Головна
Поломки
Вірусна атака шифрувальник. Вірус-шифрувальник – що це, чим небезпечний. Можливі способи ідентифікації та усунення загрози вручну

Вірусна атака шифрувальник. Вірус-шифрувальник – що це, чим небезпечний. Можливі способи ідентифікації та усунення загрози вручну

Заходи безпеки

Регулятор рекомендує банкам переконатися, що у них оновлено загальносистемне та спеціальне програмне забезпечення, встановлені та оновлені антивіруси. FinCert також рекомендує сегментувати комп'ютерні мережіфінансових установ та перевірити налаштування міжмережевих екранів – вони мають блокувати з'єднання з нерегламентованими мережевими адресами. Також рекомендується провести резервне копіюваннякритичних інформаційних системта баз даних.

Крім того, регулятор радить проінструктувати співробітників банків, щоб вони звертали увагу на підозрілі поштові повідомлення та не відвідували сумнівних сайтів.

Представник ЦБ повідомив «Відомостям», що з березня до серпня 2017 року ЦБ вже шість разів попереджав банки про шифрувальників.

При цьому про небезпеку вірусу-шифрувальника WannaCry банки було попереджено ще у квітні. 12 травня, коли стало відомо про спроби хакерів атакувати низку організацій по всьому світу за допомогою вірусу WannaCry, FinCERT на банки, після чого повторив своє попередження Назви постраждалих банків у тому повідомленні не розкривалися. Відомо, що вірус намагався, однак, за повідомленням фінансової організації, проникнення хакерів у їхні системи не відбулося.

Від вірусу-шифрувальника Petya російський банківський сектор. "В результаті атак зафіксовані поодинокі випадки зараження", - писав FinCERT. Серед відомих банків, що постраждали від атаки, - "Сегодня". Банк повідомив, що дані про клієнтів та операції скомпроментовані не були.

Представники банків, опитані «Відомостями», зазначають, що рекомендації ЦП є регулярними, і у фінансових установах вони виконуються.

Потенційна кібератака

Аналітик центру моніторингу кіберзагроз Solar JSOC Олексій Павлов розповів газеті, що протягом останніх кількох днів організації різних галузей, у тому числі і банки, отримували попередження про можливу активність шифрувальників, хоча даних про підготовку нової атаки хакера у центру моніторингу немає.

Даних про нову атаку немає і в «Лабораторії Касперського», каже керівник групи дослідження та аналізу шахрайства Денис Горчаков. Він припускає, що лист FinCERT пов'язаний із попередженням про загрозу в енергетичному секторі: напередодні, 9 серпня, про те, що найближчим часом може бути проведена нова кібератака, попередили .

У зв'язку із загрозою хакерської атакиенергокомпанія попросила директорів своїх філій обмежити доступ користувачів корпоративної мережідо Інтернету в період з 4 по 14 серпня та також попередити співробітників, щоб вони не відкривали вкладення від невідомих відправників та не переходили за сторонніми посиланнями в електронній пошті.

Центр моніторингу та реагування на комп'ютерні атаки у кредитно-фінансовій сфері (FinCERT) – структура ЦБ, яка займається кібербезпекою. Створено у 2015 році за рішенням Ради безпеки Росії. Банки направляють у ЦП відомості про виявлені комп'ютерні атаки (на карткові рахунки, системи дистанційного обслуговування, банківські сайти), після чого фахівці аналізують ці дані, виявляють причини проблем та спрямовують учасникам ринку та правоохоронним органам результати аналізу.

Вірус-шифрувальник атакував російські ЗМІ, одне з яких – «Інтерфакс», йдеться у повідомленні російської компанії Group-IB. Постраждала лише частина агенції, оскільки його IT-служби встигли відключити частину критичної інфраструктури. Вірусу надано ідентифікатор BadRabbit.

Про безпрецедентну вірусну атаку на «Інтерфакс» на своїй сторінці Facebook повідомивзаступник директора агентства Юрій Погорілий. "Інтерфакс" зіткнувся з безпрецедентною вірусною атакою. Частина наших послуг недоступна для клієнтів. Наші інженери відновлюють їхню працездатність. Перепрошую. Намагаємося повернутися до вас якнайшвидше!» – написав він.

ЦБ попередив банки про можливу кібератаку вірусу-шифрувальника

Два попередні віруси WannaCry та Petya вже намагалися атакувати банки

За спостереженнями "Відомостей", не працює мобільний додатокагенції та наданий «Інтерфаксом» сервіс розкриття звітності російських компанійна сайті e-disclosure.ru.

Продовжують працювати підрозділи «Інфтерфаксу» у Великій Британії, Азербайджані, Білорусії та в Україні та сайт «Інтерфакс-релігія», сказав «Відомостям» Погорілий. Поки незрозуміло, чому пошкодження не торкнулися інших підрозділів, можливо, це пов'язано з топологією мережі «Інтерфаксу», з тим, де територіально знаходяться сервери, та з операційною системою, яка на них встановлена, говорить він.

Два співробітники Інтерфаксу підтвердили Відомостям відключення комп'ютерів. За словами одного з них, візуально заблокований екран нагадує результат дій відомого вірусу Petya. Атакувавши «Інтерфакс» вірус попереджає, що не варто намагатися самостійно розшифрувати файли, і вимагає заплатити викуп в 0,05 біткойна ($283), для чого запрошує пройти на спеціальний сайт мережі Tor. Зашифрованому комп'ютеру вірус надав персональний ідентифікаційний код.

Не лише «Інтерфакс»

Від вірусу-шифрувальника постраждали ще два російські ЗМІ, одне з яких – петербурзьке видання «Фонтанка», уточнює Group-IB.

Головний редактор "Фонтанки" Олександр Горшков сказав "Ведомостям", що сервери "Фонтанки" були атаковані зловмисниками сьогодні о 15.20. «Після цього сайт видання виявився недоступним, і він недоступний досі. Наші технічні фахівці докладають усіх необхідних зусиль для того, щоб відновити роботу сайту. Ми не маємо сумніву, що ці дії були вчинені терористичними організаціями», - зазначив він.

Протягом останніх тижнів злочинці атакують редакцію «Фонтанки», розміщуючи в мережі інтернет сотні хибних статей на замовлення зі згадкою журналістів і редакторів видання. Крім того, до контролюючих органів доводиться неправдива інформація про діяльність видавця "Фонтанки" АТ "Ажур-медіа", говорить він. "Ми не сумніваємося, що ці дії мають єдиного замовника і це ланки одного ланцюга", - сказав Горшков.

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства стосовно звичайних користувачів. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то набагато складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Зазнати атаки шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати подібним способом великі компанії, які не подбали про необхідний захист інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження – повільна робота комп'ютера та зміна найменувань документів (можна помітити робочому столі).

  1. Перезапустіть комп'ютер, щоб зупинити шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
  2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
  3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
  4. Завантажте утиліту останньої версіїдля боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Звісно ж, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який допоміг би користувачам. Компаніям, що займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Нині можна лише ізолювати важливу інформацію(якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується перевстановити операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі в 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус важко піддається – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деякі користувачі можуть допомогти відновити тіньову копію. Для цього клацніть правою кнопкоюмиші по зашифрованому документу, перейдіть в "Властивості", вкладка "Попередні версії", натисніть "Відновити". Не зайвим буде скористатися і безкоштовною утилітоювід "Лабораторії Касперського".

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на «Ім'я. wallet» або подібне. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створює документ, у якому шахрай вказує пошту зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифровкою коду вірусу-шифрувальника [email protected]Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, рекомендується їх зберегти на зовнішній накопичувач, очистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному веб-сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у вікні, яке з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітамивід Kaspersky, але розшифрувати код ще не вдалося. Можливо, допоможе відновити попередні версії даних. Окрім цього, розшифрувати може спеціаліст, який має великий досвід, але послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Потрапляє на персональні комп'ютери із електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документ з інструкцією розблокування, пропонуючи заплатити «викуп». Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивіше. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому складний код, який може бути у кількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається, як правило, до електронного листа), який користувач самостійно запускає. Шифрувальник «да Вінчі» (da vinci code) копіює тіло в системний каталог та реєстр, забезпечуючи автоматичний запускпри увімкненні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать зв'язку жертви зі зловмисником. Додавалися адреси до самих різним видамвірусів: da_vinci_code, no_more_ransom тощо. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, що розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає коштів. Деякі різновиди вірусу XTBL не можуть знищити файли для відновлення системи, що дає змогу повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є ліцензійний антивірус, скористайтесь технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kasperskyпозначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараженню не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

  1. Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
  2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
  3. Усе. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найбільш небезпечними загрозами для даних користувачів, стало поштовхом багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато з них допомагають із розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найдієвіші засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 с останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їхню антивірусну програму, головною особливістю якої стало резервування файлів. Сховище з копіями документів також захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утилітуіз актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

«Вибачте, що потурбували, але… ваші файли зашифровані. Щоб отримати ключ для розшифровки, терміново переведіть суму грошей на гаманець… Інакше ваші дані будуть знищені безповоротно. У вас 3 години, час пішов». І це не жарт. Вірус-шифрувальник – загроза більш ніж реальна.

Сьогодні поговоримо, що являють собою шкідливі програми-шифрувальники, що поширилися в останні роки, що робити у разі зараження, як вилікувати комп'ютер і чи можливо це взагалі, а також як від них захиститися.

Шифруємо все!

Вірус-шифрувальник (шифратор, криптор) – особливий різновид шкідливих програм-вимагачів, чия діяльність полягає в шифруванні файлів користувача та подальшій вимогі викупити засіб розшифровки. Суми викупу починаються десь від $200 і досягають десятків та сотень тисяч зелених папірців.

Кілька років тому атакам зловредів цього класу зазнавали тільки комп'ютери базі Windows. Сьогодні їх ареал розширився до, здавалося б, добре захищених Linux, Mac та Андроїд. Крім того, постійно зростає видова різноманітність шифраторів – одна за одною з'являються новинки, яким є чим здивувати світ. Так, виникла завдяки «схрещуванню» класичного трояна-шифрувальника та мережевого хробака (шкідливої ​​програми, яка поширюється мережами без активної участі користувачів).

Після WannaCry з'явилися не менш витончені Petya та Bad Rabbit. І оскільки «шифрувальний бізнес» приносить власникам непоганий дохід, то можна бути впевненими, що вони не останні.


Дедалі більше шифрувальників, які особливо побачили світ в останні 3-5 років, використовують стійкі криптографічні алгоритми, які неможливо зламати ні перебором ключів, ні іншими існуючими засобами. Єдина можливість відновити дані – скористатись оригінальним ключем, який пропонують купити зловмисники. Однак навіть перерахування ним необхідної суми не гарантує отримання ключа. Злочинці не поспішають розкривати свої секрети та втрачати потенційний прибуток. Та й який сенс виконувати обіцянки, якщо гроші вже в них?

Шляхи розповсюдження вірусів-шифраторів

Основний шлях попадання шкідливості на комп'ютери приватних користувачів та організацій – електронна поштаточніше, додані до листів файли та посилання.

Приклад такого листа призначений для «корпоративних клієнтів»:


  • "Терміново погасіть борг за кредитом".
  • «Позовна заява подана до суду».
  • "Сплатіть штраф/внесок/податок".
  • «Дорахування комунального платежу».
  • "Ой, це ти на фотографії?"
  • "Ліна попросила терміново передати це тобі" і т.д.

Погодьтеся, тільки знаючий користувачвіднесеться до такого листа з настороженістю. Більшість, не замислюючись, відкриє вкладення та запустить шкідливу програму своїми руками. До речі, незважаючи на крики антивірусу.

Також для поширення шифрувальників активно використовуються:

  • Соціальні мережі (розсилка з облікових записів знайомих і незнайомих людей).
  • Шкідливі та заражені веб-ресурси.
  • Банерна реклама.
  • Розсилання через месенджери зі зламаних акаунтів.
  • Сайти-варезники та розповсюджувачі кейгенів та кряків.
  • Сайти для дорослих.
  • Магазини додатків та контенту.

Провідниками вірусів-шифраторів нерідко бувають інші шкідливі програми, зокрема, демонстратори реклами та трояни-бекдори. Останні, використовуючи вразливість у системі та ПЗ, допомагають злочинцеві отримати віддалений доступдо зараженого пристрою. Запуск шифрувальника в таких випадках не завжди збігається з часом з потенційно небезпечними діями користувача. Поки бекдор залишається в системі, зловмисник може проникнути на пристрій будь-якої миті та запустити шифрування.

Для зараження комп'ютерів організацій (адже вони можна віджати більше, ніж в домашніх користувачів) розробляються особливо вишукані способи. Наприклад, троянець Petya проникав на пристрої через модуль оновлення програми для ведення податкового обліку MEDoc.


Шифрувальники з функціями мережевих хробаків, як говорилося, поширюються мережами, зокрема Інтернет, через уразливості протоколів. І заразитися ними можна, не роблячи нічого. Найбільшу небезпеку наражаються користувачі ОС Windows, що рідко оновлюються, оскільки оновлення закривають відомі лазівки.

Деякі зловреди, такі, як WannaCry, експлуатують уразливості 0-day (нульового дня), тобто ті, про які поки що не знають розробники систем. Повноцінно протистояти зараженню таким шляхом, на жаль, неможливо, проте ймовірність, що саме ви потрапите до постраждалих, не дотягує навіть до 1%. Чому? Та тому, що шкідливе програмне забезпечення не може одномоментно заразити всі вразливі машини. І поки воно планує нові жертви, розробники систем встигають випустити рятівне оновлення.

Як поводиться шифрувальник на зараженому комп'ютері

Процес шифрування, як правило, починається непомітно, а коли його ознаки стають очевидними, рятувати дані вже пізно: на той час шкідливість зашифрувала все, до чого дотяглася. Іноді користувач може помітити, як у файлів який-небудь відкритої папкизмінилося розширення.

Така поява у файлів нового, а іноді другого розширення, після чого вони перестають відкриватися, повністю вказує на наслідки атаки шифрувальника. До речі, розширення, яке отримують пошкоджені об'єкти, зазвичай вдається ідентифікувати зловреда.

Приклад, які можуть бути розширення зашифрованих файлів:. xtbl, .kraken, .cesar, .da_vinci_code, [email protected] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn і т.д.

Варіантів маса, і вже завтра з'являться нові, тому перераховувати все особливе значення немає. Для визначення типу зараження достатньо згодувати кілька розширень пошукової системи.


Інші симптоми, які побічно вказують на початок шифрування:

  • Поява на екрані на долі секунди вікон командного рядка. Найчастіше це нормальне явище при встановленні оновлень системи та програм, але поза увагою його краще не залишати.
  • Запити UAC на запуск якоїсь програми, яку ви не збиралися відкривати.
  • Раптове перезавантаження комп'ютера з подальшою імітацією роботи системної утиліти перевірки диска (можливі інші варіації). Під час перевірки відбувається процес шифрування.

Після успішного закінчення шкідливої ​​операції на екрані з'являється повідомлення з вимогою викупу та різними загрозами.

Вимагачі шифрують значну частину файлів: фотографій, музики, відео, текстових документів, архівів, пошти, баз даних, файлів з розширеннями програм і т. д. Але при цьому не чіпають об'єкти операційної системи, адже зловмисникам не потрібно, щоб заражений комп'ютер перестав працювати Деякі віруси підміняють собою завантажувальні записидисків та розділів.

Після шифрування із системи, як правило, видаляються всі тіньові копії та точки відновлення.

Як вилікувати комп'ютер від шифрувальника

Видалити із зараженої системи шкідливу програму просто – з більшістю з них легко справляються майже всі антивіруси. Але! Наївно вважати, що позбавлення винуватця призведе до вирішення проблеми: видаліть ви вірус чи ні, а файли все одно залишаться зашифрованими. Крім того, у ряді випадків це ускладнить їхню подальшу розшифровку, якщо вона можлива.

Правильний порядок дій на початку шифрування

  • Як тільки ви помітили ознаки шифрування, негайно відключіть живлення комп'ютера натисканням та утриманням кнопкиPower протягом 3-4 секунд. Це дозволить урятувати хоча б частину файлів.
  • Створіть на іншому комп'ютері завантажувальний дискабо флешку з антивірусною програмою. Наприклад, Kaspersky Rescue Disk 18 , DrWeb LiveDisk , ESET NOD32 LiveCDі т.д.
  • Завантажте заражену машину з цього диска та проскануйте систему. Видаліть знайдені віруси зі збереженням у карантин (на випадок, якщо вони знадобляться для розшифровки). Тільки після цього можете завантажувати комп'ютер із жорсткого диска.
  • Спробуйте відновити зашифровані файли з тіньових копій засобами системи або за допомогою сторонніх.

Що робити, якщо файли вже зашифровані

  • Чи не втрачайте надію. На сайтах розробників антивірусних продуктів викладені безкоштовні утиліти-дешифратори різних типівзловредів. Зокрема, тут зібрані утиліти від Avastі Лабораторії Касперського.
  • Визначивши тип шифратора, скачайте відповідну утиліту, обов'язково зробіть копії пошкоджених файліві спробуйте їх розшифровувати. У разі успіху розшифруйте решту.

Якщо файли не розшифровуються

Якщо жодна утиліта не допомогла, цілком імовірно, що ви постраждали від вірусу, ліки від якого поки що не існує.

Що можна зробити в цьому випадку:

  • Якщо ви користуєтесь платним антивірусним продуктом, зверніться до служби підтримки. Перешліть кілька копій пошкоджених файлів до лабораторії і чекайте відповіді. При наявності технічної можливостівам допоможуть.

До речі, Dr.Web- одна з небагатьох лабораторій, яка допомагає не лише своїм користувачам, а всім постраждалим. Надіслати запит на розшифровку файлу можна на цій сторінці.

  • Якщо з'ясувалося, що файли зіпсовані безнадійно, але вони представляють вам велику цінність, залишаються сподіватися і чекати, що рятівний засіб колись буде знайдено. Найкраще, що ви можете зробити, це залишити систему та файли в стані як є, тобто повністю відключити та не використовувати жорсткий диск. Видалення файлів шкідливих даних, переустановка операційної системи і навіть її оновлення можуть позбавити вас і цього шансу, оскільки при генерації ключів шифрування-дешифрування найчастіше використовуються унікальні ідентифікатори системи та копії вірусу.

Платити викуп - не варіант, оскільки можливість того, що ви отримаєте ключ, прагне до нуля. Та й до чого фінансувати злочинний бізнес.

Як захиститись від шкідливості такого типу

Не хотілося б повторювати поради, які кожен із читачів чув сотні разів. Так, встановити хороший антивірус, не натискати підозрілі посилання та блаблабла – це важливо. Однак, як показало життя, чарівної пігулки, яка дасть вам 100% гарантії захищеності, сьогодні не існує.

Єдиний дієвий метод захисту від здирників такого роду – резервне копіювання данихна інші фізичні носії, у тому числі в хмарні сервіси. Резервне копіювання, резервне копіювання, резервне копіювання...

2017 був роком шифрувальників (ransomware) – найбільш значущої загрози у сфері інформаційної безпекияк для малих, середніх та великих підприємств, так і для домашніх користувачів. Такі атаки, як і вимагали викуп на багатьох комп'ютерах у світі, захопивши при цьому заголовки всіх провідних ЗМІ у всіх країнах. Насправді, минулого року сумарні збитки від шифрувальників склали близько 5 мільярдів доларів США, що робить ці трояни найпотужнішим і найвитонченішим типом кібер-атак, що показало 350% зростання порівняно з 2016 роком.

3. Регулярно проводьте аудити безпеки та тести на наявність уразливостей, щоб чітко знати точки проникнення у ваші системи.

4. Використовуйте сучасне та передове мультиплатформне рішення інформаційної безпеки з опціями розширеного захисту, таке як для проведення експертного аналізу в реальному часі. Це дозволить вам запобігати та виявляти такі типи атак, а також виконувати необхідні дії з реагування та відновлення після атаки.

Поломки

Вам також може сподобатися