На рынке IT услуг с 1994 года
Русский порт
IT компания нового поколения

Вирусы шифровальщики. Методы борьбы

Внимание, ваши файлы зашифрованы! Заплатите за расшифровку!

Все чаще и чаще в последнее время сталкиваемся с вирусом, шифрующим данные пользователя на компьютере. Этот вид вируса – наиболее «вредный» из всех с каким мне приходилось сталкиваться, работая в Русском Порте.

Принцип действия его таков – задействуя встроенные механизмы операционной системы, он шифрует файлы на компьютере. Чаще всего шифруются файлы на самой машине подвергшейся заражению, но в ряде случаев, дабы пользователь не сразу заметил и не успел предпринять какие-либо шаги по обезвреживанию вируса, он шифрует файлы в папках на сетевых дисках, но не на самом компьютере и на подключаемых съемных устройствах.

Таким образом пользователь подключает флешку или вешний диск, данные там шифруются и до следующего подключения диска к компьютеру он не узнает о том, что на его компьютере завелся вирус.

Одна из неприятных особенностей этого типа вирусов состоит в том, что почти ни один антивирус не может обнаружить их до момента запуска вируса (редкие антивирусы), а зачастую не может даже помешать запуститься вредоносному коду, т.к. с точки зрения антивируса это вовсе не вредоносный код, а обычная операция, выполняемая операционной системой.

В результате заражения как правило шифруются файлы формата .pdf,  .jpg, .xls,.doc, .txt,.png, .ppt и другие расширения.  В результате файл меняет имя на что-то совершенно нечитаемое, само содержимое файла, если попытаться открыть его какой-либо программой так же будет не читаемо. В той же папке где находятся зашифрованные файлы создается текстовый файл с инструкцией по расшифровке, где указаны средства для связи с вымогателями и сумма, которую они хотят получить за расшифровку файлов. В разных случаях эта цена бывает разной последние два случая цена составляла 1500$ и по-моему 50 биткоинов.

 

Раньше, на заре этих вирусов файлы поддавались расшифровке и многие антивирусные лаборатории брались за создание дешифровщиков на основе файлов диагностики, которые надо было собрать с зараженного компьютера, в идеале требовалось для успешной расшифровки найти пару файлов шифрованный-нешифрованный файл. И тогда с большой долей вероятности файлы удавалось спасти. С тех пор вирусописатели поумнели и стали использовать все более и более сложные алгоритмы шифрования и все более сложные и длинные ключи шифрования, в результате сейчас антивирусные лаборатории не берутся восстанавливать файлы, т.к. подбор ключа займет несколько сотен лет.

Каким же образом компьютеры заражаются этими вирусами?

Все очень просто – приходят по электронной почте в качестве вложений в письмо якобы очень важного содержания.

Из практики приходит письмо от адреса rozisk@mvd.ru, мол там-то там-то произошла авария с участие пассажирской газели, есть жертвы, посмотрите фотографии, может быть Вы сможете кого-то опознать. И два файла во вложении – DCIM12334.jpg.exe и второй с похожим названием.

Пользователь открывает файл, его антивирус ругается, что это вирус, но не успевает обезвредить вирус. Результат – все файлы зашифрованы. Восстановлению не подлежат.

Второй случай – письмо что ваш счет по решению суда будет закрыт и файл решения суда в формате xls,  но при наведении курсора мыши на файл вложения высвечивается его настоящее имя ****.xls.rar, внутри архива рар лежит файл с расширением .CMD, который и запускает процедуру шифрования. Пользователь запустил файл, антивирус  успел прибить файл, но не полностью – в итоге оказались зашифрованы файлы на сетевом носителе в одной из папок. Антивирусная лаборатория не взялась за расшифровку. В данном случае файлы не потерялись т.к. было настроено резервное копирование файлов и почти все их удалось восстановить из резервной копии.

Чаще всего вирусы имеют расширение rar, zip, cmd, js, bat, exe, wbs, hta.

Так же встречаются файлы не маскирующиеся под картинки или Excell  файлы, а на самом деле являющиеся Excell файлами, просто внутри этих файлов находится скрипт, который выполняется при открытии документа (Excell имеет в себе встроенный редактор скриптов), результат – зашифрованные файлы.

Наиболее актуальна данная информация для пользователей ОС Windows, но так же встречаются данные вирусы и под MAC OS, и под Android. 

Как защититься от таких вирусов?

Тут все просто. Следуем несложным правилам безопасности:

  1. Не открывать файлы и ссылки, полученные от неизвестных отправителей, что бы там ни было написано. (часто присылают ссылку на файл, например, фотографию человека якобы вытворявшего что-либо на корпоративе или вечере встрече выпускников, ссылка ведет на файл вируса через несколько перенаправлений).
  2. Внимательно смотреть на сам файл прежде чем его открыть (если вы все же решили пренебречь правилом ?1). Смотреть на гео расширение, если не уверены что файл безопасен – лучше обратитесь к вашему IT специалисту – он скорее всего  сможет понять вирус это или нет.
  3. Запретите выполнение скриптов в Excell. Как это сделать см статью про скрипты Excell.
  4. Используйте надежный лицензионный антивирус.
  5. Делайте резервные копии ваших файлов, даже если вирус сядет на ваш компьютер и файлы будут утеряны, вследствие невозможности их расшифровки Вы всегда сможете, после лечения компьютера восстановить большую часть файлов из резервной копии

Можно было бы написать еще много правил, но базовые эти 5.

Эти правила сродни правилам техники безопасности на производстве, просто на производстве, не соблюдая правила ТБ токарь или слесарь лишится в лучшем случае пальца или руки, а иногда и жизни, а в случае с шифровальщиками Вы лишитесь всех Ваших файлов за несколько лет работы, возможно рухнут базы 1С, перестанут корректно работать программы сдачи отчетности и прочие неприятные моменты, в особенности неприятные в преддверии отчетного периода.

Как говорится соблюдайте правила ТБ, они написаны кровью. (потерей файлов)

Павел Капитанов
Посмотреть все статьи

Комментарии:

Нет комментариев

Написать новый комментарий [+]

Имя:

E-mail:

Комментарий:


Код проверки*: