组件抵御勒索软件监视企图加密用户文件的进程,这些进程使用的算法已知,证明这些进程构成安全威胁。属于此类进程的有加密木马。此类恶意软件进入用户计算机后会阻止用户访问数据,并向用户进行勒索,是传播最广的恶意软件之一,每天都在给企业公司以及个人用户造成巨大损失。主要传播方式是群发内含恶意文件或链接的邮件。
Doctor Web公司收集的统计信息显示,被木马加密的文件能够成功解密的比例不到10%,因此最有效的手段是避免被感染。目前受害用户数量有所下降,但Doctor Web技术支持每月接到的解密求助仍多达1000次。
打开抵御勒索软件窗口的操作
1.打开Dr.Web菜单
选择安全中心。
2.在打开的窗口点击 预防性保护。
3.确认Dr.Web的运行模式是管理员模式(软件下方的锁头为“开启”状态
)。如不是,需点击锁头
。
4.点击抵御勒索软件图标。
|
如果Dr.Web连接的统一保护服务器的管理员允许,则可以更改组件参数。 |
图55. 访问组件抵御勒索软件
在这一部分:
设置组件抵御勒索软件运行参数的操作
1.确认Dr.Web的运行模式是管理员模式(软件下方的锁头为“开启”状态)。如不是,需点击锁头。
2.点击抵御勒索软件图标。打开组件参数窗口。
3.在下拉列表选择操作,此操作会适用于所有应用程序。
图56. 选择Dr.Web的反应
•允许——允许所有应用对用户文件进行更改。
•阻止——禁止任何应用加密用户文件。此为默认设置。某应用试图加密文件时会出现通知:
图57. 禁止更改用户文件通知示例
•询问——发现发现应用企图加密用户文件时会显示通知,用户可选择禁止应用进行此操作或忽略通知:
图58. 试图更改用户文件通知示例
▫如点击修正,进程将被阻止并移至隔离区。即便从隔离区还原应用,不重启计算机也无法启动。
▫如关闭通知窗口。将不会解除此应用程序造成的威胁。
获取通知
可设置在屏幕显示抵御勒索软件组件运行通知。
另参见:
•通知
。可设置抵御勒索软件对个别应用运行作出的反应。操作是将应用添加到列表后选择组件应作出的反应。可使用以下控制元素处理表中对象:
•按钮
——将应用添加到具有单独适用规则的应用列表。
•按钮
——将所选应用从具有单独适用规则的应用列表中删除。
图59.适用一般规则的应用
将应用添加到列表的操作
1.点击。
2.在弹出的窗口点击 浏览按钮并指定应用程序可执行文件路径。
图60. 为具体应用选择规则
3.在下列列表选择相应的反应类型。
4.点击确定。
还可以更改之前指定的规则。
更改Dr.Web对已指定规则的应用所作反应的操作
1.在抵御勒索软件组件参数主窗口选择相应的应用。
2.在规则一列的相应栏的下拉列表选择发现应用试图加密用户文件时的反应。