Внимание! Вирусная эпидемия!

Компания Рубикон предупреждает о росте активности вредоносных программ-шифраторов и повышенном риске заражения корпоративной сети.

Уважаемый партнер!

Компания Рубикон предупреждает о росте активности вредоносных программ-шифраторов и повышенном риске заражения корпоративной сети. Среди возможных последствий заражения:

  • Шифрование конфиденциальной информации и файлов, в том числе баз данных 1С, документов, изображений – формат зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам, вследствие чего зашифрованные данные сложно восстановить.
  • В некоторых случаях, завершив шифрование файлов, вредоносная программа автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.

Сразу скажем, антивирусы этот вид пока не ловят, поэтому здесь сыграет только человеческий фактор - не открывать что попало.

Схема заражения

  1. Как правило, перед заражением на электронную почту пользователя приходит письмо с приложенным архивом (*.rar, *.zip, *.cab), документом со встроенными макросами (*.doc, *.docx), либо скриптом (*.js).
    Оно выглядит как обычное письмо, возможно, даже в графе «от» стоит отправитель, которого вы знаете.
  2. В теме письма говорится о чем-то важном – о задолженности, взыскании долга и пр. В архив может быть вложено два файла, например, «порядок работы с просроченной задолженностью.doc» или «Резюме».
  3. После запуска вирус начинает шифрование в фоновом режиме, втайне от пользователя. Вирус шифрует файлы различных форматов, например *.doc, *.xls, *.jpg, *.pdf и файлы базы данных 1С, добавляя произвольное расширение в конце.
  4. Когда процесс шифрования завершен, на экране устройства появляется окно с требованием вымогателей, а вирус в некоторых случаях бесследно удаляется с компьютера. Второй сценарий: в каждой папке появляется TXT-файл с инструкциями по расшифровке файлов, где злоумышленники также требуют перевода денег для получения ключа дешифрования.

Для снижения риска заражения шифратором необходимо соблюдать определенные требования безопасности:

  • Убедитесь, что на ваших компьютерах включены настройки автоматических обновлений операционной системы и установлены все критические обновления.
  • Злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP). Наиболее серьезная из этих уязвимостей позволяет осуществить удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола отключен во всех операционных системах Microsoft Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости. Мы рекомендуем закрыть доступ по RDP извне и разрешить подключения по RDP только в пределах локальной сети.
  • Используйте антивирусные решения со встроенным модулем файервола, чтобы снизить вероятность использования злоумышленником уязвимости в RDP даже в отсутствие обновлений операционной системы.
  • Запретите прием и передачу исполняемых файлов *.exe и *.js на почтовом сервере. Зачастую шифраторы рассылаются злоумышленниками в виде вложения в email «от арбитражного суда о взыскании задолженности» и другим подобным содержанием, побуждающим открыть вложенный файл и тем самым запустить шифратор.
  • Запретите выполнение макросов во всех приложениях, входящих в состав Microsoft Office, либо в аналогичном ПО сторонних производителей. Макросы могут содержать команду для загрузки и выполнения вредоносного кода, которая запускается при обычном просмотре документа. Например, открытие файла «Уведомление о взыскании задолженности.doc» из письма злоумышленников может привести к заражению системы даже в том случае, если сервер не пропустил вредоносное вложение с исполняемым файлом, - в том случае, если вы не отключили выполнение макросов.
  • Регулярно осуществляйте резервное копирование важной информации, хранящейся на вашем компьютере. Начиная с Windows Vista в состав операционных систем Microsoft входит служба защиты системы на всех дисках, которая создает резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить данную функцию для всех разделов.
  • Помните, сам по себе факт резервного копирования ничего не дает, нужно тщательно продумывать его так, чтобы и резервные копии не подверглись заражению. 

Если заражение произошло: что НЕ нужно делать:

  • Лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
  • Переустанавливать операционную систему;
  • Менять расширение у зашифрованных файлов;
  • Очищать папки с временными файлами, а также историю браузера;
  • Использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.
  • Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешифратора. Стоит отметить, что в интернете есть те «счастливчики», которые за денежку получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. За этими «счастливчиками» могут быть всё те же злоумышленники.

Что делать, если заражение уже произошло?

  • Подготовьтесь морально, что ваши файлы скорее всего уже не вернуть или придется делать это достаточно долго;
  • Если зашифровались файлы на Dropbox или другом облачном хранилище – вы можете написать в службы поддержки и попросить откатить состояние вашего аккаунта на дату до заражения вируса. Ответ от Dropbox, к примеру, занимает 3-4 дня.
Если вы лицензионный пользователь Лаборатории Касперского Если вы лицензионный пользователь Dr.Web

Если вы лицензионный пользователь ESET

  • Обратитесь в местную техническую поддержку. Для этого необходимо добавить в архив образец шифратора и других подозрительных файлов и отправить его с помощью специальной формы. Также вложите в архив несколько образцов зашифрованных файлов.
  • В комментариях укажите обстоятельства, при которых произошло заражение, а также ваши лицензионные данные и контактный email для обратной связи.
Если вы НЕ пользователь антивирусов, указанных выше:
  • На форумах этих вендоров вам просто откажут или попросят купить лицензию.
  • Можно попробовать воспользоваться услугами сайта, говорят, некоторым помогает.
  • Поищите в Интернете вирус с названием, который нашел ваш антивирус. Например, Trojan.Encoder.263. Некоторые люди, которые уже нашли дешифратор для этой модификации вируса выкладывают его в сеть.
  • На крайний случай, рекомендуем обратиться с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на сайте: http://legal.drweb.com/templates.

Берегите себя!

Рассказать друзьям

Оставить заявку
Я согласен (согласна) с условиями политики конфиденциальности
Компания "Рубикон"
ул. Ульяновская, д. 10 610050 Киров, Россия
+7 (8332) 760-750, 8 800 555 4995
610050, г. Киров,
ул. Ульяновская, д. 10
Как добраться
загрузка карты...
+7 (8332) 760-750
(Звонок бесплатный)

soft@rubicon-it.ru
9:00 - 18:00 (по рабочим дням)
9:00 - 17:00 (пятница, праздничные дни)

Антикоррупционная политика
© 2024 Компания «Рубикон» работает в рамках ИТ
ООО «Рубикон», ИНН 4345090323, КПП 434501001
ООО «Рубикон Консалтинг», ИНН 4345368272, КПП 434501001
Разработка ИНФИНИТИ 2016