ランサムウェアに対するウイルス対策ベンダーの態度はどうですか?
最近、奇妙な動作をするWindowsコンピューターを確認するように依頼され、いくつかのディレクトリに残っている「ファイルは暗号化されています」という身代金注記が見つかりました。別のメモを残した別のランサムウェアによって暗号化された身代金メモのコピーを除いて、実際に暗号化されたファイルを特定することはできませんでした。
身代金メモは3つの形式で存在しました:プレーンテキストファイル、HTMLファイル、およびショートカット(.urlファイル)支払いWebページを指します。
一部のファイルを読み取ることはできましたが、それらを開こうとするとすぐに一部のファイル(2番目のランサムウェアのメモと最初のランサムウェアのHTMLファイル)が消えてしまいました。その後、System Center Endpoint Protectionから、それらを識別して検疫したことが通知されました。それらを検疫から復元し、リアルタイムスキャンを無効にしてそれらを読み取る必要がありました。
これは思い切った行動のようです。それは実際に反対が真であるとき、それがノートを読むことがさらなるダメージをもたらすつもりであるかのように振る舞いました:ノートを読むことはあなたがあなたの復号化のゼロ以外のチャンスを持つことになる唯一の方法ですファイル!
それは単に彼らを「一般的に疑わしい」ものとして扱うだけではありませんでした-特に彼らはRansom:HTML/Tescrypt.AおよびRansom:HTML/Crowti.Aそのため、より適切な決定を行うのに十分な情報がありました。
一方、被害者が身代金のメモを読まないようにすることは、難しい「交渉なし」のルールと見なすことができます。被害者が連絡をとることができない場合、暗号代金業界は収益性が低くなり、その事実が将来のインシデントを抑止することになるでしょう。これは確かに長期的な利益になるでしょう。 currentの犠牲者については、まあ、悪意のある人がお金を受け取った後で実際に解読キーをあきらめる保証はありません...
Shoot The Hostage はウイルス対策業界の公式ポリシーですか?
AVは、マルウェアに関連するファイルを識別および隔離するように設定されています。それはおそらく、ファイルが単なる身代金メモであり、より悪意のあるものではないことを認識できないため、ランサムウェアの他の部分と同様に処理されます。
また、身代金ノートを完全に読み取ることを妨げるものではなく、それにアクセスするためにいくつかの追加手順を実行させるだけです。かなり「人質を撃ちなさい」ではない。
はい、ランサムウェア(またはその他の潜在的なセキュリティ脅威)に関連するすべてのファイルを削除または隔離することは確かに一般的です。
これは、ファイルを復号化する機会を実際に減らしているわけではありません。それらが暗号化され、ランサムウェアがランダムに生成されたキーを使用する場合、あなたはすでに失っています。お金を払った後で実際に復号化キーを取得する可能性はわずかです。
一方、ランサムウェアによって配置されたファイルは、さらなる被害をもたらす可能性があります。たとえば、htmlファイルは、さまざまなエクスプロイトを含むWebサーバーにリダイレクトする可能性があります。したがって、ファイルを検疫に入れることには意味があります。
誤検知が時々発生するため、ファイルをすぐに削除することは、実際に悪い動作になるでしょう。
すべての優れたエンドポイント保護ソフトウェアは、望ましい動作をするように構成可能である必要があります。