимі.”Коли комп’ютер  після перезавантаження, цього разу в безпечному режимі зловмисне програмне забезпечення використовує компонент Windows net.exe, щоб зупинити послугу SuperBackupMan, а потім використовує компонент Windows vssadmin.exe для видалення всіх тіньових копій,   що запобігає криміналістичному відновленню файлів, зашифрованих вимагачем”.

Те, що робить Snatch відмінним та небезпечним від інших – це те, що крім властивостей шкідника-вимагача, він також є викрадачем даних. Snatch включає в себе складний модуль викрадення даних, що дозволяє зловмисникам красти величезну кількість інформації у цільових організацій.

Незважаючи на те, що Snatch написаний на Go, мові програмування, відомої для розвитку крос-платформних додатків, автори розробили цього шкідника  для роботи лише на платформі Windows.

“Snatch може працювати на найпоширеніших версіях Windows, з 7 по 10, в 32- та 64-бітних версіях. Зразки, які ми бачили, також упаковані з пакетом відкритого коду UPX, щоб приховати їхній вміст”, – кажуть дослідники.

Окрім цього, зловмисники, які стоять за Snatch, також пропонують можливість співпраці з іншими кіберзлочинцями та зловмисників, які володіють обліковими даними та обізнані з ситуацією щодо кібербезпеки у великих організаціях та можуть використовувати свої можливості для розгортання викупного програмного забезпечення.

Як показано на скріншоті, зробленому з підпільного форуму, один з членів групи опублікував пропозицію, “шукаємо партнерів з доступом до RDP\VNC\TeamViewer\WebShell\SQL ін’єкції в корпоративних мережах, магазинах та інших компаніях”. Як видно, група має щонайменше інтернаціональне походження або походить з Росії чи іншої пострадянської країни.

Використовуючи викрадені облікові дані, зловмисники спочатку отримують доступ до внутрішньої мережі компанії, а потім запускають декілька законних системних адміністраторів та інструменти тестування проникнення, щоб компрометувати пристрої в одній мережі, жодного разу не проявляючи себе.

“Ми також знайшли цілий ряд законних інструментів, які були прийняті злочинцями, встановленими на машинах в межах цільової мережі, включаючи Process Hacker, IObit Uninstaller, PowerTool та PsExec. Зловмисники, як правило, використовують їх для спроби вимкнути антивіруси”, – кажуть дослідники.

Компанія Coveware, яка спеціалізується на переговорах про вимагання між зловмисниками та жертвами, повідомила Sophos, що вони вели переговори зі злочинцями, що використовують Snatch, “12 разів між липнем та жовтнем 2019 року від імені своїх клієнтів”  виплатою викупу в розмірі від 2000 до 35000 доларів у біткойнах.

Для запобігання атакам шкідників-вимагачів типу Snatch організаціям рекомендується не відкривати для доступу з Інтернету критичні служби та захищені порти,  а за потреби –  захищати їх за допомогою надійного пароля з багатофакторною автентифікацією.

Зверніть увагу, що у найпотужнішого на сьогоднішній день ноутбука Apple є проблеми з динаміками та екраном. Власники 16-дюймового MacBook Pro скаржаться на переривчастий звук, що різко виривається з динаміків.

Користувачі Telegram, які увімкнули єдиний фактор аутентифікації за допомогою SMS-кодів, ризикують стати жертвами кіберзлочинців. Фахівці з кібербезпеки заявили про злам ряду облікових записів користувачів Telegram, де єдиним фактором аутентифікації були SMS-повідомлення.

Нагадаємо, на Дніпропетровщині Служба безпеки України заблокувала діяльність хакерського угруповання, організованого спецслужбами РФ для проведення кібератак на українські державні органи

Також правоохоронні органи США і Великобританії мають намір оприлюднити звинувачення проти двох росіян, яких підозрюють в комп’ютерному шахрайстві і відмиванні грошей

Окрім цього, у відділі стратегічних комунікацій НАТО вирішили перевірити за допомогою власного експерименту: скільки коштують маніпуляції у соціальних медіа, як це працює та чи достатньо успішно самі соціальні мережі справляються з виявленням таких маніпуляцій.

Ця стаття Вимагач Snatch уникає антивірусів, перезавантажуючи комп’ютер раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Дослідники виявили технічні зв’язки між GandCrab та іншою формою подібного програмного забезпечення – REvil – які дозволяють припустити, що обидві форми зловмисних програм мають одних і тих же авторів. REvil – також відомий як Sodinokibi – вперше з’явився незадовго до того, як GandCrab припинив свою діяльність. Нова програма стала одним з найвідоміших вимагачів 2019 року.

GandCrab була однією з найуспішніших родин вірусів-вимагачів протягом 2018 та 2019 років, її автори пропонували цю програму як послугу “блокування-розблокування в обмін на гроші”. У червні вони раптово оголосили, що припиняють діяльність, заявляючи, що заробили понад 2 мільярди доларів з моменту появи GandCrab в січні 2018 року, пише ZDNet.

Зараз дослідники безпеки в підрозділі протидії загрозам з компанії Secureworks детально розповіли про те, що вони вважають аргументами, які свідчать про те, що розробники GandCrab – яких вони називають GoldenGarden – також несуть відповідальність за REvil, який міг почати життя як нова версія GandCrab.

“Це, безумовно, можна довести завдяки деяким перекриттям коду з GandCrab, і там є навіть артефакти, які говорять про те, що він мав бути еволюцією GandCrab, і ми вирішили, що GandCrab, можливо. дозрів для відновлення та перезапуску”, –  сказав Рафі Пілінг, дослідник інформаційної безпеки в Secureworks.

Аналіз REvil виявив, що функції декодування рядків, використовувані REvil та GandCrab, майже ідентичні, що дозволяє припустити міцний зв’язок між двома формами викупного програмного забезпечення. REvil та GandCrab також поділяють функціонал побудови URL-адрес, який створює однакові шаблони URL-адрес для серверів команд та управління.

“Коли ми бачимо подібні речі, це говорить про те, що розробники явно ділилися кодом “, – сказав Піллінг.

Існує також доказ того, що код REvil спочатку був призначений для нової версії  викупного програмного забезпечення GandCrab, оскільки аналіз бета-версії REvil виявляє, що в коді є рядки, які, схоже, посилаються на GandCrab. До них відносяться “gcfin”, який, як вважають дослідники, означає “Фінал GandCrab”, і “gc6”, який, як вважають, означає GandCrab 6.

Оскільки ті, хто стоїть за GandCrab, який прославився за допомогою такої вдалої операції, заперечують подальшу діяльність, цілком ймовірно, що ці посилання на їхню оригінальну програму викупу є помилкою  з їхнього боку – але це дозволило дослідникам безпосередньо пов’язати REvil з тією ж групою.

На додаток до подібності коду, і REvil, і GandCrab містять у списку певні розкладки клавіатури, щоб не заразити машини, що використовують російську мову. Хоча це безпосередньо не пов’язує два центри управління операціями, але це дозволяє припустити, що вони базуються в одному регіоні.

Коли  група Gold Garden вимкнула GandCrab, він все ще проводив успішну операцію, і тільки нещодавно було випущено нову версію програмного забезпечення для протидії вільному інструменту розшифровки. Однак можливо, що зловмисники створили REvil для оновлення своїх операцій, прагнучи бути на крок попереду працівників правоохоронних органів та служб безпеки.

REvil вже став однією з найпопулярніших форм вірусів-вимагачів, і дослідники попереджають, що він повинен замінити GandCrab як поширену загрозу викупного програмного забезпечення.

Для обмеження збитків від цієї атаки, рекомендується регулярно створювати резервні копії своїх даних та періодично оновлювати системи для захисту від кібератак, які поширюються завдяки використанню старих уразливостей.

Нагадаємо, Google Play видалив два шкідливих додатки, які користувачі встигли завантажити їх як мінімум 1,5 мільйона разів. В описі популярних додатків Sun Pro Beauty Camera і Funny Sweet Beauty йдеться, що вони призначені для обробки фотографій. Однак виявилося, що у них є “незадекларовані” можливості. Додатки чомусь просять дозвіл на запис аудіо, і, що набагато гірше, на весь екран розгортають рекламу.

Також протягом останніх років Facebook працювала над розробкою окулярів доповненої реальності у своїх лабораторіях Facebook Reality в Редмонді, штат Вашингтон. Однак труднощі, які виникли під час розвитку проекту, змусили компанію шукати допомоги від фірм-виробників.

Окрім цього, Apple щойно випустила iOS 13, яка вже доступна для завантаження онлайн для користувачів iPhone. Якщо Вам не вдалося встановити довгоочікуване оновлення iOS з певних причини, дізнайтесь, як це виправити.

За словами дослідника з безпеки, відомого під псевдонімом @iBSparkes, йому вдалося зламати новеньку модель iPhone на базі процесора A13.

18-річний мешканець Івано-Франківської області поширював шкідливе програмне забезпечення для віддаленого керування ураженим комп’ютером. Відтак він отримував повний доступ до комп’ютера, включаючи конфіденційну інформацію користувача, логіни та паролі до усіх його облікових записів, а також онлайн-банкінгу.

Ця стаття Новий різновид вимагача GandCrab атакує комп’ютери у всьому світі раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Тисячі веб-серверів на Linux були заражені, а їхні файли були зашифровані новим штамом шкідника-вимагача під назвою Lilocked (або Lilu). Зараження  вперше зафіксовані з середини липня, але їхня кількість стрімко зросла впродовж останніх двох тижнів, повідомляє ZDNet.

На підставі поточних даних, схоже, що шкідник Lilocked спрямовано лише на системи на базі Linux. Перші звіти датуються серединою липня, після того, як деякі жертви завантажили листа про викуп на ID Ransomware (веб-сайт для визначення імені викупного програмного забезпечення, яке заразило систему жертви).

Наразі не відомо, як саме хакерське угруповання Lilocked атакує сервери та шифрує їх вміст. Дискусія на одному російськомовному форумі висуває теорію про те, що шахраї можуть орієнтуватися на системи, на яких працює застаріле програмне забезпечення Exim (електронна пошта). У дискусії також згадується, що шкіднику-вимагачу невідомими способами вдалося отримати доступ з правами адміністратора до серверів.

Сервери, які потрапили в цю програму викупу, легко помітити, оскільки більшість їх файлів зашифровані та мають нове розширення “.lilocked” (на зображенні нижче – ред.).

Копія записки про викуп (з назвою # README.lilocked) доступна в кожній папці, де шкідник-вимагач шифрує файли.

Користувачів переспрямовують на портал у Даркнеті, де їх просять ввести ключ із записки про викуп. Тут угруповання Lilocked демонструє другий запит на викуп, вимагаючи від жертв 0,03 біткойна (приблизно 325 доларів).

Lilocked не шифрує системні файли, а лише невелику підмножину розширень файлів, таких як HTML, SHTML, JS, CSS, PHP, INI та різні формати файлів зображень.

Це означає, що заражені сервери продовжують працювати нормально. За словами французького дослідника з питань безпеки Бенкова, шкідник Lilocked зашифрував понад 6700 серверів, багато з яких були індексовані та збережені в результатах пошуку Google.

Однак кількість жертв, як підозрюється, набагато більша. Не всі системи Linux працюють із веб-серверами, і є багато інших заражених систем, які не були проіндексовані в результатах пошуку Google. Оскільки початкова точка входу для цієї загрози залишається загадкою, неможливо порадити нічого, крім загальних порад щодо безпеки, для власників серверів, яким рекомендується використовувати унікальні паролі для всіх своїх облікових записів та постійно оновлювати програми з виправленнями безпеки.

Нагадаємо, дослідники з SEC Consult виявили низку уразливостей в різних пристроях великого виробника мережевого устаткування Zyxel.

Також мільярди користувачів Android-пристроїв знаходяться під загрозою кібератак. За допомогою лише одного  SMS-повідомлення зловмисник може обманом змусити користувача змінити критично важливі мережеві налаштування пристрою і викрадати його дані.

Стало відомо, Huawei готова надати іншим державам доступ до своїх вихідних кодів, для того щоб вони могли особисто переконатися у відсутності в них будь-яких бекдорів. Про це у вівторок, 3 вересня, заявив старший віце-президент компанії Джон Саффолк (John Suffolk) журналістам інформагентства Kyodo News

Окрім цього, Apple визнала конструктивний недолік у деяких моделях Apple Watch, що може призвести до розтріскування екрана, і запустила програму заміни для постраждалих користувачів. Apple або уповноважені постачальники послуг безкоштовно замінять екран на відповідних моделях.

Шкідливе ПЗ XMrig для майнінгу криптовалют, раніше помічене тільки на пристроях від компанії ARM, змінило вектор атак і націлилось на системи Intel.

Зверніть увагу, Ви можете повторно завантажувати будь-які додатки, які Ви купували або завантажували на свій iPhone або iPad раніше, Ви також можете завантажувати будь-які додатки, які придбали члени сім’ї, якщо Ви використовуєте функцію сімейного обміну від Apple.

Ця стаття Шкідник-вимагач LiLu атакує сервери на Linux раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

У поширенні вірусів за допомогою поштової спам-розсилки викрила 30-річного мешканця Запоріжжя кіберполіція України. Зловмисник створив вірус типу “Stiller” та поширював його серед користувачів мережі Інтернет.

Таким чином він отримував доступ до крипто-гаманців потерпілих, повідомляє прес-служба Департаменту кіберполіції Національної поліції України.

Як зазначають правоохоронці, створений вірус потрапляв у файлову систему користувачів через розсилки спам-повідомлень, а також із веб-сайтів із замаскованим у різні частини веб-сторінки вірусом. Завдяки цьому зловмисник отримував доступ до персональних комп’ютерів користувачів.

Це дозволяло отримувати логіни та паролі потерпілих для авторизації в їх крипто-гаманцях. Отримавши доступи до крипто-біржових екаунтів та до комп’ютерного обладнання потерпілих, зловмисник здійснював виведення коштів на підконтрольні біткоїн-гаманці.

Під обшуку у помешканні зловмисника та вилученні комп’ютерної техніки поліцейські також встановили, що у 2017 році чоловік розповсюджував шкідливий програмний засіб під назвою “kiaracript”. Цей вірус був призначений для шифрування інформації користувачів ураженого пристрою. Для дешифровки інформації потерпілий мав сплатити зловмисникам гроші у криптовалюті.

За даним фактом розпочато кримінальне провадження за ч.2 ст.361 (Несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) КК України. Триває досудове розслідування.

Якщо Ви стали жертвою злочинний дій цього зловмисника, у кіберполіції просять повідомити про це за формою зворотного зв’язку.

Ця стаття Через вірус зловмисник отримував доступ до крипто-гаманців і крав звідти гроші раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Через масові розсилки фішингових електронних листів в Україні та світі хакери продовжують поширювати вірус-шифрувальник #Scarab. Про це повідомляє прес-служба Команди реагування на комп’ютерні надзвичайні події України CERT-UA.

Листи надходять російською чи українською мовами, можливі з помилками та містять наступний текст:

“Добрый День!

Не получается связаться с вами по телефону.

Повторно направляю вчерашний акт сверки.”

Лист має прикріплений архів “Копия 1.gz” , який містить виконувальний файл “Копия 1.scr” (С/С++, ехе), при активації якого шифруються файли з метою отримання викупу для їх відновлення.

Як працює вірус?

При запуску “Копия 1.scr” створюється процес sevnz.exe, який запускає дочірній процес mshta.exe (системний процес для Internet Explorer) та окремий інжект-процес VSSVC.EXE (також системний для управління Volume Shadow Copy).

Після видалення процесу VSSVC.EXE починається видимий етап шифрування файлів, які не є виконувальними та створення окремих текстових файлів (з повідомленням про шифрування) у кожній директорії з зашифрованими файлами.

Зашифровані файли мають кодовану назву та розширення “.crypted034“. Для видалення копій файлів, які використовуються для відновлення системи, запускається системний процес vsadmin.exe.

При завершенні кодування файлів відкривається вікно, у якому вимагають криптовалюту для відновлення файлів.

Як попередити загрозу?

1. Перед відкриттям вкладень у повідомленнях звертайте увагу на деталі:

• у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування;
  тема листа є нетиповою для автора;
• спосіб, у який автор звертається до адресата, є нетиповим тощо;
• у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів тощо.

2. Вимкніть шифрування, якщо воно дозволено.

3. Обмежте можливість запуску виконуваних файлів *.exe, *.jar *.scr *.bs на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

4. Періодично перевіряйте систему антивірусом та оновлюйте бази сигнатур.

5. Використовуйте ліцензійні операційні системи та інше програмне забезпечення, оскільки це дає можливість їх періодично оновлювати.

6. Регулярно здійснюйте резервне копіювання важливих файлів.

7. Оновлюйте паролі доступу до важливих систем.

Ця стаття Вірус-шифрувальник масово розповсюджують поштою у фішингових листах раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар