60131970_virusinserpВ интернете полно сообщений о вновь появляющихся модификациях шифровщиков типа Vault, xtbl, cbf. Это не совсем вирусы, т. к. они не обладают собственным кодом и средствами саморазмножения, а используют стандартные общедоступные программы шифрования файлов. Такие программы используются для надёжной защиты конфиденциальной информации обычными людьми. К сожалению, в большинстве случаев самостоятельно восстановить таким образом зашифрованные файлы не удастся, потому как для их создания используются очень стойкие алгоритмы шифрования.

Задача программ такого типа чаще всего сводится к следующему: программа шифрует наиболее важные для пользователей файлы и оставляет сведения, где можно заплатить выкуп за их расшифровку. Для коммерческих пользователей наиболее важны файлы баз данных 1С, которые шифруются вирусом в первую очередь (.dbf, .1cd), архивы баз данных и файлов (.zip, .rar, .dt), другие рабочие файлы (.doc, .docx, .xls, .xlsx, .ppt). Для частных пользователей часто шифруют файлы с фото-архивами (.jpg, .png), файлы с видео (.avi, .mpg).

Рис. 1 "Картинка на рабочем столе о том, что файлы были зашифрованы"

Рис. 1 «Картинка на рабочем столе о том, что файлы были зашифрованы»

После того как программа сделает своё грязное дело, она обычно оставляет на рабочем столе текстовый файл или картинку с инструкцией о том как связаться со злоумышленниками для оплаты выкупа. Суммы выплаты варьируются от 2000 рублей до нескольких тысяч долларов или евро. Иногда после оплаты жертва получает программу для расшифровки файлов, но чаще всего этого не происходит…

1432976086_119

Рис. 2 «Инструкция от злоумышленников»

Несколько простых советов о том, как защититься от таких программ:

1. Имейте несколько копий на разных устройствах для самых важных файлов. Лучше всего хранить все файлы в одной-двух папках, которые будет удобно иногда копировать. Копирование является самым действенным способом защиты от потери информации. Так же, можно попросить вашего системного администратора настроить автоматическое копирование, если он этого ещё не сделал (рис. 3).

Безымянный

Рис. 3

2. Такие программы зачастую распространяются через электронную почту. Будьте бдительны, когда получаете письма с неизвестных адресов! Помните, что задача злоумышленника заставить вас открыть вложение. Скорее всего, в тексте письма будет вызывающий призыв ознакомиться с вложением, открыв его:

  • Это может быть письмо якобы от налоговой с угрозами и штрафами или сообщение от ваших клиентов, которые чем-то недовольны и обижены…
  • Может быть и обычное с виду письмо с запросом акта сверки или с какими-то документами, список которых как-бы находится во вложении…
  • А может быть это радостное сообщение о том, что вы что-то выиграли или получили подарочный купон, который нужно скачать по ссылке или открыть во вложении.

3. Внимательно смотрите на расширение и тип файла, который вы открываете.

  1. Например, расширение известных файлов типа .doc, .docx (MS Word), .xls, .xlsx (Excel), картинок .jpg часто скрыты. И если вдруг вы начали их видеть — значит что-то здесь не так (рис. 4):

    е

    Рис. 4

  2. И наоборот, если у вас включено отображение расширений, обращайте внимание на то, какое указано последним (рис. 5):
    ё

    Рис.5

    В обоих примерах видно, что файл замаскирован под документ Word, но фактически является исполняемым файлом, т.е. вредоносным приложением по всем вышеуказанным признакам.

4. Не стоит открывать файлы с расширениями .bat, .js, .vbs, .com, .exe, .cmd, .hta, которые вам могут прислать по почте. Эти файлы могут запустить троян, вирус или шифровщик.
5. Ещё одним признаком подозрительного письма является то, что указанные в пунктах 3-4 файлы могут быть заархивированы для обхода защиты почтовых клиентов. Большинство программ для обработки почты не позволяют открывать и сохранять из вложений эти файлы, но архивы с этими файлами сохраняют. К тому же, во вредоносных письмах вложение часто сделано в виде какого-нибудь архива не очень известного типа .7z, .bz2 или др., которые неискушенный пользователь не опознает. В архиве будет находиться только один из вариантов такого вредного файла (см. выше).
6. Следите, за тем, чтобы ваш антивирус находился в актуальном состоянии и не был отключен. Пожалуй, будет лишним упоминать, что он вообще должен быть, но всё же…
При любом подозрении сначала делайте проверку файла антивирусом, прежде чем открыть его. Не стоить надеяться, что антивирус перехватит вредоносный файл при открытии — запускайте проверку подозрительных файлов вручную. Большинство антивирусов встраиваются в контекстное меню Windows, поэтому их можно легко активировать через это меню, кликнув один раз правой кнопкой мыши по файлу (рис.6).

ёё

Рис. 6

Как уже было указано выше, это не даст 100% защиты от шифровальщиков, но спустя пару дней после появления новых модификаций, есть довольно большой шанс, что антивирус обнаружит угрозу. Вам остаётся надеяться, что вы не войдёте в число первых «счастливчиков», кому удастся испытать на себе новые версии вирусов и вредоносных программ. В любом случае будьте внимательны к тому от кого и что вы открываете — вдруг вас пытаются обмануть, маскируя файлы.

Что делать, если появилось подозрение на свершившееся заражение? Что делать, если файлы начали переименовываться, перестали открываться, начали появляться странные сообщения в неожиданных местах? Если это произошло и если вы не обладаете специальными знаниями, то первое, что нужно — это нажать кнопку включения компьютера и удерживать её около 5 секунд до его аварийного отключения. Это необходимо для предотвращения распространение заразы или, например, шифрования файлов. Вторым шагом должно быть незамедлительное обращение к специалисту, которому нужно сообщить подробную информацию о том что и как вы делали, прежде чем обнаружили подозрительную активность. Желательно детально описать в чём выражалась эта самая активность, чтобы он мог понять с чем имеет дело.

Надеюсь, эти несколько советов помогут вам избежать заразы в нестерильной компьютерной среде. Да хранит вас Архивная Копия!

p.s. Возможно, вы захотите почитать о том, как обустроить своё рабочее место в домашних условиях.

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс