ShadowReport

ShadowReport

ShadowReport — это небольшое приложение, способное сообщать о статусе теневых копий в ОС Windows. Полное название: RansomSaver ShadowReport. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 

Сведения о цифровой подписи и сертификате

Установка ShadowReport

Окно начального и конечного этапов установки

При установке нет никаких сложностей. Всего лишь требуется разрешение для UAC на установку. 

Что делает ShadowReport?
ShadowReport собирает информацию о статусе теневых копий Windows и отправляет подробный отчёт по электронной почте на ваш почтовый ящик. Планировщик заданий будет запускать ShadowReport один раз в неделю и информировать вас о наличии здоровых теневых копий на выбранном компьютере. Для начала надо настроить отправку сообщений. 

Основное окно настроек почты

После последовательного заполнения здесь ВСЕХ необходимых данных в Планировщике заданий Windows будет создано запланированное задание RansomSaver ShadowReport. Согласно этому заданию еженедельно будет отправляться сообщение о состоянии теневых копий на указанный email для приёма сообщений. 

Пример задания RansomSaver ShadowReport

Если задача не была создана установкой, используйте следующую команду из командной строки повышенного уровня: 
SCHTASKS /Create /RU SYSTEM  /SC WEEKLY  /TN  RansomSaverShadowReport  /TR "\"C:\Program Files (x86)\SYNERGY USA llc\RansomSaver ShadowReport\RansomSaverShadowReport.exe\" auto"   /ST 10:00:00

Вы можете отредактировать задачу для выполнения в соответствии с вашими потребностями. 

Пример почтовых отправлений

Кому необходим ShadowReport?
ИТ-инженерам, оказывающим техническую поддержку, консультантам по безопасности, желающим узнать варианты восстановления в случае инцидента, ИТ-консалтинговым компаниям, оказывающим поддержку нескольким сайтам / клиентам, желающим узнать, отлично ли работает процесс создания теневых копий на серверах. Также любой пользователь, желающий иметь дополнительный элемент защиты от Ransomware, может установить и использовать ShadowReport. 

Зачем создавать теневые копии?
Shadow Copy оказался мощным инструментом на линии обороны от Ransomware. Это первая линия защиты перед восстановлением из резервной копии. Обычно создание и обновление теневых копий файлов выполняется как рутинный фоновый процесс, за которым пользователю трудновато следить. ShadowReport помогает без напряжения отслеживать теневые копии любого удалённого или локального компьютера. ShadowReport отправит вам еженедельный отчёт, в котором сообщит, что вы можете полагаться на восстановление файлов в случае атаки Ransomware.

Что не делает ShadowReport? 
Он не обнаруживает и не удаляет Ransomware. Это самый простой способ узнать, что на компьютере есть теневые копии, работающие должным образом.

Это бесплатно? 
ShadowReport совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! ShadowReport будет работать, только если в системе включено "Теневое копирование тома" (служба Windows VSS). Эта служба Windows обычно включена по умолчанию, но если вы её отключали сами, то включите и перезагрузите ПК до установки ShadowReport. 

Для справки: 
Теневое копирование тома управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Откройте последовательно: 
Панель управления -> Администрирование -> Службы -> Теневое копирование тома и проверьте. Если отключено, то перевидите типа запуска на "Автоматически" и нажмите кнопку "Запустить". 
Далее "Применить" и "ОК". 

Включение службы VSS

Что важно знать до начала использования?
Современные Ransomware пытаются удалить теневые копии, если получают права доступа. Поэтому мы предлагаем не давать пользователям права администраторского доступа. Даже, если вы единственный пользователь ноутбука, разумнее создать отдельного пользователя без прав администратора для ежедневных задач. 
Таким образом, даже если вы заразитесь Ransomware, вы всё равно сможете войти в систему как администратор и восстановить зашифрованные файлы с помощью теневых копий.

Как настроить / включить теневые копии ваших файлов

 - ссылка на внешнее руководство (на английском)

Как восстановить файлы и папки с помощью теневых копий

- ссылка на внешнее руководство (на английском)

Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/RansomSaverShadowReport.html

Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaverShadowReportSetup.zip

Официальная страница поддержки:
https://www.synergy-usa-llc.com/support.html

© Amigo-A (Andrew Ivanov): All blog articles.

RansomSaver

RansomSaver

RansomSaver — это надстройка для почтового клиента Microsoft Outlook, способная обнаруживать Ransomware. 

RansomSaver совместим со всеми версиями Outlook для 32-х и 64-х операционных систем Windows. 
RansomSaver работает с версиями 2007 и выше, включая Outlook 2016 и Outlook для Office 365. 
RansomSaver работает на всех операционных системах Windows, начиная с Windows XP.
RansomSaver устанавливается как надстройка, т.е. интегрируется в Outlook при его установке. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 

Сведения о цифровой подписи и сертификате

Основной функционал и настройки

Основной функцией RansomSaver является сканирование и поиск в теле письма вирусов шифровальщиков. 
RansomSaver проверяет email-письма, которые вы получаете, на вымогателей и может удалять все сообщение или только вложение.
RansomSaver перемещает email-письма в специальную папку "RansomSaver", которая создается в Outlook как подпапка для папки "Удалённые элементы" (Deleted Items).


Как работает RansomSaver в качестве защитной надстройки?
Каждый раз, когда вы нажимаете на письмо, содержащее вложения, RansomSaver запускает сканирование, чтобы увидеть, содержит ли вложение потенциальную угрозу для вашей системы. После сканирования RansomSaver попытается удалить инфекцию и сообщить о ней.

Как RansomSaver выявляет подозрительные письма и определяет вредоносность вложения? 
RansomSaver сканирует все возможные потенциально опасные вложения (не заблокированные самим Outlook). Он также выполняет поиск опасных исполняемых подписей внутри архивных файлов, не открывая их. Если есть положительный сигнал тревоги, электронное письмо перемещается в папку "RansomSaver" под "Deleted Items" (Удаленные элементы). 
При ложно-положительном результате вы можете переместить выбранное письмо обратно во входящие письма (папка "Inbox").

Пользователь опционально может:
- включить или отключить удаление вложений и писем; 
- отключить функции сканирования до следующего запуска Outlook;
- отключить проверку папки удалённых элементов Outlook.

Параметры доступны с панели инструментов надстройки RansomSaver. Там вы найдете варианты сканирования существующих папок для вложений Ransomware и ссылки на журнал инцидентов.

Окно настроек с переключателями

Описание функционала (перевод на русский язык)

Какие типы расширений RansomSaver считает подозрительными?
.ace, .arj, .application, .bat, .cmd, .com, .cpl, .dll, .docm, .dotm, .exe, .gadget, .hta, .inf, .jar, .js, .jse, .lnk, .mdb, .mde, .msc, .msh, .msi, .msp, .pif, .potm, .ppam, .ppsm, .pptm, .ps, .ps1, .ps2, .psc, .reg, .scf, .scr, .shs, .sldm, .vb, .vbe, .vbs, .ws, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm

Подозрительные расширения просматриваются также и внутри Zip- и Rar-архивов. 

Пример письма с вредоносным вложением

Обнаружения RansomSaver отображаются в области уведомлений, рядом с системными часами. Значок — чёрный треугольник в белом квадрате. 

Перевод сообщения:
RansomSaver
Почтовое сообщение подозрительно и будет перенесено в "RansomSaver" в разделе "Deleted Items".
Вредонос найден, Zip-файл содержит опасное / блокируемое расширение: .xlsm

Установка RansomSaver

 Окно начального и конечного этапов установки

При установке нет никаких сложностей. RansomSaver сам интегрируется в Microsoft Outlook версий: 2007, 2010, 2013, 2016. От вас не потребуется никаких усилий или особой подготовки. 

Для примера я использовал версию 2007 года. 

Кнопка и окно настроек

Отдельная опция проверки текущей папки для писем на вирусы (подозрительные файлы). 

Кнопка проверки папки и переключатель

По желанию, как мера дополнительной безопасности, можно передвинуть переключатель на опции "Recheck already..." в положение ON, чтобы перепроверка проводилась автоматически. 

Подпапка и удобный подраздел RansomSaver

Как видите, всё предельно ясно и понятно. Приятного Вам пользования!

Это бесплатно? 
RansomSaver совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! RansomSaver не является антивирусной защитой. Вы должны в обязательном порядке использовать комплексное антивирусное средство не ниже класса Internet Security. 

Например, это могут быть:
✦ Norton Security, Norton Internet Security
✦ Kaspersky Internet Security 
✦ Avast Internet Security
✦ ESET NOD32 Internet Security
✦ Avira Internet Security
✦ GData Internet Security
✦ Trend Micro Internet Security
и другие. 

Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/ransomsaver-faq.html
https://www.synergy-usa-llc.com/quick-start.html

Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaver.zip

Официальный видео-обзор: 
https://www.youtube.com/watch?v=uOdLeQ9ZBBc

© Amigo-A (Andrew Ivanov): All blog articles.

Предложите публикацию

Предложите публикацию в "Проект Anti-Ransomware"

   Вы являетесь разработчиком Anti-Ransomware или представителем компании, имеющей отдельное Anti-Ransomware решение?

  Тогда вы можете предложить свой продукт для публикации в этом проекте. Нулевые, тестовые и бета-версии не принимаются. Предлагайте только финальные проверенные версии с ЭЦП и совместимостью с антивирусным ПО. 

  Несколько обязательных условий для публикации: 

    1) Наличие отдельного Anti-Ransomware решения.
    2) Наличие бесплатной или испытательной версии.
    3) Наличие английской и/или русскоязычной версии.
    4) Наличие руководства пользователя (ENG и/или RUS).
    5) Наличие сайта и техподдержки (ENG и/или RUS).
    6) Наличие актуальной версии программы и руководства. 

  Предоставьте инсталлятор, скриншоты и ссылки для публикации. 
  Если есть видеоматериалы и тест-обзоры, то приложите ссылки. 

  Для связи с нами используйте "Форму обратной связи" (см. ниже). 

  Вы также можете предложить на тест предфинальную версию. 
  Наша тестовая группа проведёт проверку на разных ПК и выдаст заключение и/или подготовит обзор. 

  Это бесплатно, но от благодарности или ссылки на наш сайт не откажемся. ;)

   Если проверяемая программа чем-то не подошла (не понравилась), то обзора не будет, но мы будем ждать улучшенную версию этой программы. 
   Мы могли бы написать критический обзор, чтобы указать на недостатки этой программы и помочь разработчикам её улучшить, но пока это не входит в наши планы. Нет программы в обзоре, значит она пока не достойна здесь быть по ряду причин. 
   Если ваша программа является платным решением, то мы готовы посмотреть её, но нам нужна полнофункциональная версия для изучения и испытания. Понравится — опубликуем обзор. 

Anti-Ransomware Tool

Kaspersky Anti-Ransomware Tool fo Business

Сегодня всё чаще мишенью кибер-преступников, которые шифруют файлы и требуют выкуп за их восстановление или ключ дешифрования, становятся компании, организации и государственные учреждения. 

Кибер-преступникам нет дела до того, что жертвой их атаки стала некоммерческая компания, детское образовательное учреждение или больница, где проходит важная операция, а под приборами жизнеобеспечения круглосуточно находятся критические больные. Им это безразлично, т.к. они проводили атаку для того, что получить выкуп, и чем больше учреждение и больше файлов оказалось в заложниках, тем больше они захотят денег за выкуп. 

Потому, в таких случаях, не надо уповать на милосердие преступников и вести с ними переговоры. Надо сразу звонить или писать заявление в местное Управление "К" МВД России или территориальный орган МВД России. Это их работа "общаться" с преступниками.

Превентивные меры

Атаку шифровальщиков-вымогателей легче предотвратить, чем страдать от последствий. Для этих целей, в "Лаборатории Касперского" выпустили новое программное решение под названием Kaspersky Anti-Ransomware Tool fo Business. 

Это инструмент безопасности для бизнеса, способный блокировать вымогателей на компьютерах, работающих под управлением ОС Windows. Предназначены для предприятий, которые не используют другие программы "Лаборатории Касперского" и доступен для бесплатного скачивания на официальном сайте.

👉 Обратите внимание, чтобы получить этот продукт бесплатно, вам необходимо заполнить форму на сайте, который запрашивает фамилию, имя, номер телефона, email-адрес, название компании, страну и количество рабочих станций. 

Страница и сама программа на английском языке! 
Файл справки доступен только после установки! 

 

Начальное и конечное окно установщика

Kaspersky Anti-Ransomware Tool fo Business (KARTB) совместим с другим защитным программным обеспечением безопасности, при условии, что это не другие программы "Лаборатории Касперского", с которыми он как раз и не совместим.

KARTB работает в фоновом режиме, контролируя программную деятельность в системе. При обнаружении вредоносного ПО, он автоматически блокирует его и добавляет в список заблокированных приложений (Blocked Applications). 

Можно самостоятельно добавить в список доверенных приложений (Trusted Applications) любую нужную программу, например, один из модулей другой антивирусной программы. 

KARTB использует собственную сигнатурную базу и технологию Kaspersky Security Network, основанную на облачной работе, объединяющей информацию от пользователей всех продуктов "Лаборатории Касперского".

👉 Для выявления характерного поведения программ-вымогателей инструмент KARTB использует две технологии: Kaspersky Security Network и «Мониторинг активности».

Возможно, что перед блокировкой, вредоносная программа может успеть произвести нежелательные действия в операционной системе: создать или распаковать свои файлы или изменить файлы, находящиеся в системе, или сделать какие-то изменения в реестре Windows. Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений в системе. В него входит восстановление измененных файлов или внесение изменений в реестре Windows. 

Основные возможности KARTB:
Бесплатное и довольно легкое программное решение;
Обнаружение на уровне бизнес-решений (KES for Windows);
Технологии защиты: файловый антивирус + Мониторинг активности;
Совместимость со сторонними антивирусными решениями;
Поддержка популярных систем: от Windows 7 до последних Windows 10;
Отправка по email администратору отчётов об обнаружении. 

Поддерживаемые операционные системы: 
Microsoft Windows 7 Starter x32 SP 1 и выше, Microsoft Windows 7 Home Basic SP 1 и выше, Microsoft Windows 7 Home Premium SP 1 и выше, Microsoft Windows 7 Professional SP 1 и выше, Microsoft Windows 7 Ultimate SP 1 и выше, Microsoft Windows 8, Microsoft Windows 8 Pro, Microsoft Windows 8 Enterprise, Microsoft Windows 8.1 (Windows 8.1 Update), Windows 8.1 Pro (Windows 8.1 Update), Windows 8.1 Enterprise (Windows 8.1 Update), Microsoft Windows 10 Home, Microsoft Windows 10 Pro, Microsoft Windows 10 Enterprise.

Официальная страница утилиты:
https://www.kaspersky.com/anti-ransomware-tool

Видеоролики с KARTB:
Стресс-тестирование программы: https://www.youtube.com/watch?v=CuzbRj_JgSw
Установка и пример работы: https://www.youtube.com/watch?v=0pHuvMm30SI

Ссылки на загрузку утилиты:

https://kas.pr/kart-home
https://kas.pr/kart-business

© Amigo-A (Andrew Ivanov): All blog articles.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 ноября 2018:
Версия 2.0.0.76
Скриншоты, демонстрирующие установку и интерфейс новой версии.

1) 2)

3) 

1-2-3) Принятие соглашения, ввод данных и установка

4) 

5) 

4-5) Главное окно и настройки

6) 

6) Управление блокированными и разрешенными приложениями

7) 

7) Окно "О программе", номер версии, копирайт

8)  файл версии 2

8) новые файлы версии 6

8) Значки программы с логотипом "Лаборатории Касперского" и кубики. 


© Amigo-A (Andrew Ivanov): All blog articles.

CryptoSearch

CryptoSearch

CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.

Файлы CryptoSearch

Файлы CryptoSearch (слева направо): лог программы, исполняемый файл и данные, полученные из службы ID Ransomware. 

CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла. 

CryptoSearch работает совместно со службой ID Ransomware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Как правило Ransomware используют определённые шаблоны или файловые маркеры, которые они оставляют на зашифрованных файлах, а CryptoSearch проверяет их по базе данных службы ID Ransomware. Эти данные обновляются ежедневно. 

В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.

Сведения о цифровой подписи и сертификате

Главное окно программы

Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.

Меню выбора Ransomware из списка

Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам. 

Выбор поиска по расширению

Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых). 

После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List  - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем. 

Опции меню "Файл"

При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."

Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."

На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".

Архивное сохранение завершено

ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае. 

Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch. 

Официальная страница утилиты:

https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/

Ссылка на загрузку утилиты:

https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

© Amigo-A (Andrew Ivanov): All blog articles.

RansomFree

RansomFree by Cybereason

RansomFree — бесплатный поведенческий анти-вымогательский инструмент от компании Cybereason. Предназначен для работы на компьютерах, работающих под управлением ОС Windows 7, 8, 10, Windows Server 2008 R2, 2012 R2. Бесплатен для организаций и частных лиц. 

Инсталлятор и логотип

Информация о файле инсталлятора

Специалисты компании Cybereason исследовали более 40 вымогателей, в их числе Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber и определили поведенческие модели, которые отличают вымогателей от легитимных приложений. Не имеет значения, кто создал программу-вымогатель, преступная группа или одиночка, все крипто-вымогатели зашифруют столько файлов, сколько смогут. Они сами не могут определить, какие файлы имеют важное значение, и шифруют все на основании заданных расширений файлов.

RansomFree защищает от локального шифрования файлов, от шифрования на сетевых или общих дисков. Шифрование общих файлов является одним из самых ужасных сценариев для организация. Если только один сотрудник допустит промашку и запустит шифровальщик на выполнение, это поставит под удар всю компьютерную сеть компании, а убытки могут привести к банкротству.  

RansomFree ловит как автономных крипто-вымогателей, так и бестелесных. Автономные вымогатели использует уязвимости в ОС и приложениях, а бестелесные используют в работе легитимные инструменты Windows, такие как язык сценариев PowerShell или JavaScript, чтобы реализовать свои вредоносные намерения. 

RansomFree не зависит от вирусных сигнатур, как традиционные антивирусные решения, потому не нуждается в частом обновлении и не требует обязательного подключения к Интернету для своей работы. 

RansomFree, работающий как дополнение к основной антивирусной защите ПК, останавливает вредоносную активность крипто-вымогателей, шифрующих локальные и сетевые диски, общие файлы и внешние хранилища. 

RansomFree сможет помочь даже в том случае, если вирус уже пробрался на ПК и начал своё грязное дело. RansomFree способен обнаруживать подозрительные дисковые операции и блокировать шифрование пользовательских файлов или всего диска.

RansomFree предназначен для защиты от шифровальщиков-вымогателей. Он не может расшифровать файлы, которые уже были ранее зашифрованы каким-то шифровальщиком.

RansomFree разработан, чтобы остановить только шифрование файлов крипто-вымогателями. Поэтому иногда записки о выкупе, изображения, таймеры отсчета и другие визуальные эффекты, создаваемые при работе вредоносных программ, могут появиться, но не причинят никакого вреда.

RansomFree является идеальным бесплатным анти-вымогательским решением для малого бизнеса, магазинов, юридических фирм, полицейских и пожарных департаментов, органов власти и муниципальных предприятий, некоммерческих организаций, банков, медицинских учреждений и частных клиник, учреждений школьного, дошкольного и дополнительного образования. 

Установка и использование RansomFree

 

Начальное и конечное окна установки

Первое информативное окно после установки

Второе информативное окно после установки

 

Специальная папка RansomFree и её содержимое

После установки RansomFree создает специальную папку-ловушку на вашем Рабочем столе. Она имеет логотипную иконку и называется "This folder protects against ransomware. Modifying it will reduce protection" (перевод: "Эта папка защищает от вымогателей. Изменение её приведёт к снижению защиты"). 

✋Если вы заметили по иконкам в трее, то я протестировал работу RansomFree совместно с другими инструментами Anti-Ransomware. Справа от иконки RansomFree в трее расположены иконки AppCheck, BD Anti-Ransomware, потом утилита Lightshot для скриншотов и Norton Security. Все они прекрасно сочетаются, не грузят систему и не конфликтуют. Но это не значит, что также нужно делать всем. Я лишь сделал тест и не собираюсь навешивать анти-вымогательские утилиты друг на друга. Достаточно выбрать один Anti-Ransomware и один антивирусный инструмент класса не ниже Internet Security. 

Как работает защита RansomFree

Совмещая несколько методов обмана крипто-вымогателей, RansomFree обнаруживает их, как только начинается шифрование на ПК или сетевом диске. После обнаружения шифрования RansomFree приостанавливает его процесс, отображает всплывающее окно, которое предупреждает пользователя о том, что его файлы находятся в опасности и позволяет ему самому становить атаку.

Окно обнаружения угрозы

Подробности о файле угрозы

Подробности о файле угрозы можно просмотреть по ссылке "View affected files >". 

Если вы не знаете ничего об этой угрозе, мы рекомендуем вам нажать кнопку "Yes" (Да), чтобы остановить и очистить угрозу. RansomFree запоминает ваш выбор и потом уже автоматически остановит его повторное выполнение. Но, если вы решили позволить угрозе выполнение, то RansomFree, предупредив вас об этом конкретном файле, позволит ему работать. Как говорится, наше дело предупредить. 

В любом случае, мы рекомендуем вам проверить ваши файлы и убедиться, что они не были зашифрованы. Зашифрованные файлы обычно имеют другое расширение, могут быть переименованы в непонятной кодировке и не могут быть прочитаны или просмотрены средствами Windows. 

Вы можете отменить свой выбор в любое время, если щелкните правой кнопкой мыши на значке RansomFree в системном трее и выберите опцию "Clear history" (Очистить историю). RansomFree снова остановить выполнение того файла, которому вы прежде разрешили выполнение. 

💫💫💫

Пользуясь случаем хотим дать вам ещё несколько полезных рекомендаций. 

Сделайте ряд практических и превентивных шагов для защиты от крипто-вымогателей: 

1. Регулярно делайте бэкап важных файлов и проверяйте работоспособность бэкапа. 

2. Держите вашу операционную систему, защиту и браузеры в актуальном состоянии. 

3. Удалите Java и Flash-плагины, т.к. они уязвимы и используются злоумышленниками. 

4. Никогда не загружайте программное обеспечение из сомнительных и неофициальных сайтов. 

5. Не открывайте email-вложения или не нажимайте на подозрительные ссылки в письмах. 

6. Используйте анти-вымогательские инструменты, например, описанный здесь RansomFree.

Обновление от 12 мая 2017:
✌ Cybereason RansomFree блокирует атаку шифровальщика WannaCry (WanaCrypt0r) основываясь исключительно на поведенческом обнаружении. 

Официальная страница утилиты:



https://ransomfree.cybereason.com/



...



Официальные страницы загрузки:



https://ransomfree.cybereason.com/download/



https://ransomfreedownload.cybereason.com/CybereasonRansomFree.msi

Страницы видеодемонстраций и тестов  


Официальная: https://www.youtube.com/watch?v=nr1w2mrOpto
Альтернативная: https://www.youtube.com/watch?v=8irjdt0okg8

© Amigo-A (Andrew Ivanov): All blog articles.