Вирусная эпидемия шифровальщиков и её последствия для бизнеса

В сети регулярно всплывают предупреждения «ОСТОРОЖНО. Вирус-шифровальщик», но большинство людей по-прежнему считают это ложной тревогой и не предпринимают никаких действий, чтобы обезопасить себя. До тех пор, пока их компьютер не накроет и все данные за несколько лет станут недоступны. Навсегда. Без шуток. Встрепенулись? Предлагаем вам план действий по защите своих данных. Будьте внимательны.

«Мои файлы зашифровались и не открываются. Просят денег. Что делать?» — cообщения вроде этого периодически всплывают на различных сервисах информационной безопасности. В программах-вымогателях нет ничего нового, но за последние несколько лет они превратились из редкой проблемы в постоянный повод для беспокойства. Распространение программ-шифроваторов приобрело размах эпидемии.

Киров не обошло стороной

Вирус Cryptolocker в мире появился где-то в сентябре 2013 года, но почти сразу же стал синонимом «программы-вымогателя» вообще. В числе жертв оказались как предприятия, так и частные лица. На его основе написано множество программ, которые обманывали людей тогда и ходят по сети сейчас. Например, в Кирове под видом рассылки от налоговой вирусы-трояны рассылали в июне 2014 года и в феврале-марте 2015 года, о чем громко писали все СМИ, но пострадавшие все равно были.

Среди возможных последствий заражения:

• Шифрование конфиденциальной информации и файлов, в том числе баз данных 1С, документов, изображений – формат зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам, вследствие чего зашифрованные данные сложно восстановить.
• В некоторых случаях, завершив шифрование файлов, вредоносная программа автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.

Сразу скажем, антивирусы этот вид пока не ловят, поэтому здесь сыграет только человеческий фактор — не открывать что попало. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным программам необходимо время, чтобы начать распознавать новый тип вируса.

Схема заражения

1. Как правило, перед заражением на электронную почту пользователя приходит письмо с приложенным архивом (*.rar, *.zip, *.cab), документом со встроенными макросами (*.doc, *.docx), либо скриптом (*.js), с расширением *.scr. Вы видите только Название.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word.
   Оно выглядит как обычное письмо, возможно, даже в графе «от» стоит отправитель, которого вы знаете.
2. В теме письма говорится о чем-то важном – о задолженности, взыскании долга и пр. В архив может быть вложено два файла, например, «порядок работы с просроченной задолженностью.doc» или «Резюме».
3. Дважды нажав, Вы запускаете программу Название.doc…………………exe, которая начинает шифровать файлы на Вашем компьютере в фоновом режиме, втайне от пользователя. Вирус шифрует файлы различных форматов, например *.doc, *.xls, *.jpg, *.pdf и файлы базы данных 1С, добавляя произвольное расширение в конце.
4. Когда процесс шифрования завершен, на экране устройства появляется окно с требованием вымогателей, а вирус в некоторых случаях бесследно удаляется с компьютера. Второй сценарий: в каждой папке появляется TXT-файл с инструкциями по расшифровке файлов, где злоумышленники также требуют перевода денег для получения ключа дешифрования.

Профилактика защиты – лучшее решение проблем.

• Не открывайте почтовые вложения от неизвестных отправителей.
  В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное.
  При этом вредоносными могут оказаться не только файлы формата EXE. Специалистами Лаборатории Касперского зафиксированы случаи заражения компьютеров при открытии специально сформированных злоумышленниками файлов форматов DOC и PDF.
• Своевременно устанавливайте обновления антивирусных баз, операционной системы и других программ.
• Регулярно создавайте резервные копий файлов и храните их вне компьютера.
  Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде.
• Настройте доступ к общим сетевым папкам.
  Если вы используете общие сетевые папки, то мы рекомендуем создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.

Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры продуктов:

• Kaspersky Internet Security 2014
• Kaspersky Internet Security 2013
• Kaspersky Endpoint Security 10 для Windows
• Антивирус Касперского 6.0 R2 для Windows Workstations

Что делать, если файлы уже зашифрованы:

1. Подготовьтесь морально, что ваши файлы скорее всего уже не вернуть или придется делать это достаточно долго. Если у вас не было до этого произведено профилактических действий, то вероятность вернуть файлы крайне низкая;
2. Если зашифровались файлы на Dropbox или другом облачном хранилище – вы можете написать в службы поддержки и попросить откатить состояние вашего аккаунта на дату до заражения вируса. Ответ от Dropbox, к примеру, занимает 3-4 дня.
3. Если вы являетесь лицензионным пользователем какого-либо антивируса:
   • Отключите автоматическое удаление обнаруженных вредоносных файлов
   • Установите действие «Поместить файл на карантин». Рекомендуется не удалять объекты из карантина, так как в некоторых случаях вредоносные файлы могут содержать ключи, которые могут помочь при расшифровке.
   • Отправьте подозрительные файлы на анализ в техподдержку своего антивируса
4. Создайте копии зашифрованных файлов
5. Попытайтесь восстановить файлы с помощью истории файлов в ОС
6. Воспользуйтесь утилитами для автоматической расшифровки файлов (ВНИМАНИЕ! Перед запуском утилит создайте копии файлов)
   • Утилита RectorDecryptor
   • Утилита XoristDecryptor
   • Утилита RakhniDecryptor
   • Утилита ScraperDecryptor
   • RannohDecryptor

Если вы НЕ легальный пользователь антивирусов или пользуетесь бесплатным антивирусом:

• На форумах производителей вам откажут, что логично.
• Поищите в Интернете название вредоноса, который нашел ваш антивирус. Например, Trojan.Encoder.263. Некоторые люди, которые уже нашли дешифратор для этой модификации вируса выкладывают его в сеть.
• Рекомендуем обратиться с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Компания «Рубикон» уже 10 лет работает на рынке информационных технологий и является партнером Лаборатории Касперского.
Если вы заинтересованы в сохранении своей информации, то наш отдел продаж поможет подобрать вам антивирусные решения по приемлемым ценам, а наши технические специалисты помогут вам в правильной настройке системы безопасности.

ООО «Рубикон»
Тел.: +7 (8332) 760-750, 8 800 555 4995 (звонок бесплатный)
E-mail: soft@rubicon-it.ru
Адрес: 610050, Россия, г. Киров, ул. Ульяновская, д.10