Вирус шифровальщик как лечить


Восстановление файлов и лечение вируса шифровальщика

Лечение вируса шифровальщика. Все чаще компьютеры подвергаются атакам вирусов. Есть вирусы, которые поражают браузеры, загрузчики системы, определенные программы и даже компьютерное железо. Не меньший вред наносят вирусы шифровальщики, которые  шифруют файлы Word, Excel, базу 1C, электронные ключи, документы налоговой и пенсионного фонда.

И если в организации нет опытного программиста, то чаще всего все эти документы становятся безвозвратно потерянными. Самое простое, что можно сделать в этом случае, – это переустановить операционную систему. Такой вирус может прийти по электронной почте и распространиться по локальной сети за очень короткое время.

О том, как можно восстановить файлы после «работы» такого вируса нам сегодня расскажет Антон Севостьянов, который работает системным администратором, и практически каждый день сталкивается с различными компьютерными проблемами, которые могут коснуться любого из нас. Сегодня же речь пойдет о вирусах-шифровальщиках.

Восстановление файлов и лечение вируса шифровальщика 

В данном видео рассмотрим последствия заражения вирусом шифровальщиком, а так же различные способы лечения вируса шифровальщика. А в частности рассмотрим способ с использованием софта для расшифровки файлов и средства восстановления файлов из контрольных точек системы. На функции, восстановления файлов остановимся поподробнее, так как она может быть полезна во многих ситуациях. Ну, а начнем мы с вируса шифровальщика.

В одну из организаций, которые я обслуживаю, через электронную почту попал вирус, который шифрует все рабочие файлы. В частности, у меня он зашифровал все документы Word, Excel, бызу 1C, ключи, необходимые для электронного документооборота  с налоговой и пенсионным фондом и многие другие. В общем, убил все рабочие файлы. Хотя антивирусная база была актуальная, на один из компьютеров вирусу все же удалось пробраться, хотя на других он был обезврежен.

В результате действия вируса шифровальщика, рабочие файлы шифруются, переименовываются, к ним добавляется расширение xtbl, vault или cbf, а так же на рабочем столе меняются обои с текстом, типа «Все ваши файлы зашифрованы, обратитесь по указанному адресу электронной почты в течении недели или файлы будет невозможно расшифровать».

Модификации вируса могут быть разные, но принцип работы одинаков, вы должны заплатить деньги злоумышленнику, чтобы он расшифровал файлы. В моем случае файлы имели примерно следующие имена [email protected] 0.0.1.0.id-VWWXZZZAABCCDDDEEFFGHHIIJJKLMMNNOPPQ-22.06.2015 [email protected]@024041.randomname-ZFHHJKLLMNNOOOOPQQRRSSSSTUUVVW.XXY.cbf.

Если ваш компьютер был заражен подобным вирусом шифровальщиком, не стоит отправлять деньги злоумышленнику, так как далеко не факт, что он вас не обманет. И к тому же, вам нужно будет отправлять файлы для дешифровки этому самому злоумышленнику, а значит, ваша конфиденциальная информация станет достоянием общественности.

Итак, какие способы решения данной проблемы существуют: — использование программ дешифраторов, которые разрабатываются компаниями по защите от вирусных атак (Касперский или Dr.Web). http://www.kaspersky.ru / Скачать / Бесплатные сервисы /

Лечение зашифрованных файлов / Подробнее.http://www.drweb.ru / Поддержка / Антивирусная лаборатория Модификации вируса пишут часто, по этому работники антивирусных программ не успевают разрабатывать дешифраторы.

Причем, порой даже не успевают обновлять вирусные базы. Например, недавно у меня была ситуация, что пришел вирус так же через электронную почту, но антивирус не нашел в данном письме ничего подозрительного.

Мало того, я проверил прикрепленный файл на онлайн сервисе http://www.virustotal.com , но ни один антивирус не среагировал. Однако, через 3 дня проверил вновь и уже 32 из 55 антивирусов нашли в файле вирус. — если у вас установлена лицензионная антивирусная программа, стоит обратиться в тех поддержку, чтобы они помогли решить данную задачу, но не факт, что они вам помогут. — восстановление файлов из резервной копии. Именно на этом варианте решения мы и остановимся поподробнее.

Как правило, резервные копии создаются в организациях, а для домашних пользователей этот вопрос не особо актуален и очень даже зря. По этому, мы попробуем решить проблему средствами, которые предоставляют нам встроенные инструменты Windows, а в частности, это контрольные точки восстановления системы.

По умолчанию, при установке операционной системы, защита системы настроена таким образом, что на системном диске (т.е. жестком диске, на котором устанавливается сама операционная система) включена функция защиты системы (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ С:Включено).

Как правило, данная функция используется для восстановления системных параметров, в случае если операционная система стала себя не адекватно вести или вообще не загружается. В данной ситуации можно выполнить восстановление системных файлов из контрольной точки восстановления  и возможно, это поможет. Но, помимо этого, данная функция позволяет восстанавливать предыдущие версии файлов, т.е. файлы, которые находились на диске в момент создания контрольной точки.

Таким образом, можно восстановить измененные, переименованные или удаленные файлы. В нашем случае, потребуется восстановить версии файлов до заражения вирусом шифровальщиком (Мой компьютер \ Выбираем диск \ ПКМ \ Свойства \ Предыдущие версии файлов \ Выбираем дату контрольной точки \ Открыть \ Находим необходимые файлы \ Копируем в нужную папку). Если вы не помните путь к файлу, то можно воспользоваться поиском, он нормально работает!

Благодаря данному методу я восстановил порядка 60 гигобайт зашифрованных файлов. Но, тут не все так просто, в данной ситуации мне повезло, что все рабочие файлы располагались на системном разделе. Я не так давно устроился в эту организацию и еще не успел привести систему в удобный для меня вид.

Если бы я это сделал, то все рабочие документы располагались бы на втором разделе, а на системном только файлы программ и операционной системы. И в данной ситуации этот метод мне бы не помог, так как автоматически функция защиты системы включена только на системном диске, а вирус шифрует файлы, находящиеся на всех разделах. Причем у меня не было никогда необходимости включать функцию защиты на других разделах, но, благодаря данной ситуации, появилась, как говорится век живи век учись.

По этому, давайте настроим функцию защиты системы для остальных дисков (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ D \ Настроить \ Восстановить только предыдущие версии файлов, так как на данном диске система не установлена 

Объем можете выбирать по своему усмотрению, я же обычно ставлю 5%) И на последок, если вы заметили подобную активность вируса, срочно выключайте компьютер, так как шифратор работает в фоновом режиме из операционной системы. А далее, подключить жесткий диск к другому компьютеру, проверить на вирусы и сохранить информацию.

Так же можно загрузиться из под Windows PE и просканировать систему портативным антивирусом. Если же так и не получилось расшифровать или восстановить файлы, то придется искать специалистов по расшифровке.

Видео о том, как произвести лечение вируса шифровальщика:

Автор статьи – Антон Севостьянов

Понравилась статья — нажмите на кнопки:

    

moydrygpk.ru

как удалить его и восстановить зашифрованные файлы :: SYL.ru

То, что в Интернете полно вирусов, сегодня никого не удивляет. Многие пользователи воспринимают ситуации, связанные с их воздействием на системы или личные данные, мягко говоря, глядя сквозь пальцы, но только до тех пор, пока в системе конкретно не обоснуется вирус-шифровальшик. Как вылечить и расшифровать данные, хранящиеся на жестком диске, большинство рядовых юзеров не знает. Поэтому этот контингент и «ведется» на требования, выдвигаемые злоумышленниками. Но давайте посмотрим, что можно предпринять в случае обнаружения такой угрозы или для недопущения ее проникновения в систему.

Что такое вирус-шифровальщик?

Угроза такого типа использует стандартные и нестандартные алгоритмы шифрования файлов, которые полностью изменяют их содержимое и блокируют доступ. Например, открыть текстовый зашифрованный файл для чтения или редактирования, равно как и воспроизвести мультимедийный контент (графика, видео или аудио), после воздействия вируса будет абсолютно невозможно. Даже стандартные действия по копированию или перемещению объектов оказываются недоступными.

Сама программная начинка вируса является тем средством, которое шифрует данные таким образом, что восстановить их исходное состояние даже после удаления угрозы из системы не всегда бывает возможно. Обычно такие вредоносные программы создают собственные копии и оседают в системе очень глубоко, поэтому вирус-шифровальщик файлов бывает удалить полностью невозможно. Деинсталлируя основную программу или удаляя основное тело вируса, пользователь не избавляется от воздействия угрозы, не говоря уже о восстановлении зашифрованной информации.

Как угроза проникает в систему?

Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников - первая стезя для вируса).

Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.

Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.

Разновидности вирусов и немного истории

В основном угрозы этого типа, в частности самый опасный вирус-шифровальщик No_more_ransom, классифицируются не только как инструменты шифрования данных или блокировки доступа к ним. На самом деле все такие вредоносные приложения относятся к категории вымогателей. Иными словами, злоумышленники требуют определенную мзду за расшифровку информации, считая, что без начальной программы произвести данный процесс будет невозможно. Отчасти так оно и есть.

Но, если копнуть в историю, можно заметить, что одним из самых первых вирусов этого типа, правда, не выставлявшего требования по деньгам, был печально известный апплет I Love You, который полностью зашифровывал в пользовательских системах файлы мультимедиа (в основном музыкальные треки). Расшифровка файлов после вируса-шифровальщика на тот момент оказывалась невозможной. Сейчас именно с этой угрозой бороться можно элементарно.

Но ведь и развитие самих вирусов или используемых алгоритмов шифрования на месте не стоит. Чего только нет среди вирусов – тут вам и XTBL, и CBF, и Breaking_Bad, и [email protected], и еще куча всякой гадости.

Методика воздействия на пользовательские файлы

И если до недавнего времени большинство атак производилось с использованием алгоритмов RSA-1024 на основе шифрования AES с такой же битностью, тот же вирус-шифровальщик No_more_ransom сегодня представлен в нескольких интерпретациях, использующих ключи шифрования на основе технологий RSA-2048 и даже RSA-3072.

Проблемы расшифровки используемых алгоритмов

Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.

В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.

Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?

Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.

Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда – где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз – заплатишь снова. А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности.

Первое средство для устранения угрозы

Таков по своей природе вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия угрозы? Да никак, если нет подручных средств, которые тоже не всегда помогают. Но попытаться можно.

Предположим, что в системе появился вирус-шифровальщик. Как вылечить зараженные файлы? Для начала следует произвести углубленное сканирование системы без применения технологии S.M.A.R.T., которая предусматривает обнаружение угроз исключительно при повреждении загрузочных секторов и системных файлов.

Желательно не использовать имеющийся штатный сканер, который уже пропустил угрозу, а применить портативные утилиты. Оптимальным вариантом станет загрузка с диска Kaspersky Rescue Disk, которая может стартовать еще до начала работы операционной системы.

Но это всего половина дела, поскольку таким образом можно избавиться только от самого вируса. А вот с дешифратором будет сложнее. Но об этом чуть позже.

Есть еще одна категория, под которую попадают вирусы-шифровальщики. Как расшифровать информацию, будет сказано отдельно, а пока остановимся на том, что они могут совершенно открыто существовать в системе в виде официально установленных программ и приложений (наглость злоумышленников не знает предела, поскольку угроза даже не пытается маскироваться).

В этом случае следует использовать раздел программ и компонентов, где производится стандартное удаление. Однако нужно обратить внимание и на то, что стандартный деинсталлятор Windows-систем полностью все файлы программы не удаляет. В частности, вирус-шифровальщик ransom способен создавать собственные папки в корневых директориях системы (обычно это каталоги Csrss, где присутствует одноименный исполняемый файл csrss.exe). В качестве основного местоположения выбираются папки Windows, System32 или пользовательские директории (Users на системном диске).

Кроме того, вирус-шифровальщик No_more_ransom прописывает в реестре собственные ключи в виде ссылки вроде бы на официальную системную службу Client Server Runtime Subsystem, что многих вводит в заблуждение, поскольку эта служба должна отвечать за взаимодействие клиентского и серверного ПО. Сам ключ располагается в папке Run, добраться до которой можно через ветку HKLM. Понятно, что удалять такие ключи нужно будет вручную.

Чтобы было проще, можно воспользоваться утилитами вроде iObit Uninstaller, которые производят поиск остаточных файлов и ключей реестра автоматически (но только при условии, что вирус в системе виден как установленное приложение). Но это самое простое, что можно сделать.

Решения, предлагаемые разработчиками антивирусного ПО

Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).

Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.

Кроме удаления зашифрованной информации может быть и летальный исход – неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).

Кардинальное решение проблемы

Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.

Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.

Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.

Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: - единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому – никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.

Вместо послесловия

В плане напрашивающихся выводов можно сказать только то, что единого и универсального решения по устранению последствий воздействия такого рода угроз на сегодняшний день не существует (печально, но факт – это подтверждено большинством разработчиков антивирусного ПО и специалистами в области криптографии).

Остается неясным, почему появление алгоритмов на основе 1024-, 2048- и 3072-битного шифрования прошло мимо тех, кто непосредственно занимается разработкой и внедрением таких технологий? Ведь на сегодняшний день самым перспективным и наиболее защищенным считается алгоритм AES256. Заметьте! 256! Эта система современным вирусам, как оказывается, и в подметки не годится. Что говорить тогда о попытках расшифровки их ключей?

Как бы то ни было, избежать внедрения угрозы в систему можно достаточно просто. В самом простом варианте следует проверять все входящие сообщения с вложениями в программах Outlook, Thunderbird и в других почтовых клиентах антивирусом сразу же после получения и ни в коем случае не открывать вложения до окончания проверки. Также следует внимательно читать предложения по установке дополнительного ПО при инсталляции некоторых программ (обычно они написаны очень мелким шрифтом или замаскированы под стандартные надстройки вроде обновления Flash Player или чего-то еще). Компоненты мультимедиа лучше обновлять через официальные сайты. Только так и можно хотя бы как-то препятствовать проникновению таких угроз в собственную систему. Последствия могут быть совершенно непредсказуемыми, если учесть, что вирусы этого типа моментально распространяются в локальной сети. А для фирмы такой оборот событий может обернуться настоящим крахом всех начинаний.

Наконец, и системный администратор не должен сидеть без дела. Программные средства защиты в такой ситуации лучше исключить. Тот же файрвол (межсетевой экран) должен быть не программным, а «железным» (естественно, с сопутствующим ПО на борту). И, само собой разумеется, что экономить на приобретении антивирусных пакетов тоже не стоит. Лучше купить лицензионный пакет, а не устанавливать примитивные программы, которые якобы обеспечивают защиту в реальном времени только со слов разработчика.

И если уже угроза в систему все же проникла, последовательность действий должна включать в себя удаление самого тела вируса, а только потом попытки дешифрования поврежденных данных. В идеале – полное форматирование (заметьте, не быстрое с очисткой оглавления, а именно полное, желательно с восстановлением или заменой существующей файловой системы, загрузочных секторов и записей).

www.syl.ru

Рекомендации по защите компьютера от программ-шифровальщиков

Установите защитное решение

Продукты «Лаборатории Касперского» с актуальными антивирусными базами блокируют атаки и установку вредоносных программ. В состав последних версий продуктов входит компонент Мониторинг активности, который автоматически создает резервные копии файлов, если подозрительная программа пытается получить к ним доступ.

Создавайте резервные копии файлов и храните их вне компьютера

Для защиты информации от вредоносных программ и повреждений компьютера создавайте резервные копии файлов и храните их на съемном носителе или в онлайн-хранилище.

Устанавливайте обновления

Своевременно обновляйте операционную систему и установленные программы. После обновления повышается их безопасность, стабильность и производительность, а также устраняются существующие уязвимости. 

Если на вашем устройстве установлена программа «Лаборатории Касперского», регулярно обновляйте антивирусные базы.
Без таких обновлений программа не сможет быстро реагировать на новые вредоносные программы.

Не открывайте файлы из писем от неизвестных отправителей

Программы-шифровальщики распространяются через зараженные файлы из электронных писем. В таких письмах мошенники выдают себя за деловых партнеров или сотрудников государственных органов, а темы писем и вложения содержат важные уведомления, например, уведомление об иске из арбитражного суда. Перед открытием электронного письма и вложенного файла внимательно проверяйте, кто является отправителем.

Используйте сложные пароли для учетных записей Windows при использовании удаленного рабочего стола

Мы рекомендуем использовать надежные пароли, чтобы защитить личные данные и предотвратить взлом учетных записей при удаленном подключении. Используйте функцию удаленного рабочего стола внутри домашней или корпоративной сети и старайтесь не подключаться к удаленному рабочему столу из интернета. Информация о функции удаленного рабочего стола на сайте поддержки Microsoft. Рекомендации по составлению сложных паролей в статье.

support.kaspersky.ru

Вирус шифровальщик файлов Wanna Cry - как защититься и спасти данные

Теперь уже можно с уверенностью сказать, что атака, которую несколько дней назад провёл новый хитрый вирус-шифровальщик Wanna Cry — так же известный как WannaCryptor или WanaDecryptor — самая масштабная на момент написания статьи не то что среди подобной заразы, а вообще самая глобальная в истории. Интернет ещё никогда так не трясло. Сотни тысяч домашних и офисных компьютеров по всему миру были заражены, но больше всего опять пострадала Россия. В основном потому, что большинство установленных ОС Windows не лицензионные, да и нормальной антивирусной защитой пользуются не все, надеясь на «авось».


Вирус-вымогатель представляет из себя приложение, которое попав на ПК шифровать все подряд пользовательские файлы на жестком диске: документы, фото, музыку и т.п. При этом используется стойкий к взлому крипто-алгоритм. Процесс может занять некоторое время и владелец может даже не догадываться, что механизм заражения уже во всю работает на его машине.
Далее вредоносная программа выдаёт на рабочем столе окно-предупреждение с заголовком Wanna Decryptor 2.0 и предлагает купить ключ, позволяющий расшифровать данные, за некоторую сумму.
Пользователю даётся несколько дней на перечисление денег, после чего ключ на сервере удаляется. Обычно это 300-600$ в крипто-валюте BitCoin. Думаю понятно, что даже если Вы оплатите эти деньги, то декриптор для Wanna Cry всё равно вряд ли придёт. Хотя, судя по росту курса Биткоина, очень многие люди платят.

Отличительные черты Wanna Cryptor

Основное принципиальное отличие нового зловреда от предыдущих похожих разновидностей заключается вот в чём. Раньше вирус-шифровальщик мог начать работу на компьютере или ноутбуке только после того, как пользователь сам запустит исполняемый файл, полученный по почте или принесённый с собой. Вымогатель Wanna Cry прекрасно работает и без этого.

Используя уязвимость службы доступа к файлам на 445-ом порту он попадает в операционную систему и начинает шифровать всё подряд: документы, архивы, изображения, видео- и аудио-файлы и т.д. Отличить такой файл можно по расширению .WNCRY.
Если ПК находится в локальной сети — вирь распространяется на другие машины по сети, заражая всех подряд.
Стоит отметить, что в дополнение ко всему, он ещё и останавливает сервисы типа mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange, чтобы иметь доступ к их базам данных.
Восстановить данные после вируса-шифровальщика Wanna Cryptor нельзя. По крайней мере сейчас. Возможно позже ситуация изменится, но на текущий момент средств восстановления данных после атаки нет

Как защититься от шифровальщика

Для того, чтобы обезопасить себя от возможной атаки вируса-криптора, начните с того, что зайдите в Центр обновления Windows. Если есть доступные обновления — обязательно установите их.

Если по каким-либо причинами Вы не можете воспользоваться Центром обновления, тогда можно пойти другим путём. Необходимо зайти на сайт технической поддержки Майкрософт (ссылка) и скачать оттуда спешно выпущенный разработчиками патч Microsoft MS17-010 для своей версии операционной системы Windows.

Вторым шагом я порекомендовал бы для верности вообще отключить поддержку полностью отключив поддержку уязвимого протокола SMB (Samba) версии 1. Это будет особенно актуально домашним пользователям, у которых один компьютер или ноутбук, да ещё и подключенный без роутера, напрямую к сети провайдера. Чтобы это сделать — запустите командую строку Виндовс с правами Администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Нажимаем клавишу «Enter» и смотрим на результат.

Операция должна быть успешно завершена.

Третьим шагом стоит обязательно проверить настройки своего фаерволла. Желательно чтобы порты 135-139, 445 были закрыты. Хотя бы пока эпидемия вируса-шифровальщика не пройдёт. Если Вы пользуетесь стандартным брандмауэром Windows и ничего стороннего не установлено, то рекомендую создать в нём соответствующие правила. Для этого снова открываем командную строку с правами Администратора и вводим по очереди такие команды:

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

После каждой команды нажимаем Enter и смотрим на результат — должно быть «OK». Если для Вас это будет сложно — воспользуйтесь простенькой утилитой Windows Worms Doors Cleaner. Она никаких дополнительных знаний не требует — просто поставьте в Disable все пункты.

Четвертый шаг — в обязательном порядке обновите базы своего антивируса! Если у Вас он вообще не установлен, то самое время его поставить.

От себя могу порекомендовать бесплатный антивирус Касперского. Отлично справляется со своими задачами и не жрёт кучу ресурсов.

Лечение шифровальщика Wanna Cry

К сожалению, на терминальной стадии, когда файлы уже зашифрованы и выскочило окно WannaDecryptor 2.0 с предупреждением, уже поздно «пить Боржоми». Лечить уже бестолку, ведь расшифровать уже зашифрованные файлы не получится. А вот если зараза только проникла в операционную систему, тогда есть шанс хоть что-то ещё спасти. Первый из известных признаков — это появление на рабочем столе ярлыка WannaCry. Ещё один признак — загрузка процессора неизвестным процессом. Что делать в этом случае?
1. Отключаем ПК от Интернета и перезагружаемся в безопасный режим Windows.
2. Открываем свойства ярлыка декриптора и смотрим где располагается сам исполняемый файл.
3. Удаляем папку с вирусом.
Как правило в ней лежат вот такие файлы:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taskse.exe, u.wnry
4. Загружаемся в обычном режиме и проверяем ОС хорошим антивирусом и устанавливаем патч Microsoft.
И ещё совет — зашифрованные файлы с расширением .wncry лучше не удалять. Есть шанс, что специалисты антивирусных лабораторий со временем смогут найти ключ для расшифровки.

nastroisam.ru

Вирус шифровальщик шифрует файлы, ставит расширение .no_more_ransom

Примерно месяц назад в сети появился новый вирус-шифровальщик NO_MORE_RANSOM. Назван он так по расширению, которое ставит на файлы после шифрования. Внешне вирус похож на da_vinci_code и скорее всего является его клоном или более современной реализацией. Ведет он себя похожим образом в системе. Да и в целом похож на предыдущий вирус.

Гарантированная расшифровка файлов после вируса шифровальщика — dr.shifro.ru. Подробности работы и схема взаимодействия с заказчиком ниже в статье в соответствующем разделе под номером 7 в Содержании.

Описание вируса шифровальщика no_more_ransom

Первое, что бросается в глаза это название нового шифровальщика — no_more_ransom. Не так давно был анонсирован международный совместный проект по борьбе с вирусами шифровальщиками — https://www.nomoreransom.org. Инициатором создания проекта выступил антивирус Касперского. И как ответ на открытие проекта появляется новый вирус с одноименным названием. На наших глазах разворачивается картина противостояния вирусов и антивирусов. Возможно, через некоторое время об этом будут снимать фильмы. Хотя я не уверен на 100%, что это противостояние существует. Вдруг это действуют одни и те же структуры, достоверно мы об этом не можем сейчас судить. Это только предположение.

Основывается мое предположение на похожих случаях в фармакологии, когда уже не раз всплывали истории создания для людей определенных проблем со здоровьем, которые потом успешно лечились дорогостоящими лекарствами. А тут по сути то же самое. Кому выгоднее всего наличие в интернете вирусов? Очевидно, что антивирусам. А кому выгодно распространение рака?

«Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы. Если шум и брань приносят прибыль, капитал станет способствовать тому и другому. Доказательство: контрабанда и торговля рабами.»

Ведь с тех времен принципиально ничего не изменилось. Мы все живем на том же нравственном фундаменте в настоящее время. В какой-то момент наша страна попыталась его изменить, но проиграла борьбу, значит еще не время, люди в большинстве своем не готовы меняться и становиться человеками. Но это я отвлекся от темы. Вернемся к вирусу.

Все происходит как обычно:

  1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку.
  2. В письме вложение с определенным кодом. После запуска вложения, скачивается вирус на компьютер и заражает его.
  3. Начинается шифрование файлов, после окончания пользователь видит информацию о том, что все зашифровано и контакты куда обращаться за расшифровкой.

Конкретно вирус no_more_ransom оставляет в системе на дисках и рабочем столе текстовые файлы README1.txt следующего содержания:

Bаши фaйлы былu зaшuфрованы. Чmобы paсшuфрoваmь ux, Вам нeобxoдuмo отnpавить koд: E0188ABF32FC305B50BF|722|6|10 нa электpонный адрec [email protected] . Дaлeе вы пoлучите вcе нeобxодимые инcmрyкцuи. Поnытku раcшифpoвamь cамoсmoятeльно нe npивeдyт ни k чему, kрoмe бeзвoзвpатной поmepu инфopмaциu. Ecли вы вcё же хoтume noпытaтьcя, то прeдвaриmельнo cдeлaйтe peзeрвные кonuи файлoв, uначe в cлучаe их uзменения pасшифpовkа cтaнeт нeвoзмoжнoй нu пpи каkиx ycлoвuях. Ecлu вы не nолyчuлu omвеma по вышеуkaзанномy адрeсу в течeнue 48 чaсoв (u mолькo в эmoм cлyчае!), вocпользyйтeсь формой oбpаmной связu. Этo можно cдeлать двумя споcoбамu: 1) Сkачайme и yсmaновuтe Tor Browser nо cсылke: https://www.torproject.org/download/download-easy.html.en В aдрeсной cmрokе Tor Browser-а ввeдите aдрес: http://cryptsen7fo43rr6.onion/ u нaжмume Enter. Загpyзumcя cmpaница с формoй обpаmной cвязи. 2) В любом браузepe перeйдume пo одному uз адресoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Текст письма похож на все предыдущие версии шифровальщиков — Enigma, Vault. Про да винчи я уже упомянул. Это наводит на мысль, что пишутся они одними и теми же людьми. Я рекомендую ознакомиться с описанием выше приведенных вирусов, особенно da_vinci_code. По сути это то же самое, поэтому дальше я буду в основном повторяться.

Как только поняли, что ваши файлы зашифрованы, сразу же выключайте компьютер. И на всякий случай вытащите сетевой провод, чтобы отключить компьютер от сети и по ошибке потом не загрузить его с активной сетью. Некоторые вариации вирусов, например ваулт, шифруют и сетевые диски. Ниже я расскажу, как действовать дальше, чтобы восстановить хотя бы часть, а при удаче и все файлы.

Вирус ставит расширение no_more_ransom на файлы

После работы вируса на компьютере все ваши полезные файлы будут переименованы, и заменено расширение на no_more_ransom. Плохо еще то, что имена файлов будут тоже изменены. Вы не сможете достоверно узнать, какие именно файлы зашифрованы, если не помните точно, где и что у вас лежало. Названия файлов приобретут следующий вид:

  • 1uUxn+rIgpjNG0NbxMJG2EVGVlVujSiGY+ZEaodVYkPZ276fgzxSH5XVJZ+m62HrJj-jvVz0A+c5CH9H9htVpqZibtcArKoO8ublF5NiPK4=.E0188ABF32FC305B50BF.no_more_ransom
  • —B8vyQyK-L0cKbW5G77ptS8svf2ZZpJZPuVdxBkpZ13-raxNiehV2C-AlYhAxqasDM6gP8j9vwAb1AN0lOCeAUMO00YyedzSsIJrOXlkh2Mvg1VhAavFVQPtg98zPzYKsmmhazTO9Bz+lA+NImS8A==.E0188ABF32FC305B50BF.no_more_ransom
  • DIRInxdjashCXts6MVT7kMAvE91nzNvP0jaXMvNas7vTEWGrNLVj9IDeIqW3XvOSsjzetxglc-SDuNqN2FlghQ==.E0188ABF32FC305B50BF.no_more_ransom

и так далее. То есть вообще не понятно, что конкретно было в этих файлах. Из-за этого выборочно расшифровать файлы не получится — либо все, либо ничего. Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда.

Как лечить компьютер и удалить вирус no_more_ransom

Вирус no_more_ransom уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса no_more_ransom можно воспользоваться следующими программами:

  1. Kaspersky Virus Removal Tool — утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! — похожий продукт от др.веб http://free.drweb.ru/cureit.
  3. Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 — https://ru.malwarebytes.com.

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика no_more_ransom. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере вируса да винчи, можете посмотреть там. Если кратко по шагам, то действовать надо так:

  1. Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
  2. Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
  3. Чистим упоминание о процессе вируса по имени файла в реестре.
  4. Перезагружаемся и убеждаемся, что вируса no_more_ransom нет в списке запущенных процессов.

Где скачать дешифратор no_more_ransom

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика no_more_ransom. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статью дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице — https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса no_more_ransom

Как и с любым другим вирусом-шифровальщиком, расшифровать файлы без закрытого ключа, который находится у злоумышленников, невозможно. Единственным вариантом для самостоятельного возврата файлов является их восстановление из теневых копий, либо с помощью программ для восстановления удаленных файлов.

Нам понадобится программа shadow explorer для восстановления файлов из теневых копий. Чтобы попытаться восстановить остальные файлы, воспользуемся программой для восстановления удаленных файлов photorec. Обе программы бесплатные, можно без проблем качать и пользоваться. Дальше расскажу как их использовать.

Для начала попробуем восстановить архивные копии файлов, которые хранятся в теневых копиях диска. По-умолчанию, начиная с Windows 7 технология теневых копий включена. Проверить это можно в свойствах компьютера, в разделе защита системы.

Если у вас она включена, то запускайте программу ShadowExplorer, которую я предлагал скачать чуть выше. Распаковывайте из архива и запускайте. Нас встречает главное окно программы. В левом верхнем углу можно выбрать диск и дату резервной копии. Скорее всего у вас их будет несколько, нужно выбрать необходимую. Чтобы восстановить как можно больше файлов, проверьте все даты на наличие нужных файлов.

В моем примере на рабочем столе лежат 4 документа, которые там были до работы вируса. Я их могу восстановить. Выделяю нужную папку, в данном случае Desktop и нажимаю правой кнопкой мышки, жму на Export и выбираю папку, куда будут восстановлены зашифрованные файлы.

Если у вас не была отключена защита системы, то с большой долей вероятности вы восстановите какую-то часть зашифрованных файлов. Некоторые восстанавливают 80-90%, я знаю такие случаи.

Если у вас по какой-то причине нет теневых копий, то все значительно усложняется. У вас остается последний шанс бесплатно расшифровать свои файлы — восстановить их с помощью программ по поиску и восстановлению удаленных файлов. Я предлагаю воспользоваться бесплатной программой Photorec. Скачивайте ее и запускайте.

После запуска выберите ваш диск, на котором будем проводить восстановление данных. Затем укажите папку, куда будут восстановлены найденные файлы. Лучше, если это будет какой-то другой диск или флешка, но не тот же самый, где осуществляете поиск.

Поиск и восстановление файлов будет длиться достаточно долго. После окончания процесса восстановления вам будет показано, сколько и каких файлов было восстановлено.

Можно закрыть программу и пройти в папку, которую указали для восстановления. Там будет набор других папок, в которых будут файлы. Все, что получилось расшифровать, находится в этих папках. Вам придется вручную смотреть, искать и разбирать файлы.

Если результат вас не удовлетворит, то есть другие программы для восстановления удаленных файлов. Вот список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Это все, что я знал и мог подсказать на тему того, как расшифровать и восстановить файлы после вируса no_more_ransom. В принципе, шансы на восстановление есть, но не в полном объеме. Наверняка может помочь только своевременно сделанная архивная копия.

Касперский, eset nod32 и другие в борьбе с шифровальщиком

Современные антивирусы, к сожалению, до сих пор пасуют перед угрозой шифровальщиков. Они и пропускают их на компьютер, и не могут ничего предложить по расшифровке. К примеру, вот ответ с форма Eset Nod 32 по поводу расшифровки файлов после no_more_ransom:

http://forum.esetnod32.ru/messages/forum35/topic13688/message96440/#message96440

Kaspersky тоже не может расшифровать no_more_ransom

https://forum.kasperskyclub.ru/index.php?showtopic=52990&p=777596

Это хоть и не официальный форум касперского, но с него отправляют писать запросы именно сюда. Можно, конечно, попробовать написать в техподдержку, но вряд ли они смогут предложить готовое решение по расшифровке. Но тем не менее, попробовать стоит, если у вас есть лицензия антивируса.

Если у вас лицензия Dr.Web, попробуйте обратиться в их техподдержку. У них есть отдельная форма для отправки запросов по поводу расшифровки файлов — https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Хотя они принимают запросы даже от тех, кто не приобретал их антивирус, но тем не менее в приоритете будет обращение клиента компании.

Куда обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе no_more_ransom. Их адрес — http://www.dr-shifro.ru . Оплата только после полной расшифровки и вашей проверки. Вот примерная схема работы:

  1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
  2. Запускает дешифратор и расшифровывает все файлы.
  3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ.
  4. Оплата исключительно по факту успешного результата дешифрации.

Подробнее о схеме работы- http://www.dr-shifro.ru/11_blog-details.html

Скажу честно, я не знаю, как они это делают, но вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса no_more_ransom

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву. К примеру no_more_ransom показывает сначала очень замыленное изображение файла и предлагает скачать версию с четким изображением. И люди ведутся.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. Постараюсь в скором времени сделать единую компиляцию по всем известным мне вирусам-шифровальщикам, чтобы охватить все аспекты в одном месте. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику no_more_ransom в целом.

Видео c расшифровкой и восстановлением файлов

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для no_more_ransom.

Помогла статья? Есть возможность отблагодарить автора

serveradmin.ru

Вирус шифровальщик зашифровал файлы на компьютере, что делать, как вылечить и как исправить?: spayte — LiveJournal

Все  мы по телевизору слышим периодически про вирусы «petya», «wanna-cry» и им подобные. Это так называемые «звезды мирового масштаба», международного класса. Если о них говорят по телеку, а на вашем компьютере все пока  хорошо, скорее всего встреча со «звездой» Вам уже не грозит. Меры приняты. Вирус обнаружен, обезврежен. Его сигнатура есть  уже даже в базе вашего встроенного антивируса.  Гораздо опаснее вирусы-шифровальщики, о которых по телевизору не говорят. Пишут их наши соотечественники.»Свободные художники», не отягченные нормами морали.


">

Раньше было проще. Вирус-вымогатель блокировал рабочий стол. На экране висел неприличный баннер, что вот мол,вы такие разэтакие. Вы наказаны, платите штраф. Все это лечилось довольно  быстро и легко. И довольно быстро баннеры-вымогатели вышли из моды.

Потом горе-программисты с большой дороги решили, что надо развиваться дальше. По почте стали  приходить «невинные» письма. Причем часто они приходят в начале месяца, а так же на квартальные  и годовые даты.  Ничего не подозревающий  главный (или не очень) бухгалтер открывает такое  письмо. Содержимое не открывается. Ничего не происходит. Она письмо закрывает. Но, через час обнаруживает, что все файлы-документы, фотографии, базы данных оказываются зашифрованными. А в каждой папке на компьютере лежит файл  с наглым, спокойным посланием.

 

Не отчаивайтесь! Читайте статью! Есть способы, которые  Вам помогут защитится. сейчас постараемся максимально подробно их осветить.

Итак, в теме получаемого письма могут быть такие слова :»главбуху», «в бухгалтерию», «Акт сверки», «Повестка из суда»,»Арбитраж», часто встречается слово «штраф», «суд».

Еще раз повторюсь — в начале месяца и на квартальные, годовые даты приходят чаще всего  такие «письма счастья». Расчет простой. Несчастный бухгалтер (как правило женщина), у которой и так «горят» квартальные отчеты, готова на все, чтобы вернуть назад свои ведомости, базы,  таблицы, расчеты и годы работы.


Друзья, не идите на поводу у вымогателей. Гарантии расшифровки никакой нет. Зачем поднимать самооценку этим горе -«хакерам», давать возможность и дальше грабить честных и трудолюбивых людей? Не перечисляйте им деньги! Возможность восстановления есть при условии, что Ваш компьютер настроен правильно и защищен. Следуйте рекомендациям!



Как защититься от вируса — шифровальщика в windows?

Впервые меня попросили помочь года два-три назад… И меня тогда помню,  поразило это можно сказать лукавство. Вирус, попадая  в систему работает как обычная программа. В базах установленного лицензионного (!) антивируса не содержалось их сигнатур, поэтому поначалу антивирусы не «рассматривали» такие «приложения» как вредоносные.

До тех пор, пока  обращения в службу поддержки не стали массовыми.  Вредоносная программа шифрует  все  файлы на компьютере определенного типа — текстовые, документы, фотографии, файлы PDF. А мой вчерашний «гость»  уже зашифровал даже некоторые файлы программы 1С.  Прогресс налицо.

Но, и мы не за печкой родились… Сразу скажу, что расшифровать зашифрованные файлы какой либо  сторонней программой не удастся. Помню, в Лаборатории Касперского выкладывали на своем сайте программы дешифраторы.

Но, они только для вирусов определенного типа. Мне не помогало.. Завтра злоумышленник меняет шифр, и не поможет уже эта программа. Ключ известен только «разработчику». А если его уже посадили,  точно никто не пришлет Вам декриптор.  Для того, чтобы заставить вас облегчить свой кошелек,  вредоносный код должен преодолеть несколько линий обороны.

Первая линия обороны — это Ваша внимательность и разборчивость. Вы всегда ходите на одни и те же сайты. Если Вы получаете почту, то почти всю Вы ее получаете всегда от одних и тех же адресатов и всегда с одним и тем же содержимым.

Когда Вы получили письмо с непривычным содержимым, не спешите его открывать. Если Вы попали на незнакомый сайт, и видите необычное окно, не спешите переходить.


Если у Вас или Вашей организации есть сайт — уберите оттуда информацию о Вашем  электронном почтовом адресе. Если его видно, то он обязательно попадет в список рассылки интеллигентных «романтиков с большой дороги».  Давайте адрес только доверенным лицам и в частном порядке.


Вторая линия обороны — лицензионный отечественный антивирус. Почему лицензионный? Я заметил, что  платный лицензионный антивирус (прошедший  государственную сертификацию ФСТЭК)  работает лучше, чем бесплатная.

Еще как-то раз я  повторно  что-то перепроверял после «пробной» версии Касперского(правда давно). Результат обескуражил. Я нашел кучу вирусов тогда.. Вот такое наблюдение. За настоящую безопасность надо платить  пусть небольшие, но деньги.

А почему отечественный антивирус? Потому что, у наших сертифицированных  антивирусных продуктов ведутся базы нежелательных и мошеннический сайтов. Зарубежные «коллеги» не всегда могут этим похвастаться, у них сегмент Интернета другой, всего не охватишь .


Запускайте антивирусный сканер на компьютере на ночь хотя бы раз в месяц.



Как вирус-шифровальщик попадает на компьютер?

Файлы  с вирусом попадают через ссылки интернета и через почту. А потом и дальше по сети, если настройки безопасности не сделаны.Письма с вирусом содержат вложения или ссылку на загрузчик самого вируса.

Для маскировки вложение   почти всегда присылается в архиве. Поэтому,  сначала необычное письмох  проверим  антивирусом.Нужно сохранить файл на компьютер(антивирус его уже «просмотрит» при этом). А потом дополнительно нажать правой кнопкой мыши по сохраненному на диске файлу и проверить еще раз:

При нажатии на  подозрительную ссылку Интернета или письма (опять же в случае с установленной платной версии антивируса) система выдает такое полезное окно:

Сайт в базе нерекомендуемых. Это значит, что с него  уже были «тревожные звонки».  Еще, платные версии лучше  проверяют  Интернет -ссылки на «зашитые» в них вирусы, чем бесплатные. И  при переходе по такой ссылке они вирус обезвреживают, или заносят в список «подозрительных» и блокируют его.

В  конце марта я такими нехитрыми способами выловил из почты очередной «квартальный» вирус-шифровальщик. Единственное, что он успел сделать -это написать мне по всему компьютеру сообщение, что файлы зашифрованы, но это было не так. Они остались целыми, отработал код только на создание сообщения:

Прошу обратить внимание на то, что тут указан  электронный адрес некоего Щербинина Владимира 1991 года. Поколение 90-х… Это ложный след, потому как настоящий адрес ниже. Тор -браузер позволяет избежать отслеживания компьютера в Интернете стандартными средствами. Вот через такой браузер злоумышленник предлагает Вам связаться с ним. Все анонимно. Сидеть в тюрьме никому не охота.

К сожалению часто бывает, что иногда вирусы обходят наши первые две линии обороны. Мы в спешке забыли просканировать файл, а может антивирус еще не успел получить данные о новой угрозе. Но можно настроить защиту в операционной системе.


Как настроить защиту от вируса шифровальщика в Windows 10?

Продолжаем строить глубокую, эшелонированную оборону от вирусов шифровальщиков и не только от шифровальщиков. Расшифровать файлы нельзя. А восстановить  их можно. Все дело в настройках. Если их сделать до попадания вируса на компьютер, то вирус ничего не сможет сделать. А если и сделает, то будет возможность восстановить файлы.

Третья линия обороны — это наш компьютер. Уже давно года так с 2003 Microsoft использует технологию «теневого копирования дисков» . Для нас с Вами это означает, что любое изменение системы можно отменить.

Заранее создается «снимок» вашего жесткого диска, автоматически без Вашего ведома. И система хранит его, добавляя только изменения. Эта технология  используется для резервного копирования данных. Нужно только включить ее.

В зависимости от объема диска, настроек, на томе может храниться до 64 предыдущих «теневых копий».Если эта опция включена, то восстановить зашифрованные файлы можно из такой  теневой копи, которая  незаметно создается ежедневно.

Первый шаг — Идем Этот Компьютер — правая кнопка мыши  «свойства» :

Дополнительные параметры

Откроем вкладку «Защита системы»  В примере на одном из дисков отключена опция защиты.  Встаем мышью на выбранном диске и нажимаем «Настроить»

 


Восстановление данных  из копии можно провести из этого окошка нажав кнопку «Восстановить»


Делаем настройки как на рисунке:

Следующий шаг — настройка контроля учетных записей. Вы не замечали, что никогда еще не было по телевизору рассказано о вирусных «эпидемиях» на устройствах семейства Linux, Android?

Их что, злоумышленники не замечают? Замечают,  усиленно пишут вирусы, но там вирус пока не срабатывает. Когда Вы  работаете на таком устройстве, Вы на нем не обладаете полномочиями Администратора. Вы обычный пользователь, с обычными правами, систему менять Вам никто не даст.

Если Ваше  устройство еще на гарантии и Вы специальными средствами присвоите себе права администратора (root), то производитель лишает Вас за это  гарантии. Любой известный сейчас вирус попадая в такую ограниченную  «пользовательскую» среду-тюрьму пытается изменить что либо, но  безуспешно, так как команды на изменения системы  молча блокируются. В этом огромный плюс Linux.

 

Microsoft (что в переводе означает «маленький  и нежный») в рамках  своей идеологии позволила пользователям легко и свободно менять настройки безопасности в своих операционных системах.

Настолько легко и свободно, что вирус, попадая уже  в «администраторскую» среду, уже действует с полномочиями администратора, ему ничего не мешает. Отсюда массовые эпидемии и  вывод, что  только на пользователе компьютера Windows лежит ответственность за сохранность своих данных. А кто из нас обращает внимания на настройки?  Пока гром не грянет.. :-

Надеюсь, я Вас убедил. Все легко. Идем в учетные записи пользователей

Внутри жмем на ссылку «Изменение параметров контроля учетных записей »

Перемещаем ползунок как нам удобно.

Теперь при запуске любой программы с вашего ведома (или без вашего) система будет спрашивать у Вас разрешения,уведомлять Вас. Мелко-нежные любят такие окошки…

 И если у Вас полномочия Администратора, то Вы сможете разрешить ее выполнение. А если Вы обычный пользователь, то не разрешит. Отсюда опять вывод, что лучше всего иметь на своем компьютере одну защищенную паролем учетную запись Администратора, а все остальные должны быть обычные пользователи.

Конечно, окно это всем давно  знакомо, надело уже всем, его все отключают.   Но, если контроль учетных записей включен,  то он не даст запустить программу даже при удаленном подключении к компьютеру напрямую. Вот так.  Но, из двух зол надо меньшее выбирать. Кому что нравится. Вот еще короткое видео на эту тему


 

Следующий шаг — это настройка полномочий для папок. Для особо важных папок с документами можно настроить права доступа на каждую такую папку. В свойствах любой папки (через правую кнопку мыши — «Свойства»)  есть вкладка «Безопасность».

Вот, к примеру у нас есть  на компе Пользователи, допустим это  наши маленькие дети. Мы не хотим, чтобы они могли менять содержимое данной папки. Поэтому жмем «Изменить».

Серые галочки — это то что задано по умолчанию. Мы можем поставить галочки и «запретить» вообще все. Даже просмотр. Можно сделать запрет на группу пользователей  (как на рисунке). Можно «Добавить» какого то отдельного пользователя. Вирус ничего не сможет сделать, если в этой папке будут запрещены полномочия  «изменение» или на «запись». Попробуйте поставить запрет на запись, а потом скопировать в такую папку какой либо файл.

И еще, мы рассмотрим сегодня такую меру защиты от вирусов  как резервное копирование файлов. Для такого решения заранее нужно приобрести и установить в компьютер еще один жесткий диск объемом не менее того, на котором установлена Ваша Windows. Затем нужно настроить архивацию на него.

В панели управления есть ссылка на «Резервное копирование и восстановление»

Провалившись туда мы попадаем в настройки:

Вот что нам рекомендуют:

У меня сейчас под рукой  только раздел моего жесткого диска «D». Можно и так, но только на первое время. Потом обязательно нужно прикупить себе внешний жесткий диск. Как только выбрали местоположение архива, жмем «Далее».

Если у Вас нет жесткого диска, делаем все как на рисунке. В этом случае будут сохранены  только файлы  в стандартных расположениях (Мои документы, Мои рисунки Загрузки, Рабочий стол и т.д.). Жмем «Далее».

Вот и все, друзья. Процесс пошел. Вот видео, в котором рассказывается про то как создать образ системы и востановить файл из образа


Итак,  для эффективной защиты от вирусов-шифровальщиков достаточно быть внимательным, иметь  желательно платный отечественный антивирус и настроенную  под нормальную безопасность операционную систему. «Но, как к тебе  попал вирус-шифровальщик, если ты такой умный ?» — спросит меня читатель. Каюсь, друзья.

Все выше перечисленные настройки были у меня сделаны. Но, я сам отключил всё примерно на пару часов. Мы с коллегами удаленно настраивали  подключение к базе данных, которое никак не хотело устанавливаться.

В качестве тестового варианта было решено срочно  использовать мой компьютер. Чтобы убедиться, что пакетам не мешают проходить антивирус, настройки сети, брандмауэр, я  на время по быстрому удалил антивирус, отключил контроль учетных записей. Всего навсего. Что из этого вышло читайте ниже.


Когда вирус шифровальщик попал на компьютер, — что делать?

Хоть это и не просто, для начала постараться не паниковать. Злоумышленник не может знать содержимое Вашего компьютера. Он действует вслепую. Шифруется не все. Например, программы и приложения обычно не шифруются. Архивы  *.rar и *.7zip — тоже нет. попробуйте открыть архив.  Если он открылся — это хорошо.

Когда обнаружил «сюрприз», начал догадываться я, что «попал». Я ведь знал, что делал… Для начала поставил антивирус обратно. В удрученном состоянии  снова включил контроль учетных записей «на всю», и запустил на ночь сканирование системного раздела С:, на котором установлена Windows.

Нужно  было выцепить зараженный файл. Если этого не сделать, толку не будет. Все опять зашифруется. Так что сначала лечим компьютер.


По возможности запускайте проверку всего компьютера через бесплатный лайф-диск от Dr Web или аналогичной бесплатной утилитой от Касперского Kspersky Resque Disk 10.


Утром в карантине моего антивируса были найдены вот такие «монстры»:

Всего три, бывало и хуже. Но эти три зашифровали все мое добро. Что делаем дальше? Если была настроена архивация, надо после лечения просто восстановить файлы из архива, и всё.  Я  и полез в архив, где у меня  было настроено ежедневное резервное копирование моих файлов за несколько месяцев.

Открыв его я увидел, что все  архивы за все даты так же убиты. Список пуст. Почему так произошло?

Вирусы умнеют. Сам отключал контроль учетных записей, после того как удалил антивирус. …….Первое, что сделал вирус после этого —  обрадовался и удалил все файлы резервных копий. А  я с этого момента  начал постепенно впадать в уныние…

Второе, что надо сделать (подумал я), это восстановить файлы из теневой копии диска C:. Для этого я пользуюсь  бесплатной  программой для просмотра теневых копий диска ShadowCopyView_ru_64 или 32 разрядной версией. Она позволяет быстро визуально просмотреть и оценить содержимое теневых копий, а так же восстановить отдельные папки.

Когда я  просмотрел последние снимки, обнаружилось, что остались только   зашифрованные копии … Второе, что сделал вирус, это опять убил мои старые теневые копии защищенного тома, чтобы мне было интереснее…. А может, они затерлись последующими копиями…Финал…

Казалось бы все. Не все, друзья. Главное, не сдаваться.


Вирус зашифровал файлы на компьютере windows 10, что делать, как вылечить и как исправить?

Вот до чего наши «горе-хакеры» еще пока  не успели добраться. Последняя линия обороны. Присутствует только в Windows10, не проверял еще, но думаю в «семерке»и «восьмерке» этой новой замечательной функции нет. Заметил  ее недавно. Это действительно новая и замечательная функция. В поисковой строке бьем слово «восстановление»

В панели управления оснастка «восстановление файлов с помощью истории файлов»

Я  обрадовался и сразу полез конечно же в «Документы» и «Рабочий стол».

И увидел, что файлы не зашифрованы. Ура!  «Спасибо Зеленый Стрелочка! Процесс пошел. Файлы восстановлены. Компьютер вылечен от вирусов. Настройки безопасности сделаны. Что  еще осталось сделать?

Надо еще удалить зашифрованные файлы. Мало ли что…  Но их очень, очень много. Как их быстро найти и удалить? Я  давно пользуюсь файловым менеджером Total Comander. На мой вкус — нет лучше. Тот, кто начинал с Far Manager меня поймет. Tonal умеет быстро искать файлы,  и многое другое. Будем поочередно чистить диски.

Начнем с системного раздела, выберем его кликом мыши или из ниспадающего списка в левом верхнем углу:

Нажимаем на клавиатуре одновременно Alt + F7. Это   мы вызвали панель поиска файлов.

Можно искать по имени. Можно как угодно. Но мы будем по маске.То есть Указываем через звездочку и точку расширение зашифрованного файла *.freefoam(у вас «автор» может быть другой, другим будет и расширение). Этим мы указали, что ВСЕ файлы с таким расширением нужно искать.  Место поиска «С:». Можно так же и указать в этой панели все разделы, не только «С:». Нажимаем «Начать поиск».

Поиск окончен. Дальше нажимаем «Файлы на панель».

Нажатием «звездочки» на боковой клавиатуре,  выделяем розовым все файлы в панели. Чтобы удалить файлы в корзину нажимаем F8 или Del:

Вычистили  как пылесосом весь оставшийся зашифрованный мусор. Пусть лежит в корзине пока. Потом удалю. Таким же образом я поочередно вычистил все разделы примерно минут за сорок. У меня много чего зашифровалось.

Но, мне повезло, потому что бывает и хуже. Эта новая функция меня буквально спасла. Не знаю точно, влияет ли включение теневых копий на эту новую функцию. Похоже что да, но я специально не проверял. Как то уже не хочется:)

Напишите, если в курсе. А выводы можно сделать такие. При наличии хорошего антивируса и правильной настройке операционной системы windows 10 можно утереть нос злоумышленнику и оставить его  ни с чем.

ИСТОЧНИК

spayte.livejournal.com

Опасный вирус-шифровальщик. Особенности и профилактика заражения

Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.

Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В нашей компании столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.

Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.

Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.

 

Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:

1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.

При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!

4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.

Зашифрованные файлы выглядят следующим образом:

5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.

Примерное содержимое файла PAYCRYPT_GMAIL_COM

Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
— e-mail и доверие
— электронная валюта «за урок»
Наши ресурсы:
— Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть — DECODE.exe)
— Предоставим гарантии — после оплаты ключ будет передан, согласно договоренности
— Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов — неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации — вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай — ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.

7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
— вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) — поищите его на компьютере, без него восстановление невозможно
— 1-2 зашифрованных файла для проверки возможности расшифровки
— приблизительное колл-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? — Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS

DATE CRYPTED: 2_.0_.2014 / 11:50.

Вот такие вот вежливые нынче кибер-преступники.

Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:

1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.

2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.

3. Восстановить данные и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.

В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.

www.home-engineer.ru

Вирус зашифровал файлы на компьютере в расширение .xtbl

Здравствуйте админ, я к вам с проблемой. Мне пришло на электронную почту письмо с архивом, а в архиве странный файл, открыл его щёлкнув двойным щелчком мыши, на секунду мелькнуло какое-то окно и ноутбук завис, через минуту большая часть файлов на рабочем столе приобрела странный вид и вот такие названия:

+InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl

1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI=.xtbl

Выключил принудительно ноут и после включения на рабочем столе появилось вот такое сообщение "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl

Привет друзья! Наш читатель прислал мне по почте письмо с самой опасной на сегодняшний день вредоносной программой и я заразил вирусом свой тестовый компьютер, смотрим как происходит заражение, как происходит шифрование файлов и как в конце концов можно удалить этот вирус. Но мой вам совет, если вы обнаружили в вашей операционной системе работу подобного вируса и ни с чем подобным ранее не сталкивались, то просто выключите компьютер и сразу обратитесь за помощью в хороший сервисный центр, потому как существует риск полной потери ваших данных на жёстком диске.

Данный вирус представляет из себя троянскую программу, а значит одновременно происходит заражение вашей операционной системы сразу несколькими вредоносными программами. Лично я, полностью исследовав заражённый компьютер утилитами Process Monitor и AnVir Task Manager, насчитал четыре:

Первый зловред, обычный блокировщик рабочего стола, блокирует вашу Windows, чтобы вы не смогли ничего сделать.

Второй зловред, представляет из себя руткит, скрывающий третью программу включающую ваш компьютер в Ботнет (компьютерная сеть, состоящая из заражённых компьютеров) и ваша машина начинает служить злоумышленникам (рассылать спам и заражать другие компьютеры в интернете) и безбожно тормозить.

Четвёртый зловред, шифрует сложнейшим алгоритмом часть системных и все пользовательские файлы: изображения, видео, аудио и текстовые документы в расширение .xtbl. На момент шифрования файлов, в операционной системе работает файл шифратор, если его обнаружить, шансы на расшифровку заметно возрастут, но это ещё никому не удалось даже с помощью инструмента Process Monitor, этот файл всегда удачно самоудаляется.

В процессе заражения на рабочем столе или в корне диска (C:) создаётся текстовый документ с таким содержанием: 

"Для расшифровки ваших файлов и получения необходимых инструкций отправьте код Q2R8459H8K3956GJS2M1|0 на электронный адрес [email protected] (адреса могут разниться и не всегда этот файл создаётся - примеч. администратора). Не пытайтесь сами расшифровать файлы, это приведёт к безвозвратной их потере".

 

 

В последнем, попавшемся мне, таком файле совсем не было никаких почтовых адресов, а просто были номера электронных кошельков для пополнения, что говорит об возможной торговле данной вредоносной программой на закрытых хакерских форумах.

В первую очередь удаляем вредоносную программу

Наш читатель поступил правильно, почуяв неладное выключил компьютер, этим он спас все остальные свои файлы от заражения.

Как я уже заметил в начале статьи, архив с вредоносной программой оказался у меня. Раньше я всегда сталкивался с последствиями работы этого трояна, а сейчас представилась возможность проследить как происходит заражение и шифрование.

Также из дальнейшего рассказа вы увидите, что при наличии нормального антивируса и менеджера автозагрузки заразить свой компьютер вирусом практически невозможно.

Вот так выглядит архив в письме

Извлекаю из архива файл вируса и запускаю его

Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле - Состояние: Определённо не требуется - вирусы, шпионы, реклама и "пожиратели ресурсов".

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой. 

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).  

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.

Очистка системы

Несмотря на такое разрушительное действие, от вируса-шифровальщика можно избавиться простым восстановлением операционной системы (только в том случае, если вы запустите её в среде восстановления). Если восстановление системы у вас отключено, то удалите вредоносную программу в безопасном режиме, Windows так устроена, что в Safe Mode работают только основные системные процессы операционной системы. Для удаления вируса можно использовать обычный Диспетчер задач Windows, а лучше программу AnVir Task Manager, рассмотрим оба варианта.

Загружаемся в безопасный режим и открываем Диспетчер задач, смотрим незнакомые элементы в Автозагрузке. Так как в безопасном режиме процессы и сервисы вредоносной программы не работают, то просто удаляем файл вируса, но к сожалению Диспетчер задач не сможет показать все заражённые файлы.

Щёлкаем правой мышью мышью на подозрительном файле и выбираем в меню Открыть расположение файла

Открывается папка автозагрузки:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

с вредоносными файлами, которые нужно просто удалить. 

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal - онлайн сервисе, анализирующем подозрительные файлы.

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский - Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb - Trojan.PWS.Tinba.161, Avira - TR/Crypt.Xpack.189492 и так далее.

Кто заинтересовался возможностями AnVir, читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:\Users\Имя пользователя\AppData\Local\Temp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.

К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

 

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

 

Как расшифровать зашифрованные файлы с расширением .xtbl

Во первых и не думайте переписываться со злоумышленниками, до вас это пробовали многие, никакого дешифратора вам не дадут, а только разведут на деньги. Также не верьте людям, которые пообещают расшифровать вам файлы за деньги, никакого стопроцентно работающего дешифратора на сегодняшний день не существует, об этом признались даже в лаборатории Dr.Web. Один мой приятель перерыл весь интернет и пообщался с большим количеством людей предлагающих за вознаграждение произвести расшифровку файлов, но результат абсолютно отрицательный, также нами были перепробованы все существующие программы дешифровщики.

 

Говорят, что лаборатории Dr.Web удалось помочь немногим пользователям расшифровать зашифрованные файлы и они готовы помочь другим пользователям попавшим в беду, но для этого у пострадавших должны быть установлены на компьютерах платные версии антивирусов от Dr.Web, например Dr.Web Security Space и Dr.Web Enterprise Security Suite. Что это, реклама? Как бы то не было, если вы обладатель данных продуктов и пострадали от вируса-шифровальщика перейдите по ссылке, заполните форму, выберите файл и нажмите Отправить, затем ждите ответа.

https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

Скачайте файл RectorDecryptor.exe

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

 

Статья близкая по теме: Что делать если на компьютере вирус-майнер

remontcompa.ru

Что представляют собой вирусы-шифровальщики

Если ваш компьютер заражен вирусом шифровальщиком, вам необходимо произвести переустановку Windows.

Это позволит полностью удалить вирус шифровальщик на вашем компьютере.

Наши компьютерные мастера могут произвести переустановку Windows в Уфе и попытаться восстановить зашифрованные файлы

Звоните 8-927-237-48-09

Вирусы-шифровальщики, или по другому их еще называют - криптографические вирусы - особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом "шифрование"? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.

Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре - на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.

Как и любой вирус, функции, который он выполняет - зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.

После шифрования жесткого диска и всех файлов на нем - вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки - вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства - и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.

Что имеем в данном случае? Все ваши документы, курсовые, ДИПЛОМНЫЕ РАБОТЫ, и прочие документы - зашифрованы и к ним нет доступа.

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост - включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется - теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида - сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту - компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу - платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно "попытаться расшифровать"?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

Что делать дальше, когда все зашифрованные файлы на отдельном устройстве

После копирования зашифрованных файлов на флешку или жесткий диск, необходимо произвести полное форматирование жесткого диска компьютера и новую установку Windows. После установки Windows, необходимо установить антивирус, который будет обновляться и защищать ваши файлы от вирусов-шифровальщиков.

В этом случае, вы можете обратиться в нашу компанию по телефону 8-927-237-48-09 и воспользоваться услугами компьютерной помощи.

 

 

ufacomputer.ru

Spora ransomware - новый вирус trojan-шифровальщик

Месяц назад столкнулся с очередным шедевром вирусоделов, который оказался не похож на все то, что я видел ранее. Я расскажу вам о продвинутом вирусе вымогателе-шифровальщике spora ransomware, о способах расшифровки файлов и лечении. Хакеры разработали принципиально новый подход к разводу пользователей на приличные деньги. Далее расскажу обо всем по порядку.

Описание вируса шифровальщика spora ransomware

Расскажу подробно о том, что это такое — spora ransomware. Назвать его просто вирусом шифровальщиком, подобно ранее известным vault, da_vinci_code, enigma, no_more_ramsom язык не поворачивается. По сути это целый программный комплекс, состоящий из:

  1. Непосредственно вируса, который шифрует пользовательские файлы.
  2. Сайта для взаимодействия с инструментами расшифровки.
  3. Модуля приема оплаты в биткоинах.
  4. Чата для техподдержки пострадавшим.

Все сделано на очень высоком техническом уровне, начиная от самого трояна-вымогателя, заканчивая самим сайтом. Работа по шифрованию файлов сделана очень аккуратно и незаметно. Если раньше шифровальщики заменяли расширения файла, что сразу указывало на то, что файл зашифровали, то теперь криптолокер действует хитрее — он шифрует файлы, не изменяя название файлов и их расширение. Это позволяет ему оставаться незаметным до тех пор, пока он не закончит свою работу. Особенно это актуально с сетевыми дисками, где сразу не догадаешься, что идет шифрование, если работают с файлами разные пользователи по сети.

Но я забегаю вперед. Расскажу обо всем по порядку, начиная от заражения компьютера, заканчивая вариантами расшифровки и восстановления файлов.

Важное замечание сделаю сразу же. Данный шифровальщик шифрует в том числе и сетевые диски, до которых сможет добраться. Как только заподозрили на компьютере вирус — сразу же отключайте его от сети. А лучше полностью выключите.

Как вирус вымогатель spora шифрует файлы

Начинается все, как обычно со всеми вирусами шифровальщиками — с письма на почту. Письмо это будет специально подобрано по содержанию, чтобы максимально напоминать рабочую переписку, если рассылка ведется по корпоративной базе почтовых ящиков. К примеру, там может быть просьба от какого-то контрагента сверить бухгалтерские документы, или посмотреть счет фактуру, либо что-то еще. Если рассылка идет по личным ящикам пользователей, то оно будет замаскировано под письмо от сбербанка, налоговой или какой-то еще популярной в народе службы.

Главная задача такого письма — заставить пользователя запустить вложение. В случае с spora, во вложении будет zip архив, внутри которого файл с расширением .hta. После запуска этого файла, во временной директории пользователя создается новый файл с расширением .js, в который записывается зашифрованный JScript и выполняется. Сам скрипт с вирусом зашифрован стандартными системными алгоритмами, чтобы его не обнаружили антивирусы.

После выполнения скрипта, во временной директории пользователя C:\Users\user\AppData\Local\Temp появятся два файла:

  • 4a0f17b9936.exe
  • doc_113fce.docx

Имена файлов скорее всего в каждом конкретном случае будут разными, но по типу будут такие же. Первое это исполняемый файл, который и является шифровальщиком. Сразу после создания, он запускается и начинает свою черную работу по шифрованию файлов.

Если у вас включен UAC, то вы увидите запрос на выполнение файла. Вирус пытается удалить все теневые копии, а для этого нужно подтверждение. Если не подтвердите запуск файла, то считайте, что вам повезло, и ваши теневые копии останутся. А если подтвердите выполнение, или если у вас вообще отключен UAC, то ваши теневые копии будут удалены командой:

vssadmin.exe delete shadows /all /quiet

Второй файл является пустышкой, который замаскирован под файл формата word, но при этом открывается с ошибкой.

Он сделан, скорее всего, для того, чтобы запутать пользователя. Человек может подумать, что просто файл повредился. Это может побудить его еще раз открыть вложение из письма, чтобы убедиться, что письмо не открывается. Особо сообразительные люди отправляют письмо коллегам с просьбой проверить, открывается ли у них этот файл. Сам лично наблюдал такое поведение. В итоге шансы у вируса-вымогателя выполнить свою работу увеличиваются.

После того, как вирус запустился и зашифровал все файлы, которые смог найти, он создает 2 файла на рабочем столе пользователя:

  • RU15C-ACXRT-RTZTZ-TOGTO.HTML
  • RU15C-ACXRT-RTZTZ-TOGTO.KEY

Первый файл — html страничка, которая автоматически запускается. Она содержит в себе краткую информацию о том, что произошло на компьютере:

Все ваши рабочие и личные файлы были зашифрованы. Для восстановления информации, получения гарантий и поддержки, следуйте инструкции в личном кабинете. 1. Только мы можем восстановить Ваши файлы. Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или "взломать" его невозможно. 2. Не обращайтесь к посредникам! Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.

На странице есть форма ввода, куда уже введен ваш идентификатор, с помощью которого вы можете авторизоваться на сайте https://spora.bz.

Второй файл необходим для того, чтобы вы смогли получить дешифратор от злоумышленников. Его нужно сохранить, если вы рассчитываете расшифровать файлы.

Особенностью работы данного вируса шифровальщика является то, что ему для своей работы не требуется доступ в интернет. После того, как вы его запустите из почты, он начнет свою работу, даже если у вас антивирус или firewall контролирует подозрительный сетевой трафик.

Если вы увидели в своем браузере описанную выше страничку, значит все ваши файлы уже зашифрованы, хотя внешне кажется, что все в порядке. Но при попытке открыть файл, вы получите ошибку. Дальше нужно действовать аккуратно и внимательно, если хотите получить свои данные обратно. Шансы сделать это бесплатно хоть и небольшие, но есть.

Можно зайти в личный кабинет указанного выше сайта и посмотреть, как там все устроено.

После заражения у вас есть 5 дней, чтобы оплатить расшифровку. После этого, она станет дороже в 2 раза. Имейте это ввиду, если решитесь платить деньги. Я знаю, что многие платят, так как нет выхода, поэтому сразу предупреждаю. Цена через 5 дней реально будет в 2 раза выше.

Поражает набор услуг, которые вы можете приобрести в «магазине». Тут и иммунитет от шифровальщика, и очистка компьютера. У вас есть возможность расшифровать 2 файла бесплатно. Если у вас пропало не более пары нужных файлов, считайте что вам повезло, сможете их расшифровать. Но имейте ввиду, что это не всегда срабатывает. Если злоумышленники посчитают, что файл очень ценен, то могут отказать в бесплатной расшифровке.

На сайте предусмотрен чат с техподдержкой вируса. Первое время не было ограничения на количество сообщений, теперь оно есть — не более пяти. Так что внимательно следите за тем, что пишите, если у вас реально есть необходимость общаться.

Вы можете тут же внести оплату за расшифровку. На сайте есть подробные инструкции. После зачисления денег, информация в личном кабинете изменится.

Если деньги сразу не придут, нужно написать в техподдержку, они вручную проверят поступление и подтвердят его. Масштабы деятельности, честно говоря, поражают. Очень занимательный чат. Я прям зачитался, когда первый раз попал в личный кабинет.

Как лечить компьютер и удалить вымогатель spora ransomware

После того, как вы узнали, что все ваши файлы зашифрованы, нужно определиться, что вы будете делать дальше. Если у вас есть бэкапы и расшифровка файлов вам не требуется, то можно смело переходить к лечению компьютера и удалению вируса. Как и все остальные вирусы шифровальщики, удалить из системы его не трудно. Та модификация, что попалась мне, вообще ничего особенного с системой не делала, нигде себя не прописывала — ни в реестре, ни в автозапуске. Все, что сделал вирус, это создал несколько файлов. 3 файла в папке с профилем пользователя C:\Users\user\AppData\Roaming:

  • RU15C-ACXRT-RTZTZ-TOGTO.HTML — html страничка с информацией о заражении и входе в личный кабинет на сайте злоумышленников.
  • RU15C-ACXRT-RTZTZ-TOGTO.KEY — файл с ключами, на основе которых можно купить дешифратор.
  • RU15C-ACXRT-RTZTZ-TOGTO.LST — файл со списком ваших зашифрованных файлов.

Эти же 3 файла будут продублированы в папке C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates. На рабочем столе пользователя будут лежать первые два файла из списка. Все эти файлы носят информационный характер и непосредственной опасности не представляют. Сам вирус будет находиться в папке C:\Users\user\AppData\Local\Temp. Вот список файлов оттуда, относящиеся к spora:

  • 4a0f17b9936.exe — непосредственно вирус.
  • close.js — javaScript-файл, который создает исполняемый файл с вирусом.
  • doc_113fce.docx — поддельный документ.
  • 1С.a01e743_рdf.hta — вложение из почты.

Этот список файлов представляет непосредственную опасность и его в первую очередь надо удалить. Ни в коем случае не копируйте эти файлы на флешку или куда-то еще. Если случайно запустите на другом компьютере, то потеряете и там все данные. Если вам нужно сохранить для последующего разбора файлы с вирусами, то добавьте их в зашифрованный архив.

Удаления этих файлов достаточно для того, чтобы избавиться от вируса шифровальщика. Но хочу обратить внимание, что модификации могут быть разные. Я видел в интернете информацию о том, что этот вирус иногда ведет себя как троян, создает копии системных папок в виде ярлыка, скрывает настоящие системные папки, а в свойствах запуска ярлыков добавляет себя. Таким образом, после расшифровки файлов, ваша карета снова может превратиться в тыкву.

После ручного удаления вируса, рекомендую воспользоваться бесплатными инструментами от популярных антивирусов. Подробнее об этом я уже рассказывал ранее на примере вируса no_more_ransom. Можете воспользоваться приведенными там рекомендациями. Они актуальны и для вируса spora.

Я рекомендую после расшифровки файлов, сразу же переустановить систему Windows. Только это может дать 100% гарантию, что на компьютер очищен полностью.

Если вам необходимо любой ценой восстановить зашифрованные файлы, а самостоятельно вы это сделать не можете, рекомендую сразу обращаться к профессионалам. Неправильные ваши действия могут привести к тому, что файлы вы вообще не сможете получить назад. Как минимум, вам нужно снять посекторный образ системы и сохранить его, прежде чем вы сами начнете что-то делать. Как сделать образ системы рассказывать не буду, это выходит за рамки данной статьи.

Подведем итог. После того, как ваш компьютер был зашифрован, правильная последовательность действий для возможной расшифровки файлов и лечения компьютера следующая:

  1. Отключаем компьютер от сети.
  2. Сохраняем файлы с расширением .KEY и .LST.
  3. Делаем полный посекторный образ дисков с информацией, загрузившись с Live CD.
  4. Удаляем вирус с компьютера.
  5. Пробуем восстановить файлы самостоятельно.
  6. Переустанавливаем Windows.

Где скачать дешифратор spora ransomware

Прежде чем начинать восстанавливать файлы самостоятельно, можно попробовать поискать дешифратор для spora ransomware. Существует сайт https://www.nomoreransom.org, на котором собраны дешифраторы для некоторых шифровальщиков. Можно попытать счастья и проверить, есть ли там рабочий дешифратор для spora, который позволит очень быстро и просто расшифровать файлы.

Сразу хочу предупредить, что шансов найти рабочий дешифратор не много, но вдруг повезет? Попытка не пытка. Идем на сайт, на главной странице нажимаем на YES.

Выбираем парочку зашифрованных файлов и отправляем их на сервер для подбора дешифратора.

Мне не повезло. На момент написания статьи дешифратор для spora ransomware отсутствовал.

Список существующих дешифраторов для шифровальщиков можно посмотреть в отдельном разделе https://www.nomoreransom.org/decryption-tools.html. Возможно, когда-нибудь там появится что-то и для spora. Наличие такого количества готовых дешифраторов позволяет думать, что теоретически это возможно, хотя я и не очень представляю как это возможно с текущей реализацией алгоритма шифрования.

Есть ли еще возможность найти рабочий дешифратор для шифровальщика spora ransomware я не знаю. Думаю, что нет. А если кто-то будет предлагать его продать, да еще и по небольшой цене, то скорее всего это будет мошенник.

Никогда не покупайте дешифраторы, если вам предварительно не предоставят 100% гарантии его работы на примере нескольких, а еще лучше всех файлов.

Как расшифровать и восстановить файлы после вируса spora ransomware

Что делать, когда вирус spora ransomware зашифровал ваши файлы? Вы можете расшифровать бесплатно 2 файла в личном кабинете. Как это сделать показано в видео в конце статьи. Если вам этого мало, то читайте дальше о том, как расшифровать остальные файлы. Точнее не расшифровать, а восстановить. Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

  • Инструмент теневых копий windows.
  • Программы по восстановлению удаленных данных

Для начала проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Подробнее об этом запросе я рассказал в начале повествования, когда рассказывал о работе вируса.

Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Trojan-Ransom.Win32.Spora

Сейчас старые модификации вируса определяются антивирусами как Win32/Filecoder.Spora.A, Win32/Filecoder.NJI и д.р. Может меняться последняя буква на b, f и т.д. Filecoder иногда заменяется на trojan. К сожалению, все это применимо только к старым версиям вирусов. Постоянно выходят новые, которые антивирусы не способны быстро определить.

Пробежимся по форумам популярных на сегодняшний день антивирусов и посмотрим, что они могут предложить в борьбе с шифровальщиком spora.

К сожалению, как и раньше — НИЧЕГО. Смотрим сообщение с сайта forum.kasperskyclub.ru, куда отправляют с официального форума kaspersky делать заявки на лечение от вирусов.

Вот еще оттуда же https://forum.kasperskyclub.ru/index.php?showtopic=54138&p=795414

Вот пострадавший от такого же вируса spora на форуме dr.web. Ответ техподдержки доктора веба тоже неутешительный:

Расшифровка невозможна в данный момент. В будущем расшифровка маловероятна, однако, если она появится — мы вам сообщим.

Рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ;
Образец заявления можете взять здесь http://legal.drweb.ru/templates

Чтобы избежать подобных проблем в дальнейшем, необходимо регулярно делать резервные копии важных файлов.

Заглянул к еще одному крупному игроку рынка антивирусных решений — ESET NOD32, что там у него есть на тему spora ransomware. Как водится, тоже есть упоминания о столь популярном сейчас вирусе. Вот большая тема оттуда — зашифровано в Spora. Сообщение администратора на 2-й странице обсуждений:

Все как всегда со всеми предыдущими шифровальщиками, за исключением Энигмы. Ее обещали расшифровывать. А текущий нет и пока не предвидится. Так что тут каждый сам за себя.

Методы защиты от вируса шифровальщика

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

На этом у меня все. Будьте внимательны за компьютером. Не открывайте подозрительные файлы, не переходите по сомнительным ссылкам, делайте регулярно бэкапы всех важных данных.

Видео c 100% расшифровкой и восстановлением файлов

Я записал видео, где на тестовой машине заразился вирусом, успешно восстановил все файлы, вылечил компьютер и удалил вирус из системы.

serveradmin.ru

Вирус-вымогатель (шифровальщик) Ramsomware

Попав на компьютер-«жертву» вирусы-шифровальщики шифруют информацию наиболее распространённых форматов — «офисные», медиа-файлы, архивы, то есть то, что представляет собой наиболее чувствительные для пользователя данные, это либо «работа», либо «жизнь». Дело даже не в выкупе, механизмы доставки денег быстро блокируются и все это понимают.

Сколько нужно злоумышленников, чтобы с нуля создать и распространить «эффективного» шифровальщика

Первое, что необходимо сделать, — написать троянца. Во-первых, для этого потребуется специалист по криптографии, который воплотит в коде определенный алгоритм шифрования. Во-вторых, если криптограф не силен в стелс-технологиях, нужен еще один программист, который будет обеспечивать скрытность действий энкодера в системе. Ему же стоит позаботиться о том, чтобы троянец не обнаруживался известными антивирусами. Иногда для этого даже нанимают тестировщика (уже третий член команды). Если планируется использование уязвимостей или прочие сложные сетевые «фокусы», то не обойтись еще и без специалиста по сетевым технологиям[1].

Итак, троянца написали и протестировали на антивирусах, с этим порядок. Теперь его надо распространить — ведь он не вирус, и сам размножаться не умеет. Тут потребуется еще больше народу. Во-первых, специалист по социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишинговых сайтов. Это необходимо для того, чтобы максимальное число пользователей перешло по ссылке в письме, сохранило и запустило вложение или «купилось» на фишинговый сайт. Во-вторых, веб-дизайнер, который разработает упомянутый сайт. В-третьих, спамер, в идеале — с обширными базами для рассылки, лучше всего — четко таргетированными (база компаний, база физлиц в определенном регионе и т. д.). В-четвертых, специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступного сообщества. И сюда же условно можно причислить «вольных художников» из мира киберкриминала — различных исследователей уязвимостей, которые ищут «дыры» в ОС и приложениях, после чего продают эту информацию разработчикам вредоносного ПО.

Конечно, зачастую услуги каждого из этих «специалистов» могут быть просто оплачены отдельно — например, куплена краденая база данных адресов и заказана спам-рассылка по ней, а один программист может применять знания из нескольких нужных областей. Кроме того, можно «расковырять» уже существующего троянца и, модифицировав его, распространить как нового. Для совсем ленивых есть вариант покупки на черном рынке готовой к распространению версии шифровальщика, которую достаточно настроить под свои реквизиты и выпустить в сеть, а то и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Почта. При отсутствии эффективного спам-фильтра в вашу почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными. Конечно, приложенные к таким письмам «документы» и оказываются этими самыми троянцами, которых пользователь запускает при открытии архивов. Важно, что хотя для человека такие «письма счастья» выглядят весьма серьезно, спам-фильтр вряд ли пропустит их, а почтовый антивирус сможет обезвредить известные ему угрозы, тем самым избавив пользователя от риска попасться на удочку злоумышленников.

Вредоносные сайты. Тут есть два варианта. В первом случае пользователь, скачивая приложения или другие файлы с фишинговых, взломанных или просто никем не контролируемых ресурсов (файлообменники, торренты и т. д.), сам запускает их, даже не подозревая, что вместе с полезным материалом получил вредоносный «довесок». Второй вариант развития событий еще хуже: достаточно бывает просто зайти на зараженный сайт, чтобы запустившийся скрипт загрузил на ПК троянца и активизировал его. К счастью, это возможно только при совершенно «небезопасных» настройках браузера и операционной системы. К несчастью, именно такие настройки и имеет большинство пользователей...

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и запуск троянцев.

Как защитить бизнес от ransomware

Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet[2]. Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.

Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.

Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.

1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.

Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.

Многим компаниям еще только предстоит выучить уроки базовой ИТ-гигиены. Согласно опросу, проведенному ИБ-компанией Tripwire, каждая третья компания, которая столкнулась со взломом инфраструктуры, имела незакрытые уязвимости. Телеметрические системы Sophos только в августе 2019 г. обнаружили 4,3 млн. атак при помощи «последователей» WannaCry. По итогам последнего летнего месяца было зафиксировано 6963 вариантов шифровальщика, 80% из которых — новые. Эксперты насчитали 12 480 вариантов WannaCry, которые появились с момента появления оригинальной версии.

2. Измените установленные по умолчанию пароли ко всем точкам доступа. Переход по потенциально опасной ссылке в э-письме — это наиболее известный способ заражения вредоносным ПО, но он далеко не единственный. Согласно исследованию F-Secure, около трети программ-вымогателей распространялось посредством атак методом подбора паролей, или, как их еще называют, атак при помощи «грубой силы» (brute force), и через подключение к протоколу удаленного рабочего стола (remote desktop protocol, RDP).

Атака методом подбора паролей связана с попытками хакеров получить доступ к серверам и другим устройствам, используя как можно больше вариаций паролей. Обычно эти атаки проводятся с привлечением ботов, в надежде, что рано или поздно угаданный пароль поможет им проникнуть за периметр организации. В связи с тем, что многие организации по каким-то причинам не меняют пароли, которые были установлены производителями оборудования по умолчанию, или же выбирают легко угадываемые комбинации, атаки при помощи «грубой силы» не теряют актуальности.

RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.

3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.

Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.

4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.

5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?

6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.

Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.

7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.

8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.

9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.

10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.

Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.

11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

Защита от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

  • Сделайте резервную копию данных, которую можно будет использовать для восстановления файлов в случае атаки.
  • Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
  • Ознакомьтесь с сайтом международной инициативы No More Ransom, созданной с целью помочь жертвам целевых атак восстановить файлы без необходимости уплаты выкупа. В случае, если ваши данные зашифровали, «Лаборатория Касперского» рекомендует воспользоваться сервисом No Ransom, где представлены инструменты, разработанные компанией для помощи жертвам вымогателей.
  • Проведите аудит установленного ПО: не только на рабочих станциях, но также на всех сетевых узлах и серверах. Вовремя обновляйте ПО.
  • Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
  • Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
  • Избегайте использования учётных записей с привилегиями администратора. Заведите для управления компьютером отдельную учётную запись, а учётную запись с повышенными привилегиями задействуйте в случаях, когда она действительно требуется, скажем, для установки или настройки программного обеспечения. Большинство повседневных пользовательских задач решается без прав «админа». Это касается и домашних компьютеров, особенно тех, к которым имеют доступ дети, тут вообще лучше настроить режим «детской безопасности», благо для этого есть разнообразные возможности.
  • Ограничить сетевой доступ к файлам. Отключите механизмы общего доступа к файловым ресурсам вашего компьютера или ограничьте этот доступ. Последние вирусы в том числе распространяются и по сети от компьютера к компьютеру. Там принцип заражения намного сложнее, но речь не об этом. Для домашней сети, по тем же причинам — то же самое. Не предоставляйте неограниченного сетевого доступа к дискам своего компьютера.
  • Настроить интернет-браузеры. Посмотрите настройки безопасности браузеров, установите тот уровень, который позволит комфортно и безопасно работать. Если набор регулярно посещаемых вами сайтов не слишком велик, можно основательно поднять уровень безопасности без ущерба для качества отображения информации. Конечно, сохранять пароли нехорошо, и этого никто не делает, но на всякий случай — используйте сложные «мастер-пароли» для защиты всех своих сохранённых паролей, если такая опция поддерживается вашим браузером. От специалиста не поможет, но хранить пароли в открытом виде — совсем плохо. Избегайте сайтов-приманок, похожих на настоящие. Внимательно проверяйте, куда именно вы вводите пароли, номера карт и т.д.
  • Проверять публичный Wi-Fi. При использовании публичного Wi-Fi, например, в кафе, убедитесь, что точка доступа действительно принадлежит кафе, а не просто похожа по названию. Посмотрите, имеет ли она защиту (тот самый «замочек»). Также обратите внимание на то, кому принадлежат сертификаты открываемых вами сайтов: сертификаты должны принадлежать им, а не данному кафе или ещё кому-то. Нет никакой гарантии, что за соседним столиком не примостился начинающий хакер и не собирает пароли от соцсетей или не распространяет тот же вирус WannaCry на ноутбуки посетителей.
  • Не открывать подозрительные письма (фишинг). Самое главное — защитить ваши данные, именно на них и нацелены всевозможные «шифровальщики», «вымогатели» и другое вредоносное программное обеспечение. С учётом того, что самым дешёвым и работающим способом доставки вредоносного контента является электронная почта — руководствуйтесь соображениями здравого смысла при получении корреспонденции. Считайте, что всё, что вы получаете снаружи — скорее содержит вирус, чем не содержит. Письмо с любого подозрительного или неизвестного вам адреса — повод удалить письмо не читая. При повседневной работе нарабатывается определённый навык, даже визуально можно отличить адреса, скажем, partner.ru от partner.ru.com или вложенный Счёт.docx от исполняемого файла Счёт.docx. ______.exe или ссылки на скрипт http://куда-то-там. Счёт.pdf.js. Важно помнить, что если «банк», «налоговая», «заказчик» и т.д. побуждают вас письмом что-то срочно сделать с вложением, открыть файл или зайти на некий сайт — относитесь к этому крайне настороженно. Кстати, иногда на улице прямо перед офисом можно найти «потерянную» флешку, встречается и такой метод распространения.
  • Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
  • Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнуткритически важных объектов.

No More Ransom

В конце июля 2016 года был запущен сайт No More Ransom — совместная международная инициатива «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов, направленная на борьбу с троянцами-вымогателями. В качестве основных итогов первого года работы проекта компания приводит следующие цифры: расшифровано более 28 тысяч зараженных вредоносным ПО устройств, а сумма сэкономленных на выкупе денег составила 8 миллионов евро.

На сайте http://omoreransom.org можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год сайт No More Ransom посетили 1,3 миллиона уникальных пользователей, из них 150 тысяч пришлось на 14 мая этого года — пик эпидемии шифровальщика WannaCry. Платформа No More Ransom доступна уже на 26 языках.

За 2016 год проект поддержали более ста партнеров, среди которых как частные компании, так и правоохранительные органы разных стран. Из недавно присоединившихся — банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE), а также правоохранительные органы Чехии, Греции, Гонконга и Ирана.

Ryuk (вирус-вымогатель)

Основная статья: Ryuk (вирус-вымогатель)

Reveton (вирус-вымогатель)

Основная статья: Reveton (вирус-вымогатель)

Maoloa (вирус-вымогатель)

Основная статья: Maoloa (вирус-вымогатель)

2020

Американские медучреждения за 5 лет потеряли $157 млн

В середине февраля 2020 года стало известно, что американские медучреждения за пять лет потеряли $157 млн из-за более чем 170 атак вирусов-вымогателей. Подробнее здесь.

Вирус-вымогатель атаковал американского оператора газопровода

В середине февраля 2020 года стало известно, что вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки. Дата нападения не сообщается, но даются технические рекомендации для других операторов критически важных объектов инфраструктуры, которые позволят принять соответствующие меры предосторожности.

Согласно отчету американского МВД, инцидент произошел после того, как "хакер использовал фишинг-соединение для получения доступа к информационной сети организации, а затем проник в операционную сеть". Если информационная сеть в основном предназначена для офисной и другой административной работы, то операционная сеть позволяет управлять критически значимым заводским оборудованием и другими производственными операциями.

Вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки

Получив доступ к операционной сети, злоумышленник запустил вируса-вымогателя, который зашифровывал все доступные данные компании одновременно в информационной и операционной сетях, а затем запросил выкуп. Согласно отчету, вирус не влиял на программируемые логические контроллеры, которые представляют собой небольшие датчики и устройства, напрямую взаимодействующие с заводским оборудованием. Тем не менее, операторы не могли получить доступ к другим данным, что привело к сбою работы.

Оператор трубопровода решил временно прекратить работы в качестве меры предосторожности, чтобы избежать нежелательных инцидентов, хотя аварийный план не требовал обязательного отключения оборудования в случае кибератаки. Деятельность оператора газопровода была остановлена на два дня, после чего работники возобновили деятельность в обычном режиме. Регулирующие органы отметили, что план реагирования объекта на чрезвычайные ситуации основное внимание уделял угрозам физической безопасности, а не кибератакам, поэтому персонал не смог адекватно отреагировать на возникшую ситуацию. Оператор газопровода пообещал пересмотреть свои внутренние процедуры и стандарты.[3]

Строительный гигант стал жертвой вируса-вымогателя

В начале февраля 2020 года одна из крупнейших строительных компаний Франции Bouygues Construction подтвердила, что стала жертвой вируса-вымогателя, обнаруженного во внутренней сети компании 30 января. Подробнее здесь

2019

Банковские трояны стали чаще использоваться в качестве плацдарма для проведения масштабных ransomware-атак

11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в 2019 году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний. Подробнее здесь.

Крупнейшая в мире сеть обмена валют прекратила работу из-за кибератаки. Хакеры требуют выкуп в $6 млн

В конце декабря 2020 года на Travelex была совершена кибератака, которая привела к приостановке работы крупнейшей в мире сети обмена валют. Хакеры утверждают, что они похитили 5 Гбайт «ценных данных клиентов», и угрожают выставить их на продажу, если не получат выкуп в размере $6 млн к 14 января 2020 года. Подробнее здесь.

База береговой охраны США атакована вирусом-вымогателем

В конце декабря 2019 года база береговой охраны США была атакована вирусом-вымогателем, который вывел из строя камеры, системы контроля доступа к дверям и системы мониторинга. Подробнее здесь.

Атака вируса-вымогателя на госорганы в Новом Орлеане

15 декабря 2019 года власти города Новый Орлеан (штат Луизиана) ввели режим чрезвычайного положения из-за массовой кибератаки хакеров на государственные органы. Об этом сообщила мэр города Латоя Кантрелл в своем официальном аккаунте в социальной сети Twitter. Подробнее здесь.

CyrusOne атаковал вирус-вымогатель

В начале декабря 2019 года одного из крупнейших в США оператора дата-центров — компанию CyrusOne — атаковал вирус-вымогатель. У клиентов начались массовые сбои. Подробнее здесь.

Шифровальщик, написанный на языке PureBasic, атакует Windows- и Linux-серверы

18 ноября 2019 года стало известно, что эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux.

Обращает на себя внимание язык программирования, на котором он написан, - PureBasic. Это далеко не самый распространённый язык программирования; с другой стороны он, во-первых, кросс-платформенный, во-вторых, как ни странно, многие антивирусы с трудом справляются с написанными на нём программами.

Необычный выбор обеспечивает злоумышленникам ряд преимуществ, - пишут исследователи. - Вендоры антивирусных продуктов с трудом справляются с генерацией надёжных сигнатур для бинарных файлов PureBasic. Вдобавок, код PureBasic легко портируется на Windows, Linux, OS X, что упрощает атаки на различные платформы,

PureBasic поддерживает даже AmigaOS.

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению.

Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из неё. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами.

Исследователи отметили, что это распространённая методика ухода от обнаружения, но шифровальщики ей пользуются весьма редко.

Кроме того, вредонос вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker - никаких диалоговых окон пользователю не выводится.

Позднее шифровальщик проверяет, что действительно был произведён запуск regsrv32.exe, что файловое расширение - .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 год и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

Если же шифровальщика «всё устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.

Здесь ещё одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищённой почты Proton - с целью переговоров.

Эксперты считают, что PureLocker - это лишь один этап комплексной цепочки заражения.

При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, - DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил очередной набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.

Решение это не лишено даже некоторого изящества. Проще добавить «неожиданную» функцию к уже существующему набору и сделать вредонос ещё более опасным, чем писать с нуля шифровальщик узконаправленного действия, который умеет противиться обнаружению и анализу. Для потенциальных жертв, однако, это «изящество» сулит только ещё большие неприятности, чем раньше. Функция шифровальщика, по-видимому, предназначена буквально для добивания жертвы, которую злоумышленники успевают ограбить ранее с помощью других своих программ,

Атака вируса-вымогателя на нефтяную компанию Pemex

11 ноября 2019 года Pemex сообщила об атаке вируса-вымогателя на свои компьютеры, в результате которой мексиканская государственная нефтегазовая группа вынуждена была прекратить административную работу. Подробнее здесь.

Атака вируса-вымогателя на испанские компании по всей стране

В начале ноября 2019 года направленные атаки вируса-вымогателя вывели из строя две испанские компании в один день: крупную фирму Everis, принадлежащую NTT Data Group и работающую в сфере ИТ-услуг и консалтинга, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER). Атака хакеров вызвала настоящую панику в СМИ, так как многие компании вспомнили эпидемию WannaCry. Технический специалист одной фирмы признался испанской телекомпании ABC: «Мы в настоящей истерике». Подробнее здесь.

www.tadviser.ru


Смотрите также