.png)
2015 год оказался одним из самых плодотворных на кибер-атаки: только на этот период пришлось 27% всех зафиксированных вредоносных программ. Один из самых популярных видов кибер-угроз на данный момент является атака вируса-шифровальщика.
Массово угроза обратила на себя внимание в конце 2013 года, и с тех пор вирус претерпел множество модификаций. И если файлы, зашифрованные Trojan.Encoder.94 или Trojan.Encoder.293 усилиями разработчиков антивирусных программ и содействующих им пользователей в большинстве случаев удается расшифровать, то с такими вирусами, как Trojan.Encoder.686 или Trojan.Encoder.858, расшифровка на данный момент невозможна.
Современные антивирусные программы научились предотвращать заражение, но и при наличии актуального и качественного антивируса надо быть осторожнее. Опасность заключается в том, что даже регулярные обновления антивирусных баз могут не успевать за богатой фантазией кибер-преступников. Мы собрали рекомендации, которые позволят либо избежать угрозы вирусной атаки, либо расскажут, как действовать в ситуации, когда заражение произошло.
Как происходит заражение
Вирусы-шифровальщики стали одним из самых выгодных способов заработка для кибер-преступников. Для заражения чаще всего используются письма с заманчивой темой, которые неопытный пользователь откроет, не задумываясь: «Акт-сверки…», «Ваша задолженность перед банком…», «Проверка регистрационных данных», «Резюме», «Блокировка расчетного счета», «Судебное решение» и т.п. Особой опасности здесь подвергается корпоративная почта, куда ежедневно приходят десятки писем с неизвестных адресов – а заражению в таком случае может подвергнуться вся корпоративная сеть.
Открыв вложение или ссылку из подобного письма, пользователь сам запускает вирусную программу, которая шифрует все файлы пользователя (документы, таблицы, презентации, базы данных «1С», фотографии, видеофайлы и т.д.) и вымогает деньги за их расшифровку (сумма выкупа может составить от 5 000 руб. и выше). При этом нет никакой гарантии, что, получив деньги, преступники действительно вернут файлы. Потому первое правило: не платить вымогателям!
Меры профилактики
Рассмотрим, какие простые средства позволят сократить риск «подхватить» опасный вирус-шифровальщик.
- Избегать сомнительных файлов и ресурсов
- не оставлять своих персональных данных на открытых ресурсах;
- не загружать ничего с непроверенных сайтов;
- не открывать приложения в письмах и не проходить по ссылкам, если есть хоть какие-то сомнения в надежности адресанта.
- Принять меры по сохранению наиболее важных данных
- Отключить Encrypting File System
- Использовать политику ограниченного использования программ в Windows
- Использовать возможности антивирусных программ
Использовать внешние накопители и облачные хранилища для резервных копий, создать резервные файловые серверы, отключенных от локальных сетей. Если к вашей сети подключено несколько пользователей, рекомендуются создать отдельную сетевую папку для каждого. При этом права на запись должны быть только у владельца папки.
Есть предположение, что некоторые из модификаций данного вируса используют встроенную в Windows службу Encrypting File System (EFS) – систему, осуществляющую шифрование данных на уровне файлов в ОС Windows, начиная с Windows 2000. Попробуйте отключить данную службу.
Системный администратор, если он ранее об этом не позаботился, может настроить для своих пользователей высокий уровень безопасности для запуска только разрешенных программ из списка или настроить контроль ручного запуска программ. Это относится к тем случаям, когда лучше заблокировать «чистую» программу, чем пропустить вирус.
Убедитесь, что ваши антивирусные программы регулярно обновляются и настроены все необходимые компоненты для защиты от новейших угроз (проактивная защита и облачные сервисы).
Например, если вы используете Kaspersky Endpoint Security для Windows Workstations, вам необходимо включить и настроить компоненты: «Мониторинг системы» (рис.1), «Контроль активности программ» (рис.2), облачный сервис KSN (рис.3).
|
Рис.1 |
|
|
Рис.2 |
|
|
Рис.3 |
|
Необходимо заметить, что на данный момент по результатам независимых исследований AV-Comparatives продукты «Лаборатории Касперского» продемонстрировал лучший результат по защите от вредоносных программ. В «ГЭНДАЛЬФ» вы можете перейти на продукты «Лаборатории Касперского» со скидкой 50% с других платных антивирусов.
Если вирус зашифровал файлы
Вспомните, что нужно делать, если вас укусил клещ: клеща рекомендуется аккуратно извлечь и отправить в лабораторию на анализ, чтобы установить тип возможного заражения. Таким же образом следует поступить и с шифровальщиком.
- Не удаляйте обнаруженные вредоносные файлы
- Отправьте вредоносный или подозрительный файл на анализ
- Попробуйте расшифровать файлы самостоятельно с помощью бесплатных утилит
Если у вас установлена антивирусная программа, лучше поместите обнаруженные вредоносные объекты на карантин. Сохранять в карантине их необходимо потому, что в некоторых случаях вирусные файлы могут содержать ключи, которые помогут при расшифровке.
Например, в Вирусную Лабораторию через сервис My Kaspersky. Прикрепите к запросу подозрительный файл и добавьте комментарий «возможный шифровальщик».
Найти такие утилиты вы можете в Интернете, например, на официальных сайтах антивирусных программ (напоминаем, что скачивание программ с непроверенных сайтов может обернуться катастрофой). Обратите внимание, что перед этим стоит создать копии зашифрованных файлов – иначе в случае неудачной попытки вы потеряете и их. Если расшифровка не удалась, попробуйте восстановить файлы с помощью истории файлов.
Несмотря на то, что мы живем в век высоких технологий, кибер-преступления до сих пор не воспринимают всерьез. Тем не менее, злоумышленники могут быть вполне реально – а не виртуально – наказаны как совершившие противоправное действие, например, по статьям 159.6, 163, 165, 272, 273 УК РФ (в этом случае будьте готовы предоставить зараженное устройство на экспертизу). В то же время нельзя полагаться и на удачу и надеяться, что кибер-угроза обойдет стороной: как минимум, позаботьтесь о наличии лицензионной антивирусной программы на вашем компьютере.
