1. Nie otwieraj załączników z wiadomości od nieznanych nadawców

W większości przypadków oprogramowanie żądające okupu, które szyfruje Twoje pliki, jest rozsyłane w wiadomościach elektronicznych pod postacią załączników. Celem cyberprzestępców jest nakłonienie Cię do otwarcia załącznika. Dlatego też tytuł szkodliwych wiadomości e-mail brzmi tak, jakby zawierały one ważne informacje, na przykład nakaz sądowy, informację dotyczącą oskarżenia, informację o spóźnieniu z uregulowaniem opłaty itd. 

Nie tylko pliki .exe mogą być szkodliwe. Eksperci z Kaspersky Lab potwierdzili przypadki szkodliwych plików .doc i .pdf.

2. Regularnie aktualizuj swój system operacyjny, oprogramowanie antywirusowe i pozostałe aplikacje

Regularnie aktualizuj swój program antywirusowy. Podczas aktualizacji antywirusowych baz danych moduły produktu także zostają zaktualizowane, a istniejące funkcje zostają ulepszone oraz zostają dodane nowe funkcje. Oprócz tego, instaluj aktualizacje systemu operacyjnego, a także innych używanych aplikacji.

3. Regularnie twórz kopie zapasowe plików w chmurze lub na nośniku zewnętrznym

Przechowuj kopie zapasowe plików w innym miejscu niż na komputerze, na przykład na nośniku zewnętrznym lub w repozytorium w chmurze. Dodatkowo powinieneś je zaszyfrować. W ten sposób Twoje pliki będę nie tylko bezpieczne w przypadku infekcji ransomware, ale także wtedy, gdy sam komputer ulegnie awarii.

4. Skonfiguruj ustawienia dostępu do współdzielonych folderów sieciowych

Jeśli korzystasz ze współdzielonych folderów sieciowych, zalecane jest utworzenie oddzielnego folderu sieciowego dla każdego użytkownika. Tylko właściciel folderu powinien mieć uprawnienia zapisu. To zapobiegnie zaszyfrowaniu wszystkich folderów sieciowych, gdy jeden z komputerów zostanie zainfekowany.

Od systemu operacyjnego Vista, Microsoft Windows wprowadził narzędzie Ochrona systemu na wszystkich dyskach, które tworzy kopie zapasowe plików i folderów podczas archiwizacji lub tworzenia punktu przywracania systemu. Domyślnie, jest ono włączone tylko dla partycji systemowej. Zalecamy włączenie Ochrony systemu dla wszystkich partycji.

W celu zmniejszenia ryzyka zainfekowania danych oprogramowaniem żądającym okupu, skonfiguruj ustawienia następujących produktów:

• Kaspersky Internet Security 2018
• Kaspersky Total Security 2018
• Kaspersky Anti-Virus 2018
• Kaspersky Endpoint Security 10 for Windows.

1. Wyłącz automatyczne usuwanie wykrytych szkodliwych plików

Jeśli na komputerze jest zainstalowany program antywirusowy, wykonaj następujące czynności:

1. Wyłącz automatyczne usuwanie wykrytych szkodliwych plików.
2. Wybierz akcję Przenieś do Kwarantanny. W tym celu zapoznaj się z instrukcjami dla danego produktu Kaspersky Lab:
3. • Kaspersky Internet Security 2018/2017/2016/2015 
     
   • Kaspersky Anti-Virus 2018/2017/2016/2015 
     
   • Kaspersky Total Security 2018/2017/2016/2015 
   • Kaspersky Endpoint Security 10 for Windows
   • Kaspersky Anti-Virus 6.0 R2 for Windows Workstations

2. Usuń wirusa

Jeśli jeszcze nie posiadasz zainstalowanego produktu antywirusowego, uruchom pełne skanowanie komputera przy użyciu bezpłatnego narzędzia Kaspersky Free lub Kaspersky Rescue Disk. 

3. Wyślij podejrzane pliki do analizy

Jeśli znalazłeś podejrzany plik, który mógł zainfekować komputer lub zaszyfrować pliki, wyślij zgłoszenie do laboratorium antywirusowego:

• Z poziomu Kaspersky VirusDesk
• Z poziomu My Kaspersky Do zgłoszenia dołącz podejrzany plik i w sekcji z opisem wpisz „prawdopodobnie ransomware”.
• Na adres nowywirus@kaspersky.pl. Umieść plik w archiwum z hasłem „infected”, korzystając z WinRAR. Podczas określania hasła, zaznacz pole Zaszyfruj nazwy plików.

4. Utwórz kopie zaszyfrowanych plików

5. Spróbuj odzyskać pliki

Możesz spróbować przywrócić pliki z poprzednich wersji. Postępuj zgodnie z instrukcjami na stronie Microsoftu. 

6. Użyj narzędzia do automatycznego odszyfrowania plików:

• RectorDecryptor
• XoristDecryptor
• RakhniDecryptor

• APPDATA 

Windows NT/2000/XP:  

Dysk:\Documents and Settings\%UserName%\Application Data\
%USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8:

Dysk:\Users\%UserName%\AppData\Roaming\
%USERPROFILE%\AppData\Local 

• TEMP (katalog tymczasowy) 

%TEMP%\???????.tmp\      (na przykład: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\   (na przykład: temp\7ze5418.tmp\mp)
%TEMP%\???????\          (na przykład: temp\pcrdd27)
%WINDIR%\Temp  
 

• Folder plików tymczasowych Internet Explorer 

Windows NT/2000/XP: %USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista/7/8:

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\ 
..\temporary internet files\content.ie5\ 
..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)       

• Desktop 

%UserProfile%\Desktop\

• Kosz 

Dysk:\Recycler\             
Dysk:\$Recycle.Bin\  
Dysk:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000   (? -- 0-9)   
 

• Katalog systemowy

%WinDir%                                                      
%SystemRoot%\system32\

• Folder dokumentów użytkownika 

%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads

• Folder przeglądarki z pobranymi obiektami 

%USERPROFILE%\Downloads  

• Folder uruchamiania 

%USERPROFILE%\Start Menu\Programs\Startup