Вирусная эпидемия шифровальщиков и её последствия для бизнеса

В сети регулярно всплывают предупреждения «ОСТОРОЖНО. Вирус-шифровальщик», но большинство людей по-прежнему считают это ложной тревогой и не предпринимают никаких действий, чтобы обезопасить себя.

«Мои файлы зашифровались и не открываются. Просят денег. Что делать?» — cообщения вроде этого периодически всплывают на различных сервисах информационной безопасности. В программах-вымогателях нет ничего нового, но за последние несколько лет они превратились из редкой проблемы в постоянный повод для беспокойства. Распространение программ-шифроваторов приобрело размах эпидемии.

Киров не обошло стороной

Вирус Cryptolocker в мире появился где-то в сентябре 2013 года, но почти сразу же стал синонимом «программы-вымогателя» вообще. В числе жертв оказались как предприятия, так и частные лица. На его основе написано множество программ, которые обманывали людей тогда и ходят по сети сейчас. Например, в Кирове под видом рассылки от налоговой вирусы-трояны рассылали в июне 2014 года и в феврале-марте 2015 года, о чем громко писали все СМИ, но пострадавшие все равно были.

Среди возможных последствий заражения:

  • Шифрование конфиденциальной информации и файлов, в том числе баз данных 1С, документов, изображений – формат зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам, вследствие чего зашифрованные данные сложно восстановить.
  • В некоторых случаях, завершив шифрование файлов, вредоносная программа автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.

Сразу скажем, антивирусы этот вид пока не ловят, поэтому здесь сыграет только человеческий фактор - не открывать что попало. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным программам необходимо время, чтобы начать распознавать новый тип вируса.

Схема заражения

  1. Как правило, перед заражением на электронную почту пользователя приходит письмо с приложенным архивом (*.rar, *.zip, *.cab), документом со встроенными макросами (*.doc, *.docx), либо скриптом (*.js). Вы видите только Название.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word.

  2. Оно выглядит как обычное письмо, возможно, даже в графе «от» стоит отправитель, которого вы знаете.

  3. В теме письма говорится о чем-то важном – о задолженности, взыскании долга и пр. В архив может быть вложено два файла, например, «порядок работы с просроченной задолженностью.doc» или «Резюме».

  4. Дважды нажав, Вы запускаете программу Название.doc.....................exe, которая начинает шифровать файлы на Вашем компьютере в фоновом режиме, втайне от пользователя. Вирус шифрует файлы различных форматов, например *.doc, *.xls, *.jpg, *.pdf и файлы базы данных 1С, добавляя произвольное расширение в конце.

  5. Когда процесс шифрования завершен, на экране устройства появляется окно с требованием вымогателей, а вирус в некоторых случаях бесследно удаляется с компьютера. Второй сценарий: в каждой папке появляется TXT-файл с инструкциями по расшифровке файлов, где злоумышленники также требуют перевода денег для получения ключа дешифрования.

Для снижения риска заражения шифратором необходимо соблюдать определенные требования безопасности:

  • Убедитесь, что на ваших компьютерах включены настройки автоматических обновлений операционной системы и установлены все критические обновления.
  • Злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP). Наиболее серьезная из этих уязвимостей позволяет осуществить удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола отключен во всех операционных системах Microsoft Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости. Мы рекомендуем закрыть доступ по RDP извне и разрешить подключения по RDP только в пределах локальной сети.
  • Используйте антивирусные решения со встроенным модулем файервола, чтобы снизить вероятность использования злоумышленником уязвимости в RDP даже в отсутствие обновлений операционной системы.
  • Запретите прием и передачу исполняемых файлов *.exe и *.js на почтовом сервере. Зачастую шифраторы рассылаются злоумышленниками в виде вложения в email «от арбитражного суда о взыскании задолженности» и другим подобным содержанием, побуждающим открыть вложенный файл и тем самым запустить шифратор.
  • Запретите выполнение макросов во всех приложениях, входящих в состав Microsoft Office, либо в аналогичном ПО сторонних производителей. Макросы могут содержать команду для загрузки и выполнения вредоносного кода, которая запускается при обычном просмотре документа. Например, открытие файла «Уведомление о взыскании задолженности.doc» из письма злоумышленников может привести к заражению системы даже в том случае, если сервер не пропустил вредоносное вложение с исполняемым файлом, - в том случае, если вы не отключили выполнение макросов.
  • Регулярно осуществляйте резервное копирование важной информации, хранящейся на вашем компьютере. Начиная с Windows Vista в состав операционных систем Microsoft входит служба защиты системы на всех дисках, которая создает резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить данную функцию для всех разделов.
  • Помните, сам по себе факт резервного копирования ничего не дает, нужно тщательно продумывать его так, чтобы и резервные копии не подверглись заражению. 

Если заражение произошло: что НЕ нужно делать:

  • Лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
  • Переустанавливать операционную систему;
  • Менять расширение у зашифрованных файлов;
  • Очищать папки с временными файлами, а также историю браузера;
  • Использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.
  • Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешифратора. Стоит отметить, что в интернете есть те «счастливчики», которые за денежку получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. За этими «счастливчиками» могут быть всё те же злоумышленники.

Что делать, если заражение уже произошло?

  • Подготовьтесь морально, что ваши файлы скорее всего уже не вернуть или придется делать это достаточно долго. Антивирусные производители откликнуться, но вероятность вернуть файлы крайне низкая;
  • Если зашифровались файлы на Dropbox или другом облачном хранилище – вы можете написать в службы поддержки и попросить откатить состояние вашего аккаунта на дату до заражения вируса. Ответ от Dropbox, к примеру, занимает 3-4 дня.
  • Попробуйте вот этот дешифратор

Если вы лицензионный пользователь Лаборатории Касперского

Если вы лицензионный пользователь Dr.Web

Если вы лицензионный пользователь ESET

  • Необходимо добавить в архив образец шифратора и других подозрительных файлов и отправить его с помощью специальной формы в техподдержку. Также вложите в архив несколько образцов зашифрованных файлов.
  • В комментариях укажите обстоятельства, при которых произошло заражение, а также ваши лицензионные данные и контактный email для обратной связи.

Если вы НЕ пользователь антивирусов, указанных выше:

  • На форумах этих вендоров вам просто откажут или попросят купить лицензию.
  • Можно попробовать воспользоваться услугами сайта, говорят, некоторым помогает.
  • Поищите в Интернете вирус с названием, который нашел ваш антивирус. Например, Trojan.Encoder.263. Некоторые люди, которые уже нашли дешифратор для этой модификации вируса выкладывают его в сеть.
  • На крайний случай, рекомендуем обратиться с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на сайте: http://legal.drweb.com/templates.

Рассказать друзьям

Оставить заявку
Я согласен (согласна) с условиями политики конфиденциальности
Следуйте за нами
Компания "Рубикон"
ул. Ульяновская, д. 10 610050 Киров, Россия
+7 (8332) 760-750, 8 800 555 4995
610050, г. Киров,
ул. Ульяновская, д. 10
Как добраться
загрузка карты...
+7 (8332) 760-750
(Звонок бесплатный)

soft@rubicon-it.ru
9:00 - 18:00 (по рабочим дням)
9:00 - 17:00 (пятница, праздничные дни)

Антикоррупционная политика
© 2024 Компания «Рубикон»
Разработка ИНФИНИТИ 2016