Вирусы шифровальщики — давно известный тип угрозы. Они появились примерно в одно время с смс-банерами, и плотно засели с последними, в топ-рейтинге вирусов-вымогателей.

Модель монетизации вируса-вымогателя проста: он блокирует часть информации или компьютер пользователя целиком, а за возвращение доступа к данным требует отправить смс, электронные деньги или пополнить баланс мобильного номера через терминал.

В случае с вирусом шифрующим файлы, всё очевидно — для расшифровки файлов нужно заплатить определенную сумму. Причем, за последние несколько лет эти вирусы изменили подход к своим жертвам. Если раньше они распространялись по классическим схемам через варезы, порно сайты, подмену выдачи и массовые спам-рассылки, при этом заражая компьютеры рядовых пользователей, то сейчас рассылка писем идет адресно, вручную, с почтовых ящиков на «нормальных» доменах — mail.ru, gmail и т.д. А заражать пытаются юридических лиц, где под шифры попадают базы данных и договора.

Т.е. атаки из количества переросли в качество. На одной из фирм автору довелось столкнуться с шифровальщиком.hardended который пришел в почте с резюме. Заражение произошло сразу же после открытия файла кадровиками, фирма как раз подыскивала персонал и никаких подозрений файл не вызвал. Это был docx с вложенным в него AdobeReader.exe:)

Самое интересное, что никакие эвристические и проактивные сенсоры антивируса Касперского не сработали. Еще день или 2 после заражения, вирус не определялся dr.web-ом и nod32

Так как быть с такими угрозами? Неужели антивирус бесполезен?

Время антивирусов, работающих только по сигнатурам, уходит .

G Data TotalProtection 2015 — лучшая защита от шифровальщиков
со встроенным модулем резервного копирования. Нажимайте и покупайте .

Для всех пострадавших от действий шифровальщика — промокод со скидкой на покупку G DATA — GDTP2015 . Просто введите этот промокод при оформлении заказа.

Вирусы вымогатели в очередной раз доказали несостоятельность антивирусных программ. Смс-баннеры, в свое время беспрепятсвенно «сливались» пользователям в папку temp и просто запускались на весь рабочий стол и перехватывали нажатие всех служебных комбинаций с клавиатуры.

Антивирусник в это время замечательно работал:) Касперский, как и в штатном режиме, выводил свою надпись «Protected by Kaspersky LAB».

Баннер — не хитроумный зловред как руткиты, а простая программа, которая изменяет 2 ключа в реестре и перехватывает ввод с клавиатуры.

Вирусы, которые шифруют файлы, вышли на новый уровень мошенничества. Это снова обычная программа, которая не внедряется в код операционной системы, не подменяет системных файлов, не считывает области оперативной памяти других программ.

Она просто запускается на короткое время, генерирует открытый и закрытый ключи, шифрует файлы и отправляет закрытый ключ злоумышленнику. На компьютере жертвы остается кучка зашифрованных данных и файл с контактами хакеров для дальнейшей оплаты.

Резонно задуматься: «А зачем тогда нужен антивирус, если он способен находить только известные ему вредоносные программы?

Действительно, антивирусная программа необходима — она защитит от всех известных угроз. Однако многие новые виды вредоносного кода ей не по зубам. Чтобы защититься от вирусов шифровальщиков, нужно принимать меры, одного антивируса здесь недостаточно. И скажу сразу: «Если у вас уже зашифрованы файлы, вы попали. Легко их вернуть не получится».

:

Не забывайте про антивирус

Резервное копирование важных информационных систем и данных каждому сервису — свой выделенный сервер.

Резервное копирование важных данных .

:

Что делать с самим вирусом ?

Самостоятельные действия с зашифрованными файлами

Опыт общения с техподдержкой антивируса, чего ждать ?

Обращение в полицию

Позаботиться о мерах предосторожности в дальнейшем (см предыдущий раздел).

Если ничего не помогло, может стоить заплатить ?

Если вы еще не стали жертвой вируса-шифровальщика:

*Наличие антивирусного ПО на компьютере с последними обновлениями.

Скажем прямо: «Антивирусы хреново справляются с новыми видами шифровальщиков, зато отлично борются с известными угрозами». Так что наличие антивируса на рабочей станции необходимо. Если жертвы уже есть, вы хотя бы избежите эпидемии. Какой антивирус выбрать — решать вам.

По опыту — Касперский «ест» больше памяти и процессорного времени, а для ноутбучных жестких дисков с оборотами 5200 — это катастрофа (нередко с задержками чтения сектора в 500 мс..) Нод32- быстрый, но мало что ловит. Можете купить антивирус GDATA — оптимальный вариант.

*Резервное копирование важных информационных систем и данных. Каждому сервису — свой сервер.

По сему, очень важно, вынести все сервисы (1С, налогоплательщик, специфические АРМы) и любой софт от которого зависит жизнь компании, на отдельный сервер, еще лучше — терминальный. А еще лучше каждый сервис разместить на свой сервер (физический или виртуальный — решайте сами).

Не храните базу 1с в общем доступе, в сети. Так делают многие, но это неправильно.

Если работа с 1с организована по сети с общим доступом на чтение/запись для всех сотрудников — выносите 1с на терминальный сервер, пусть пользователи работают с ним через RDP.

Если пользователей мало, а денег на серверную ОС не хватает — в качестве терминального сервера можно использовать обычный Windows XP (при условии снятия ограничений на количество одновременных подключений, т.е. нужно патчить). Хотя, с таким же успехом вы можете установить нелицензионую версию windows server. Благо, Microsoft позволяет пользоваться, а купить и активировать потом:)

Работа пользователей с 1с через RDP, с одной стороны, уменьшит нагрузку на сеть и ускорит работу 1с, с другой, предотвратит заражение баз данных.

Хранить файлы БД в сети с общим доступом — небезопасно, а если других перспектив нет — позаботьтесь о резервном копировании (см. след раздел.)

*Резервное копирование важных данных.

Если у вас еще не делаются бэкапы (резервное копирование) — вы балбес, уж простите. Ну или передавайте привет вашему системному администратору. Бэкапы спасают не только от вирусов, но и от нерадивых сотрудников, хакеров, «посыпавшихся» жестких дисков в конце концов.

Как и что бэкапить — можно прочитать в отдельной статье про . В антивирусе GDATA, например, есть модуль резервного копирования в двух версиях — total protection и endpoint security для организаций (купить GDATA total protection можно ).

Если вы обнаружили зашифрованные файлы у себя на компьютере:

*Что делать с самим вирусом?

Выключайте ваш компьютер и обращайтесь к специалистам компьютерных служб + в поддержку вашего антивируса. Если вам повезет, то тело вируса еще не удалилось и его можно использовать для расшифровки файлов. Если не повезло (как это часто бывает) — вирус после шифрования данных отправляет закрытый ключ злоумышленникам и удаляется все свои следы. Делается это для того, чтобы не было возможности определить каким образом и по какому алгоритму зашифрованы.

Если у вас осталось письмо с зараженным файлом — не удаляйте. Отправьте в антивирусную лабораторию популярных продуктов. И не открывайте его повторно.

*Самостоятельные действия с зашифрованными файлами

Что можно делать:

Обратиться в поддержку антивируса, получить инструкции и, возможно, дешифровщик для вашего вируса.

Написать заявление в полицию.

Поискать в интернете опыт других пользователей, которые уже столкнулись с этой бедой.

Принимать меры по расшифровке файлов, предварительно скопировав их в отдельную папку.

Если у вас Windows 7 Или 8 — можно восстановить предыдущие версии файлов (правой кнопкой на папке с файлами). Опять же, не забудьте их предварительно скопировать

Чего делать нельзя:

Переустанавливать Windows

Удалять зашифрованные файлы, переименовывать их и менять расширение. Имя файла очень важно при расшифровке в будущем

*Опыт общения с техподдержкой антивируса, чего ждать?

Когда один из наших клиентов поймал крипто-вирус.hardended, которого в антивирусных базах еще не было, были отправлены запросы в dr.web и Kaspersky.

В dr.web техподдержка нам понравилась, обратная связь появилась сразу и даже давали советы. Причем после нескольких дней сказали честно, что сделать ничего не смогут и сбросили подробную инструкцию о том как послать запрос через компетентные органы.

В Касперском, наоборот, сначала ответил бот, потом бот отрапортовал, что мою проблему решит установка антивируса с последними базами (напомню, проблема — это сотни зашифрованных файлов). Через неделю статус моего запроса изменился на «отправлено в антивирусную лабораторию», а когда автор еще через пару дней скромно поинтересовался о судьбе запроса, представители Касперского ответили, что ответ из лаборатории еще не получим, мол, ждем.

Еще через некоторое время пришло сообщение о том, что мой запрос закрыт с предложением оценить качество сервиса (это все при том же ожидании ответа от лаборатории).. «Да пошли вы!» — подумал автор.

NOD32, кстати, начал ловить данный вирус на 3й день после его появления.

Принцип такой — вы сами по себе с вашими зашифрованными файлами. Лаборатории крупных антивирусных брендов помогут вам, только в случае наличия у вас ключа на соответствующий антивирусный продукт и если в крипто-вирусе есть уязвимость. Если же злоумышленники зашифровали файл сразу несколькими алгоритмами и не один раз, вам, скорее всего придется платить.

Выбор антивируса за вами, не стоит им пренебрегать.

*Обращение в полицию

Если вы стали жертвой крипто-вируса, и вам нанесен какой-либо ущерб, даже в виде зашифрованной личной информации — можно обратиться в полицию. Инструкция по заявлению и т.д. есть .

*Если ничего не помогло, может стоить заплатить?

Учитывая относительное бездействие антивирусов по отношению к шифровальщикам, иногда легче заплатить злоумышленникам. За hardended файлы, например, авторы вируса просят в районе 10 тыс. руб.

За прочие угрозы (gpcode и т.д.) ценник может колебаться от 2 тыс руб. Чаще всего такая сумма оказывается ниже тех убытков, которые может нанести отсутствие данных и ниже той суммы, которую у вас могут запросить умельцы за расшифровку файлов вручную.

Резюмируя — лучшая защита от вирусов-шифровальщиков, это резервное копирование важных данных с серверов и рабочих станций пользователей.

Как поступать — решать вам. Удачи.

Пользователи прочитавшие эту запись обычно читают:

Вконтакте

Трояны-шифровальщики - особый тип малвари, создаваемой для вымогательства (ransomware). Их массовый забег впервые был зарегистрирован в конце 2006 года. За прошедшие десять лет ситуация почти не изменилась. Сегодня всё так же новые образцы троянов продолжают шифровать файлы под носом у антивирусов и требовать плату за расшифровку. Кто в этом виноват и, главное, что делать?

WARNING

Если троян зашифровал файлы, сразу выключи компьютер! Затем загрузись с флешки и постарайся собрать максимум данных. В идеале нужно сделать посекторный образ диска и уже после этого спокойно анализировать ситуацию.

Всадники шифрокалипсиса

Сегодня у большинства пользователей стоит какой-нибудь популярный антивирус или хотя бы MSRT – встроенное в Windows «средство для удаления вредоносных программ». Однако ransomware спокойно запускаются, шифруют файлы и оставляют сообщение с требованием выкупа. Обычно ключ для расшифровки обещают прислать после оплаты каким-нибудь полуанонимным способом. Например, зайти через Tor на страницу с дальнейшими инструкциями и перечислить выкуп на одноразовый номер кошелька.

Антивирусы реагируют на это так редко, что их разработчиков даже стали обвинять в сговоре. Это не первый случай, когда вирусологов подозревают в преступных целях, но технически здесь все объясняется проще. Дело в том, что троян-шифровальщик не выполняет никаких действий, однозначно свидетельствующих о его вредоносной активности. Сам троян-шифровальщик - это простейшая программа с набором библиотек общего назначения. Иногда это просто скрипт или батник, запускающий другие портейбл-утилиты. Давай разберем общий алгоритм действий шифровальщиков подробнее.

Обычно пользователь сам скачивает и запускает ransomware. Трояна подсовывают жертве под видом обновления, нужной утилиты, документа с фишинговой ссылкой и другими давно известными методами социальной инженерии. Против человеческой наивности антивирусы бессильны.

Попавший в систему троян-шифровальщик может быть опознан по сигнатуре только в том случае, если он уже есть в базах. Новые образцы в них заведомо отсутствуют, а модификации старых троянов дополнительно проверяют на детекты перед распространением.

После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создает копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено - они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешенное поведение.

В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведет себя скучно. Он просто создает копии документов и баз данных, шифрует их, а затем удаляет без возможности восстановления оригинальные файлы пользователя и ключ шифрования, оставляя текст с требованием выкупа. Во всяком случае, авторам троянов хотелось бы видеть именно такое идеальное поведение. В действительности же эта цепочка процессов может дать сбой на любом этапе, благодаря чему становятся возможными альтернативные методы расшифровки.

Превентивные меры

Обычные антивирусы не в силах бороться с новыми шифровальщиками, сигнатуры которых пока отсутствуют в их базах. Они могут лишь распознавать наиболее грубые модификации на уровне эвристики. Комплексные решения (вроде Dr.Web Security Space и Kaspersky Internet Security / Total Security) уже умеют устранять их деструктивные последствия. Они заранее создают копии пользовательских файлов, скрывают их и блокируют доступ к ним сторонних программ. В случае если троян доберется до фоток и документов из стандартных каталогов, всегда можно будет восстановить их из копий, а зашифрованные файлы просто удалить.

Поскольку антивирусный комплекс загружает свой драйвер и модуль резидентной защиты еще до входа пользователя, это довольно надежный метод хранения резервных копий. Однако их можно делать и сторонними утилитами. Главное, чтобы они размещались на внешнем носителе, который отключается сразу после создания бэкапа. Иначе троян обнаружит резервные копии на постоянно подключенном винчестере и также зашифрует их или повредит.

Из универсальных программ для бэкапа функцией дополнительной защиты от действий вредоносных программ обладает бесплатная утилита Veeam Endpoint Backup Free . Она умеет автоматически отключать USB-диски сразу после завершения создания резервных копий и сохранять несколько версий файлов.

К дополнительным особенностям программы относится умение бэкапить системные разделы без их отключения (теневая копия), практически мгновенное восстановление отдельных файлов и каталогов (их можно открывать прямо из образа по ссылкам) и другие интересные опции. Также она умеет создавать загрузочный диск со своей средой восстановления на тот случай, если троян заблокировал нормальную работу ОС.

Кроме универсальных утилит для резервного копирования с дополнительными функциями защиты от шифровальщиков, есть целый ряд специализированных программ превентивной защиты. Одни из них бесплатно доступны только на стадии бета-тестирования, а затем становятся новым модулем платного антивируса (например, так было с Malwarebytes Anti-Ransomware). Другие пока существуют именно как отдельные бесплатные решения.

GridinSoft Anti-Ransomware

Эта украинская утилита для предотвращения заражения программами-вымогателями как раз находится в стадии бета-тестирования. Разработчики описывают ее как универсальное средство, препятствующее любым попыткам выполнить несанкционированное шифрование файлов. Они обещают эффективно блокировать атаки ransomware и предотвращать вызываемую ими потерю данных. На практике утилита оказалась бесполезной. Первый же троян-шифровальщик из старой подборки преспокойно запустился, сделал свое грязное дело и повесил на рабочий стол требования о выкупе.

CryptoPrevent Malware Prevention

Эта утилита оставила самое неоднозначное впечатление. CPMP действует проактивно на основе большого набора групповых политик и множества поведенческих фильтров, контролируя действия программ и состояние пользовательских каталогов. В ней доступны несколько режимов защиты, включая уровень «Максимальный», который работает по принципу «включил и забыл».

Интерфейс программы обеспечивает быстрый доступ к десяткам настроек, но после изменения большинства из них требуется перезагрузка. Само приложение CPMP не должно работать все время. Его требуется запускать только для мониторинга и обслуживания. Например, для проверки состояния, чтения логов, обновления или изменения параметров.

При этом графическая надстройка очень долго запускается и в ней нет оповещений в реальном времени. Также нет и привычного карантина. В режиме «Максимальная защита» все файлы, опознанные как опасные, просто удаляются без вопросов.

Для проверки мы попробовали поставить в CPMP максимальный уровень защиты и последовательно выпустить на волю семь разных троянов-вымогателей. Три из них были удалены CPMP сразу при попытке запуска. Никаких сообщений при этом не отображалось. Четыре других благополучно стартовали, однако до финиша не добрались. CPMP не давал им создать новые файлы и зашифровать пользовательские, но и не удалял. Загрузка процессора все время была 100%, диск стрекотал, и делать что-либо в тестовой системе было невозможно.

С трудом нам удалось добраться до клавиши Kill Apps Now в окне CPMP. Через секунду все программы, запущенные от имени пользователя (включая Process Explorer), были принудительно выгружены. В оперативной памяти остались только системные процессы.

За время боя некоторые зловреды обосновались на рабочем столе, а троян Satan.f добавил в автозапуск вывод текстового требования о выкупе. Шифрования файлов при этом не произошло, но и полного удаления малвари тоже.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Последнее время весь Интернет будоражат вирусные эпидемии. Вымогатель WannaCry, шифровальщик Petya и прочая виртуальная пакость атакует компьютеры и ноутбуки, мешая нормальной их работе и заражая хранящиеся на жестком диске данные. Делается это чтобы заставить пользователя заплатить деньги создателям вредоносной программы. Я хочу дать несколько советов, которые помогут максимально защитить компьютер от вирусов и не дать им поразить важные данные.

Их можно использовать как правила, соблюдение которых является залогом информационной безопасности вашего ПК.

1. Обязательно пользуйтесь антивирусом

На любом компьютере, у которого установлена операционная система Windows, имеющем доступ в сеть Интернет должна стоять антивирусная программа. Это даже не обсуждается, это — аксиома! В противном случае Вы можете практически в первый же день нахватать столько заразы, что спасёт только полная переустановка ОС с форматированием жесткого диска. Сразу же встаёт вопрос — а какой антивирус лучше установить? По своему опыту скажу, что лучше чем Kaspersky Internet Security или DrWeb Security Space нет пока ничего! Лично я сам активно используют обе программы дома и на работе и могу с уверенностью заявить, что они без проблем выявляют 99% всей попадающейся заразы, работают быстро и без нареканий, так что денег своих стоят однозначно.

Если Вы не готовы раскошелится на хорошую защиту компьютера от вирусов, то можно воспользоваться бесплатными антивирусными приложениями. Тем более, что их выбор очень велик. Я у себя уже выкладывал — можете воспользоваться одним из предложенных там вариантов.

Примечание: Для себя составил небольшой анти-рейтинг антивирусного ПО, которое я не использую сам и не советую другим. Вот они: Avast, Eset NOD32, F-Secure, Norton Antivirus, Microsoft Security Essentials. Поверьте, это не пустые слова и программы попали в этот список не случайно! Выводы сделаны на основе личного опыта использования, а так же опыта моих друзей и коллег.

2. Своевременно обновляйте операционную систему и программы

Старайтесь не пользоваться устаревшим программным обеспечением. Это касается не только обязательного регулярного обновления баз антивируса (хотя даже про это пользователи очень часто почему то забывают напрочь)! Не пренебрегайте хотя бы раз в месяц выполнять установку обновлений Windows. Тем более, что делает это ОС самостоятельно, достаточно лишь запустить поиск через Центр обновлений.

Про обновление других программ тоже не надо забывать, ведь на устаревших версиях всплывают уязвимости, которые сразу же стараются использовать злоумышленники, пытаясь заразить ваше устройство. Особенно это касается веб-браузеров и других приложений, через которые Вы работает в Интернете.

3. Не работайте под Администратором

Главная ошибка большинства юзеров, из-за которой способна рухнуть даже самая совершенная защита от вирусов — это работа в системе с максимальными полномочиями, то есть с правами Администратора. Создайте учётную запись обычного пользователя с ограниченными правами и работайте под ней. Старайтесь не давать полномочия Администратора и другим пользователям — это значительная брешь в безопасности вашего компьютера. Как показывает практика, большинство вредоносных приложений не смогли бы выполнить свою деструктивную задачу, если бы в момент попадания в систему пользователь не имел бы полномочий суперпользователя. Вредоносам просто не хватило бы прав на выполнение действий.

4. Пользуйтесь средствами восстановления системы

В каждой версии операционной системы от Microsoft, начиная с уже теперь древней Windows XP и заканчивая модной «Десяткой», есть встроенный инструмент создания и использования точек восстановления, с помощью которых можно сделать к предыдущему работоспособному состоянию.
Например, если Вы поймали вирус, то вы сможете вернуться к последней точке восстановления, когда ОС была ещё не поражена.

Стоит отметить, что если Вы поймали вымогателя-шифровальщика, то в некоторых случая можно восстановить какую-то часть зашифрованных файлов за счёт теневых копий Windows.
Обязательно проверьте включена ли эта функция в системе. Для этого кликаем правой кнопкой по значку компьютера и в появившемся меню выбираем пункт «Свойства»:

В появившемся окне в меню справа кликните на пункт «Дополнительные параметры чтобы появилось ещё одно окно Свойств системы:

На вкладке «Защита системы» надо найти и нажать кнопку «Настроить». Откроется ещё одно окошко. Ставим точку в чекбоксе «Включить защиту». Ниже нужно ещё будет сдвинуть ползунок использования диска хотя бы до 5-10%, чтобы ОС могла сохранить несколько точек восстановления. Применяем внесённые изменения.

5. Скрытые файлы и расширения

В Виндовс по умолчанию не показываются расширения файлов, а так же не видны скрытые файлы и папки. Это очень часто используется злоумышленниками для внедрения вирусов на ПК. Исполняемый файл с расширением «.exe» или скрипт «.vbs» обычно маскируют под документ Word или таблицу Excel и пытаются подсунуть ничего не подозревающему пользователю. Именно по этому принципу работают распространённые в последнее время шифровальшики.

Именно поэтому я рекомендую зайти в параметры папок и на вкладке «Вид» снять галочку «Скрывать расширения для зарегистрированных типов файлов», а ниже — поставить чекбокс «Показывать скрытые файлы, папки и диски». Нажимаем на кнопку «ОК». Это позволить Вам защитить свой компьютер от скрытых и замаскированных вирусов, а так же оперативно отслеживать вредоносные вложения в письмах, на флешках и т.п.

6. Отключите удалённое управление

В ОС Windows по умолчанию включена функция удалённого управление через протокол RDP — Remote Desktop Protocol. Это не есть хорошо, а потому данную опцию я бы порекомендовал отключить, если Вы ею не пользуетесь. Для этого открываем свойства системы и переходим в «Дополнительные параметры»:

Заходим на вкладку «Удалённый доступ» и ставим чекбокс «Не разрешать удалённые подключения к этому компьютеру». Так же надо снять галочку «Разрешать подключения удалённого помощника к этому компьютеру». Применяем настройки нажатием на кнопку «ОК».

7. Соблюдайте правила информационной безопасности

Не стоит забывать и про основы безопасной работы на ПК и в Интернете. Вот несколько правил, которые Вы должны обязательно выполнять сами и объяснить их важность своим родным, близким и коллегам по работе.

— Используйте сложные и длинные (не короче 8 символов) пароли;
— По возможности используйте двухфакторную авторизацию;
— Не сохраняйте пароли в памяти браузера;
— Не нужно хранить пароли в текстовых файлах, да и вообще не стоит держать их на компьютере;
— Выходите из учётной записи после завершения работы (если ПК пользуются несколько человек);
— Не открывайте вложения в письмах от неизвестных людей;
— Не запускайте файлы с расширением.exe,.bat,.pdf,.vbs из писем даже от известных Вам людей;
— Не используйте свой личный или рабочий E-Mail для регистрации на сайтах и в соцсетях;

Только обязательное соблюдение перечисленных основ цифровой безопасности позволит Вам держать защиту своего компьютера от вирусов-вымогателей и шифровальщиков на достаточно высоком уровне!

P.S.: Напоследок хочу сказать, что значительно проще заранее принять меры предосторожности и не допустить вирусного заражения, нежели потом разгребать его последствия в надежде восстановить хоть какую-нибудь информацию!

Дата публикации: 06.03.2016

В последнее время шифровальщики стали самым "попсовым" вирусом. Такой вирус шифрует все ваши файлы и требует выкуп за них. Вся прелесть вируса в его простоте. Хороший шифровальщик не "палится" антивирусами, а зашифрованные файлы практически нельзя расшифровать. Но, как и от любого вируса, вы можете защитить себя от заражения таким зловредом.

Как он работает

Я понимаю, что это скучно, но без знания теории не обойтись:)
Стандартный вирус, шифрующий ваши данные, работает по следующей схеме. Вы получаете сомнительный файл по электронной почте. Нарушая все законы информационной самозащиты, вы запускаете этот файл. Вирус отправляет запрос на сервер злоумышленника. Происходит генерация уникального ключа, с помощью которого все файлы на вашем компьютере шифруются. Ключ отсылается на сервер и хранится там.

Вирус показывает вам окошко (либо меняет рабочий стол) с предупреждением и требованием выкупа. За расшифровку файлов с вас потребуют определенное количество биткоинов (криптовалюта, использующаяся в интернете). При этом зашифрованные файлы невозможно открыть, сохранить, отредактировать, ибо они наглухо зашифрованы стойким алгоритмом.

При этом есть некоторые нюансы. Некоторые шифровальщики вообще выбрасывают ключ, а потому, заплатив выкуп, вы все равно не расшифруете ваши фото, видео и другие файлы.
Большинство шифровальщиков начинают работать после того, как получат ответ от сервера злоумышленника. А потому есть мизерный шанс, что успев вырубить интернет, вы прервете работу вируса (но провернуть это на практике нереально).

Есть и кривые шифровальщики, которые хранят ключ на компьютере жертвы, либо используют один ключ для всех. Для расшифровки в таких случаях существуют специальные утилиты и сервисы от антивирусных компаний.

Как защититься от шифровальщика

1) Установить антивирус

Если вы ещё не установили антивирус, то обязательно это сделайте. Даже бесплатные антивирусы типа Avast или Avira защитят вас в 80% случаев.
Так как исходный код самых популярных шифровальщиков уже давно известен антивирусным лабораториям, а потому они могут вычислить их и заблокировать их работу.

2) Используйте последнюю версию браузера

Вирусы часто используют уязвимости в браузере для заражения вашего компьютера. А потому важно постоянно обновлять браузер, ведь обновления исправляют критические и 0-day уязвимости в браузерах. Естественно, обновления выходят только для популярных браузеров. А потому использование экзотического браузера (типа Arora или, не дай бог, TheWorld) подвергает вас сильнейшему риску.

3) Не запускайте подозрительные файлы

В 90% случаев шифровальщики отправляются жертвам в виде спама по электронной почте. Поэтому не открывайте письма от незнакомых адресатов и с подозрительным содержанием. Обычно шифровальщики кочуют по интернету в виде псевдо-pdf. Т.е..pdf.exe. Естественно, что последнее.exe означает исполняемый файл под которым прячется вирус. Стоит его запустить, и можете забыть о драгоценных фотографиях из отпуска и документах по работе.

4) Корпоративный риск

Если вы работает в крупной компании, то будьте осторожны. Вы можете стать жертвой нацеленной атаки. В таких случаях злоумышленники заранее выясняют всю важную информацию о компании, её сотрудниках. В итоге, злоумышленники проведут замаскированную атаку. Например, вы можете получить отчет по работе с корпоративного (заранее взломанного) e-mail, который будет выглядеть как обычная корреспонденция, однако заразит вас шифровальщиком.

Поэтому будьте внимательны, регулярно обновляйте антивирус и браузер. А также не запускайте файлы с сомнительным расширением.

5) Регулярно сохраняйте важную информацию (backup)

Все важные файлы должны иметь резервную копию. Это защитит вас не только от шифровальщиков, но и от простейшего форс-мажора (отключили электричество, сломался ноутбук). Делать резервные копии можно по-разному. Можно сохранять всю важную информацию на usb-флешку. Можно сохранить все в "облаке" или на популярном файлохранилище (Dropbox и т.д.). А можно делать запароленные архивы и отправлять их самому себе по электронной почте.

Что не стоит делать

1) Обращаться к компьютерщикам

Вам могут пообещать избавиться от вируса и вернуть доступ к файлам. Но вряд ли кто-то на это способен. Нужно понимать, что алгоритмы шифрования были изначально придуманы так, чтобы их никто не расшифровал без ключа. Поэтому идти в «компьютерную помощь» всё равно что выкинуть деньги на ветер.

2) Надеяться только на антивирус

Злоумышленники используют отработанные схемы. А потому антивирусы не всегда выявляют вирус-шифровальщик. Это связано во многом потому, что чисто технически шифровальщик не является вирусом, т. к. не выдает своим поведением опасность, а потому эвристически анализатор антивирусов не выявляет работу такого вируса.

3) Быть наивным пользователем ОС на базе Линукс

Можно часто услышать, что под Линукс нет вирусов и система эта абсолютно безопасна и неуязвима. Только вот дистрибутивы на Линукс не защищают от вирусов, а просто не позволяют «выстрелить себе в ногу», т.е. не дают пользователю доступ к изменению системных файлов и настроек. Поэтому шифровальщики под Линукс могут запуститься только в случае, если получат root-доступ. Я надеюсь, не нужно говорить пользователям Линукс о том, что запускать сомнительные приложения из под рута — невероятная тупость:)

Выводы

Как видно от современной пандемии шифрования спасают всё те же старые добрые методы самозащиты и контроля. Не нужны специальные знания, не нужны специальные программы. Для безопасной работы вам достаточно лишь антивируса, обновлённого браузера и головы на плечах.

Последние советы раздела «Компьютеры & Интернет»:

Июль 6, 2018 12:35 | Bitdefender Россия |

Этот тип вирусов по праву считается самым опасным для личной информации, хранящейся на компьютере. Эти вредоносные программы распространяются в большинстве случаев без участия пользователей и ориентированы не на разрушение файловой системы, а на шифрование файлов владельца компьютера. Кибермошенники обычно обещают выслать ключи дешифровки в обмен на денежный выкуп, но, как показывает практика, надеяться на это нет смысла.

За последние два года безопасность корпоративных и личных компьютеров несколько раз подвергалась огромной опасности из-за резко активизации. За этот период три разных шифровальщика-вымогателя уничтожали данные на компьютерах. Это вирусы Petya, BadRabbit и WannaCry 2.0. Ущерб от их деятельности сложно переоценить: счёт идёт на миллиарды долларов, а число пострадавших компьютеров и компаний до сих пор не установлено.

Помимо обновлений для операционных систем и программ рекомендуется установить антивирус. При желании можно установить бесплатный антивирус. Но как его выбрать?

Лучшим по рейтингам, составленным Av-Test, AV-Comparatives и Роскачеством, антивирусом для дома/бизнеса является Bitdefeder. Лучшими по рейтингам стали не только его платные версии, но бесплатный вариант антивируса. Во время активизации шифровальщиков ни один из пользователей антивируса не пострадал: ни компании, ни физические лица. Как же Bidefender может защитить компьютер от вирусов-шифровальщиков?

Компания разработала специальное бесплатное решение Anti-Ransomware. Оно рассчитано на защиту от вирусов-шифровальщиков, в том числе от WannaCry, NonPetya, BadRabbit и других. Для этого программа сохраняет файлы на устройстве специальным способом, не позволяющим вредоносным-программам их шифровать.

Оптимальной защитой для дома станет антивирус . Программа позволяет создавать безопасные папки для важных файлов. Папки получают усиленную защиту от шифровальщиков, а при попытке атаки на них пользователь получает уведомление об угрозе. Ещё одной эффективной мерой является встроенный советник по безопасности Wi-Fi. Он будет защищать банковские операции, покупки и использование приложений или браузеров. При возникновении угрозы советник не позволит шифровальщику и кибермошеннику получить доступ к устройству.

Также компания активно развивает антивирусы для бизнеса. Наиболее полный функционал представлен в программе . Антивирус позволяет блокировать доступ к приложениям или веб-страницам, использует для защиты firewall, поисковый советник и веб-фильтрацию для защиты от взломов. Настройка работы антивируса осуществляется с помощью облачной консоли. Антивирус в 2017 году был отмечен лабораторией AV-Test как решение, которое потребляем меньше всего ресурсов виртальных машин.

Интернет