Gollum jesteś niezastąpiony,dzięki.

Informacja o tym jak działa CryptoLocker (i jego odmiany)
Dla tych co myślą, że ich antywirus zadziała i w porę ich ostrzeże - nic bardziej mylnego.

CryptoLocker nie modyfikuje żadnych systemowych plików, więc może działać bez uprawnień administratora. Lokuje się on w lokalizacji użytkownika, (%appdada%, Local, Roaming) czyli, że działa w obrębie jednego konta.
Wszystko wygląda tak jakby modyfikacji dokonywał
właściciel.
Żaden antywirus nie nadzoruje i nie analizuje otwierania, modyfikowania i zapisywania plików pdf, doc, jpg, mp3, które są z definicji dokumentami i jako takie mogą być modyfikowane i zapisywane po modyfikacji.
Antywirusy wprawdzie potrafią analizować pliki doc/pdf pod kątem ich zawartości i potencjalnym zagrożeniem jakie mogą zawierać umieszczone w nich makra czy tez złośliwy kod. CryptoLocker nie modyfikuje dokumentów pod tym kątem, więc alarmu nie będzie.

No i kolejna mutacja.
Nie mam dobrych wiadomości.
Program CryptoPrevent jak narazie nie zabezpieczy naszych danych. Być może przygotowywana wersja 8, ale musimy czekać.
Do tej pory CryptoPrevent zabezpieczało lokalne katalogi user'a, a nowa odmiana wiursa ładuje plik wykonywalny (.exe) do niechronionego katalogu C:\WINDOWS\, a ten katalog nie jest chroniony przez CryptoPrevent - w wersji platnej można dodac ten katalog z rozszerzeniem *.exe do chronionych oraz uzupełnić białą listę o cmd.exe, regedit.exe i jeszcze kilka innych plików wykonywalnych z tego katalogu.

Na chwile obecną jest jeden sposób - wprawdzie jeszcze go nie przetestowałem bo dzisiaj na niego wpadłem - w poniedziałek będę w pracy to przetestuję, ale jest on dość skomplikowany - dla osób niezaznajomonych. Jest to utworzenie tzw. białej listy plików .exe które mogą być uruchamiane z danego konta użytkownika - taka lista w zależności od potrzeb może być krótka jak i długa i niestety każdy musi sobie sam takową stworzyć i wprowadzić odpowiednio do rejestru.

Czym skutkuje takie utworzenie białej listy uruchamianych programów - otów jeśli dla przykładu na tej liście nie umieśmimy np. cistray.exe nie uruchomi się nam program Comod Antyvirus czy też Comodo Internet Security - jeśli takowy mamy zainstalowany. Inny przykład - jeśli nie dodamy do listy notepad.exe nie uruchomimy notatnika - czyli konkludując wirus jest plikiem .exe - nie będzie go na białej liście i nie powinien się uruchomić, a co za tym idzie nie zaszyfruje danych. Są to jesdnak moje przypuszczenia, teoretyzowanie bo praktyka będzie w poniedziałek O wynikach opoinformuję.

Jeśli sposób ten zadziała i będzie ktoś zainteresowany to mogę go poprowadzić "za rączkę" jak to zrobić u niego. Ewentualnie moge zdalnie sie połaczyć i zrobić to bezpośrednio na maszynie Oczywiście wszystko w miare posiadanego wolnego czasu.

I tak dla przypomnienia!!!

Należy unikac wiadomości od Poczta Polska, DHL, UPS, DPD, Bank Polski, uważamy również na emaile od nieznajomych.
Zasada podstawowa - nie klikamy w takich emailach w linki!!!
Jeśli faktycznie czekamy na przesyłkę i otrzymujemy wiadomość do firmy kurierskiej to spisujemy tylko nr przesyłki, zamyakmy program pocztowy i uruchamiamy przeglądarkę (Internet Exploerer, Opera, FireFox czy też inną) i ręcznie wpisujemy adres - NIE TEN Z WIADOMOŚCI - firmy kurierskiej:

DHL - http://www.dhl.com.pl/pl.html
DPD - https://www.dpd.com.pl/
UPS - http://www.ups.com/pl/pl
POCZTA POLSKA - http://www.poczta-polska.pl/

i tutaj odszukujemy śledzenie paczki/przesyłki, podajemy nr przesyłki i jesteśmy bezpieczni.
NIE SUGERUJEMY SIĘ LOGO - w tych podrobionych emailach loga firm sa identyczne, strony www również identyczne jak orygnalne.