A G DATA a lehető legjobb védelmet nyújt a zsarolóvírusok ellen. A mai kártevők azonban nagyon intelligensek, és akár naponta több új variáció is jelenhet meg belőlük. Az alábbi cikkünk azt tárgyalja, hogy mit tehetünk vírusfertőzés esetén.

Figyelem, ez egy korábbi cikk, amelynek írásakor még nem jelent meg a G DATA Zsarolásvédelem. A zsarolóvírusok elleni vállalati védekezés során az egyik első lépés ma a G DATA Zsarolásvédelem aktiválása.

A zsarolóvírusok elleni küzdelemben emelett fontos a megelőzés, amelynek módszereit részletesen tárgyaltuk korábbi blogbejegyzésünkben.

A titkosító kártevők a fertőzés után gyakran törlik önmagukat annak érdekében, hogy megnehezítsék a felderítést.

A titkosító kártevők a leggyakrabban hamis e-mail csatolmányokban terjednek, de terjesztik őket elavult böngésző bővítmények segítségével és feltört, nem frissített weboldalakon keresztül is. A védekezésben alapvető fontosságú, hogy a G DATA vírusszignatúrák minden kliensen folyamatosan frissítve legyenek.

Ellenőrizze, hogy a klienseken aktiválva van-e magatartásalapú védelem (behavior monitoring), és úgy van-e beállítva a modul, hogy megállítsa a gyanús programokat (halt program). Ezt a beállítást a Client Settings > Monitor fülön találja a G DATA Management Console-ban.

Forrás felderítése

A fertőzésért felelős számítógépen nagy valószínűséggel meg fog jelenni a váltságdíj követelését jelző felirat, és a PC zárolásra kerül. Fontos, hogy ezt a számítógépet azonnal kapcsoljuk ki és szeparáljuk a hálózattól.

Nyomot jelenthet, ha elemezzük a hálózati router forgalmát, és megnézzük azt, hogy melyik kliens generál kiugróan nagy vagy szokatlan adatforgalmat.

Ha a kártevőt még nem szeparáltuk, fontos lehet kikapcsolni a hálózati switch-et, hogy megakadályozzuk a kártevő terjedését a hálózaton belül.

Teljes vírusvizsgálat és visszaállítás

Fertőzés esetén vírusvizsgálatot kell végezni az összes kliensen (a Tasks fülről indítható), amely segít megtalálni a megbújt kártevőket.

Ha a fertőzés forrását megtaláltuk, majd megtisztítottuk, a leghatékonyabb, ha mentésből állítjuk helyre a titkosításra került fájlokat. (A visszaállítási lehetőségekkel kapcsolatban az Europol oldalán tud tájékozódni.)

Ha nem rendelkezik mentéssel, megkísérelheti a helyreállítást a „Volume Shadow Copies” mappából is (Windows 7-től felfelé). Ehhez kattintson jobb egérgombbal az érintett mappára, majd a Tulajdonságok, Előző verziók útvonalon válassza a Visszaállítás lehetőséget.

Szintén megpróbálhat speciális adat-visszaállítási szoftvereket használni.

Néhány ilyen szoftver:

Active@ UNDELETE (https://www.active-undelete.com/)

Excel Recovery 3.3 (https://www.diskinternals.com/excel-recovery/)

Data Rescue PC3 (https://prosofteng.co.uk/).

Full scan/analyze of all computers

A váltságdíj kifizetése sokszor teljes veszteséget jelent, mert az ígért feloldókulcsokat soha nem küldik el a bűnözők.

Naplófájlok elküldése

A G DATA víruslaboratóriumába beküldhetőek a naplófájlok elemzésre. Ez nem jelent adat-visszaállítást!

Ha megtalálta a fertőzésért felelős számítógépet, majd izolálta, lementheti a naplófájlokat (System Info + Event Viewer + G DATA naplófájlok + a kártevő mintája (a fájl vagy a fertőzött e-mail).

A víruslaboratórium weboldalán kattintson a „Sample submission” gombra, majd használja az űrlapot.

A naplófájlok és vírusminták beküldése azért történik, hogy a G DATA hozzá tudja adni az új variánst a vírusszignatúrákhoz, és így a G DATA felismerje az új variánsokat. A beküldés célja nem az adat-visszaállítás.