Автор Тема: Внимание! Вирусы-шифровальщики  (Прочитано 1346 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн seiri-itaru

  • Команда Зея.org
  • *****
  • Сообщений: 3699
Уже второй случай в практике, здесь - в Зее, когда вирус-шифровальщик закодировал все фотографии и документы на пользовательском компьютере. Это действие так называемого CTB-локера - разновидности вредоносных программ шифраторов. Аббревиатура CTB расшифровывается так:
С - curve (кривая),
T - Tor (анонимная сеть Tor),
B - Bitcoin (разновидность виртуальной валюты в Интернете.
Ниже вы поймёте почему.

Суть работы этого класса программ сводится к такому плану:
1. Попасть на компьютер пользователя и запуститься.
2. Зашифровать все файлы с какими-то определёнными расширениями; обычно это doc, docx, jpg и тд.
3. Когда шифрование завершено - обрадовать пользователя заставкой, что все файлы зашифрованы, а для восстановления потребовать денежку.
4. Снять с пользователя денежку и получить ключ расшифровки.
5. Расшифровать данные.

ila_rendered

Весь процесс устроен так, что злоумышленников почти невозможно отследить: всё общение происходит через анонимную сеть Tor, а оплата - через виртуальную криптовалюту Bitcoin, сделки с которой также сложно отследить. Стоимость расшифровки начинается от 5тыс. руб и заканчивается бесконечностью.

Если информация важная, например как в крупных организациях, то хочешь не хочешь, а денежку выложишь.

Самая большая опасность - это потеря документов, так как без ключа для расшифровки, файлы не восстановить. Или пользователь платит (и его возможно "кидают" не восстанавливая файлы), или присылают ключ для расшифровки. Средств для самостоятельной расшифровки документов ещё не придумали - ими обладают только злоумышленники.

Как показывают исследования форумов, посвящённых проблеме, 100-процентной защиты от этого класса вирусов нет - в момент заражения и последующей шифровки файлов, могут быть использованы абсолютно "легальные" и "чистые" программы, на которые антивирус не среагирует. Вирус шифрует файлы во всех директориях, до которых "дотягивается". Это может быть флешка, примонтированный сетевой диск или жёсткий диск.

Для уменьшения вероятности потери информации советую делать резервные копии важных данных на сменных носителях: компакт-диски, флешки, сетевые хранилища, которые монтируются только когда это необходимо.

Для удаления вируса, самым верным вариантом будет полная переустановка операционной системы.

Для уменьшения вероятности попадания вируса можно посоветовать:
1. Регулярно обновлять операционную систему.
2. Установить и регулярно обновлять антивирусную программу.
3. Не открывать подозрительные почтовые вложения и не посещать сомнительные сайты.
4. Не работать под учётной записью Администратора в операционной системе.

Если компьютер уже заражён и файлы зашифровались:
1. Если данные важны - следуем инструкции на баннере и платим денежку. Возможно "кинут", а возможно и нет.
2. Если данные важны, но деньги не хочется отдавать: можно посоветовать отключить компьютер, снять жёсткий диск и переставить его на рабочий не заражённый компьютер с установленным антивирусом.
2.1. Если есть пара зашифрованный файл и его незашифрованный оригинал, то можно обратиться к компаниям-разработчикам антивирусов, чтобы они проанализировали файлы и либо нашли способ расшифровки (а такое бывает, если сам вирус - только обманка), либо сказали, что шансов, в ближайшие 21 год, расшифровать содержимоме мало.
2.2. Можно воспользоваться восстановлением данных из автоматического бэкапа (если он был настроен ранее, доступно с Windows 7), либо с Volume shadow copy.
2.3. Можно воспользоваться программой R-Studio или photorec, чтобы восстановить удалённые файлы.

Ну а если хочется совсем забыть про вирусы - переходите на операционную систему Linux. Для этой операционки вирусов ооооочень мало, да и сам запуск вируса на компьютере с Linux - очень сложная штука, так что, даже если вы сами захотите запустить вирус, то ещё нужно постараться заставить его работать.
« Последнее редактирование: 19 Май 2015, 22:11:03 от seiri-itaru »
"Я не такси. Я - перевозящее".    Дэвид Керс "Совершенное сияние недвижимости".