组件抵御勒索软件监视企图加密用户文件的进程,这些进程使用的算法已知,证明这些进程构成安全威胁。属于此类进程的有加密木马。此类恶意软件进入用户计算机后会阻止用户访问数据,并向用户进行勒索,是传播最广的恶意软件之一,每天都在给企业公司以及个人用户造成巨大损失。主要传播方式是群发内含恶意文件或链接的邮件。
Doctor Web公司收集的统计信息显示,被木马加密的文件能够成功解密的比例不到10%,因此最有效的手段是避免被感染。目前受害用户数量有所下降,但Doctor Web技术支持每月接到的解密求助仍多达1000次。
启用和停用组件抵御勒索软件的操作
1.打开Dr.Web菜单
选择安全中心。
2.在打开的窗口点击 预防性保护。
3.利用开关
启用或停用组件抵御勒索软件。
图63. 启用/停用组件抵御勒索软件
在这一部分:
设置组件抵御勒索软件运行参数的操作
1.确认Dr.Web的运行模式是管理员模式(软件下方的锁头为“开启”状态
)。如不是,需点击锁头
。
2.点击抵御勒索软件图标。打开组件参数窗口。
3.在下拉列表选择操作,此操作会适用于所有应用程序。
图64. 选择Dr.Web的反应
•允许——允许所有应用对用户文件进行更改。
•阻止——禁止任何应用加密用户文件。此为默认设置。某应用试图加密文件时会出现通知:
图65. 禁止更改用户文件通知示例
•询问——发现发现应用企图加密用户文件时会显示通知,用户可选择禁止应用进行此操作或忽略通知:
图66. 试图更改用户文件通知示例
▫如点击修正,进程将被阻止并移至隔离区。即便从隔离区还原应用,不重启计算机也无法启动。
▫如关闭通知窗口。将不会解除此应用程序造成的威胁。
获取通知
可设置在屏幕显示抵御勒索软件组件运行通知和将通知发送到邮箱。
另参见:
•通知
可创建不需要组件抵御勒索软件检查的应用列表可使用以下控制元素处理表中对象:
•按钮
——将应用添加到扫描排除项。
•按钮
——将所选应用从排除项列表中删除。
图67.抵御勒索保护的扫描排除项
将应用添加到列表的操作
1.点击,在打开的窗口选择所需应用。
2.点击确定。
还可以通过将文件添加到受保护对象列表来保护数据不被更改。