Как работает шифровальщик файлов вирус
Перейти к содержимому

Как работает шифровальщик файлов вирус

  • автор:

Вирус-шифровальщик файлов — как защитить свой компьютер

В последние годы компании часто сталкиваются с вирусами, которые шифруют данные на компьютерах сотрудников. Шифровальщик передается по внутренней сети, так что заражение одного устройства может обернуться полной неработоспособностью офиса. Все важные файлы компании выглядят как «абракадабра» из непонятных символов, а для получения дешифратора нужно перевести определенную сумму на денежный счет мошенников. В этой статье мы подробно расскажем о том, что из себя представляет вирус-шифровальщик и как защититься от заражения.

Как вирус-шифровальщик заражает компьютер?

Стандартных сценариев заражения рабочего компьютера несколько. Один из них — Ваш сотрудник получает письмо с вложенным файлом (ссылкой) и текстом на тему:

  • изменение банковских реквизитов;

  • задолженность;

  • изменение цены закупаемых товаров;

  • сверка документов;


  • утверждение договора;

  • «пугание» налоговой проверкой;

  • утверждение дизайна и т.д.

Письмо может прийти как от несуществующего контрагента, так и от реального, в случае, если его заразили или взломали. После прочтения текста сотрудник запускает процесс шифрования одним из способов:

  • переход по ссылке в письме;
  • загрузка и запуск исполняемого файла;
  • загрузка и распаковка архива;
  • загрузка обычного документа в формате doc, xls и т.п. и разрешение выполнения макрокоманд.

Но возникает вопрос — почему не срабатывает антивирус? Чтобы дать ответ на этот вопрос, сначала рассмотрим понятие «компьютерный вирус».

Что такое вирус-шифровальщик?

Компьютерный вирус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Шифровальщик — это программа, которая выполняет одобренное пользователем действие — шифрование всех данных, к которым имеется доступ. Она может распознаться антивирусом как обычный объект, используемый сотрудником, и не блокироваться.

На заметку! Вирус шифрует данные практически по такому же алгоритму, что и архиватор WinRAR, который считается безопасным. Даже если антивирус будет отслеживать процесс шифрования, то посчитает его безвредным для вашей системы.

С какими шифровальщиками чаще всего сталкиваются?

Самые распространенные расширения файла-шифровальщика — exe , scr , vbs , js , bat , также они могут быть заархивированы и иметь расширение rar или zip. Вероятность заражения увеличивается за счет того, что некоторые расширения файлов открываются стандартными программами, например, 1С или Microsoft Word, работу которых системный администратор не может заблокировать.

Наиболее распространенные шифровальщики, получившие широкую известность — это «Petya» и «CryptXXX». После заражения мошенники требовали перевести биткоины на свой банковский счет. В тексте программы указывается, что после оплаты на указанную пользователем почту придет ключ, который позволит расшифровать файлы на компьютере. Но дешифратор не всегда высылался пользователям, к тому же сумма перевода в пересчете на российские рубли получается внушительной.

Мифы о шифровальщиках

Миф 1. Антивирус меня спасет

Антивирус предупредит Вас о возможном заражении вирусом-шифровальщиком только если:

  1. производитель антивирусного ПО заранее получил данные о подобном шифровании.
  2. вирус был внесен в базу данных антивируса.
  3. антивирус на вашем компьютере был обновлен до последней версии.

Для некоторых вирусов на сайтах производителей антивирусов размещены дешифровщики — ключи, которые вернут Ваши данные в исходное состояние. Но вирусы все время совершенствуются — выходят новые виды и модифицируются старые, и для каждого из них необходим свой дешифратор.

Миф 2. Заплачу деньги и получу ключ

Согласно статистике, 20% пользователей, отправивших деньги мошенникам, не получили дешифровочный код. Учитывая сумму, которую запрашивают разработчики шифровальщика, велика вероятность попросту потратить деньги впустую.

Миф 3. Мой компьютер/телефон/планшет не на Windows, заражение мне не страшно

Вирусы-шифровальщики встречаются на любой системе, в т. ч. MacOS, Linux и даже Android. Соответственно, любые устройства — компьютеры, планшеты, телефоны, серверы, ноутбуки могут быть заражены.

Правила безопасности

Как обезопасить себя от возможного заражения вирусом шифровальщиком? Один из способов надежной защиты — это резервная копия системы, по которой Вы сможете самостоятельно восстановить данные. Подробнее о резервном копировании можно прочитать в нашей статье.

Для того, чтобы не заразить свой компьютер, следуйте правилам:

  • не кликайте по вложенным файлам на почте, если почтовый клиент или антивирус предупреждает вас о возможной опасности;
  • не переходите по недостоверным внешним ссылкам, в том числе на облако;
  • не открывайте неизвестные исполняемые файлы;
  • регулярно сохраняйте свои данные с помощью резервного копирования;

Защита от вируса-шифровальщика в Москве

Компания «Lan-Star» предотвращает вирусное заражение корпоративных данных в сети вашей компании. Мы осуществляем резервное копирование всех данных вашей организации, ограничение запуска небезопасных файлов, информирование сотрудников компании о угрозе заражения шифровальщиком, приведение примеров писем с вирусом, которые не следует открывать, анализ входящей корреспонденции на предмет вирусов.

Мы предлагаем услуги по комплексной защите важных данных в сети вашей организации. Для получения дополнительной информации свяжитесь с нами по телефону (посмотреть) или закажите обратный звонок.

Что такое вирусы-шифровальщики и как от них защититься

Что такое вирусы-шифровальщики и как от них защититься

Наибольшую ценность для любого бизнеса представляет информация: бухгалтерия, налоговые отчеты, электронный документооборот и другие базы данных. Чем этой информации больше, и чем сильнее на ней завязаны какие-либо бизнес-процессы, тем «больнее» ее потеря скажется на жизни компании. Бывает и так, что потеря доступа к каким-либо данным полностью блокирует бизнес. То есть доступ к информации — это потенциальная уязвимость, а там, где есть уязвимость, всегда найдутся люди, которые попробуют ей воспользоваться.

По данным за 2018 год, 60% казахстанских компаний испытали хотя бы одну серьезную кибератаку за последние два года. Одной из самых распространенных методов кибератак на сегодняшний день являются вирусы-шифровальщики — вредоносные программы, проникающие в систему через спам или другие уязвимости (чаще всего, к сожалению, решающую роль играет человеческий фактор) и зашифровывающие все критичные данные компании.

За то, чтобы предоставить код, с помощью которого данные можно расшифровать, злоумышленники просят выкуп — речь идет о суммах от 5 000 $. Но даже если компания решает заплатить, совершенно не факт, что хакеры выполнят свою часть сделки. По нашему опыту, это всегда лотерея 50/50. То есть деньги вы платите точно, а вот получите ли доступ к своим данным — большой вопрос.

Что такое шифровальщики и как происходит атака?

Принцип заражения вирусом-шифровальщиком прост — пользователь скачивает и запускает вредоносный файл, вирус распространяется на устройстве, на котором был «распакован», шифрует основные данные (файлы с расширениями .jpg, .png, .doc, .xls, .dbf), затем зеркало, а дальше, если бэкапирование настроено неправильно, распространяется по сети на все рабочие станции, до которых может «дотянуться».

После шифрования на рабочем столе или в каждой папке с зашифрованными файлами создается текстовый файл (например, READ_ME. TXT) с информацией о том, что файлы зашифрованы, а все попытки самостоятельно расшифровать их приведут к безвозвратной потере данных. В этом же файле пользователь находит контакты хакеров, обычно почту, на которую необходимо написать, чтобы выяснить детали выкупа данных. Чаще всего деньги хакеры требуют перечислить в биткоинах (отследить такую транзакцию практически невозможно), и только после получения нужной суммы обещают выслать код дешифровки.

В правоохранительные органы в большинстве случаев обращаться бесполезно. Силовые структуры просто-напросто не готовы к угрозам такого типа. Согласно статистике антивирусных компаний, подобрать ключ можно, но только если речь идет о шифровальщиках 2-3-летней давности.

Что делать, если система «поймала» шифровальщика?

· Не пытайтесь переименовывать файлы или менять расширения. Этим вы только усугубите положение. Если очень хочется попытаться исправить ситуацию самостоятельно (не надо), можно сделать копию зашифрованного файла и попытаться поэкспериментировать с ней.

· Попытайтесь восстановить файлы из теневых копий. Для этого в вашей системе должны быть созданы точки восстановления данных. Тут важно оговориться, что совсем свежие версии шифровальщиков добираются и до теневых копий.

· Проверьте бэкапы данных. Если бэкапирование настроено правильно, то есть шанс, что вы вообще не потеряли данные.

· Обратитесь в антивирусные компании за кодами расшифровки. Проблема существует не первый год, и у антивирусных компаний могут быть рабочие ключи именно к вашей версии шифровальщика. Кроме того, ведущие антивирусные компании предоставляют программы дешифраторы (например, RectorDecryptor от «Лаборатории Касперского»). В Казахстане в этом вопросе эффективнее всего сотрудничать с Doctor Web.

Как защититься от шифровальщиков?

У нас не бывает и месяца, чтобы специалисты в своей работе не сталкивались с шифровальщиками. Чаще всего уязвимость системы — это сотрудники с наименьшей компьютерной грамотностью. Шифровальщик может содержаться в письме с темой «Резюме», которое придет в отдел кадров, или «Срочно сдать налоговый отчет», которое упадет на почту бухгалтеру. Прежде всего важно повысить общую компьютерную грамотность всех сотрудников во всех отделах компании, объяснять, какие письма открывать можно, а какие — категорически нельзя. Также необходимо установить антивирусное программное обеспечение и регулярно его обновлять.

Важно: для того, чтобы обезопасить себя от таких сюрпризов и не перегружать сотрудников непрофильных отделов новой информацией, на всех компьютерах с человеческой уязвимостью можно ограничить возможность запуска некоторых потенциально опасных файлов. К примеру, с расширениями .js, .cmd, .bat, .vba, .ps1. Для этого нужно выполнить команду — gpedit.msc, далее перейти в раздел

Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики управления приложениями — AppLocker — Правила сценариев

и с помощью мастера создать новое правило на запрет запуска всех сценариев для всех пользователей, например, на системном диске.

Кроме того, спасти ситуацию может правильный бэкап (о том, что такое зеркалирование и бэкапирование мы говорили в отдельной статье). Ведь если последние данные к моменту атаки сохранены на другом устройстве с другой операционной системой (а еще лучше — под отдельным пользователем, пароль к которому знают один или два человека), которое находится вне офиса и не подключено к локальной сети предприятия, то атака не страшна. Компьютеры и операционная система работают, вы можете создавать новые файлы, просто не имея доступа к старым, а вирус-шифровальщик, выполнив свою функцию, автоматически деактивируется.

Да, доменная зона kz маленькая, нас практически не видно, и мы не участвуем в глобальных войнах за данные. Мы никому неинтересны, и поэтому никогда не сталкивались с серьезными угрозами, а это, в свою очередь, позволяет бизнесу не слишком беспокоиться о безопасности. Прямо сейчас потеря данных для казахстанского бизнеса не является большой проблемой, но мы растем. Все может измениться, и довольно скоро. Поэтому нужно иметь протестированную и отработанную возможность быстро восстановить данные, нежели чем применять дорогую (частенько неоправданно дорогую) технологию дешифровки.

Как защититься от шифровальщиков-вымогателей: 5 советов

Как не стать жертвой вымогателей, требующих деньги за расшифровку файлов на вашем компьютере.

Как защититься от шифровальщиков-вымогателей: 5 советов

Leonid Grustniy

  • 27 августа 2021
  • Программы-шифровальщики за последние годы из экзотики превратились в проблему, с которой уже столкнулись сотни тысяч людей — и может столкнуться каждый. Кибервымогательство стало целой массовой индустрией, в которой даже сформировалось разделение труда: одни преступники пишут вредоносный код, а другие выбирают цели и используют этот код для их заражения, получая процент от выкупа.

    В последние пару лет вымогатели сосредоточились на организациях, но это не значит, что обычные пользователи могут забыть об угрозе — по-прежнему есть шанс «попасть под раздачу», в том числе случайно. Так что если вы не хотите остаться без любимых фотографий, важных документов или других файлов, вам не обойтись без навыков защиты от шифровальщиков. Рассказываем о них подробнее.

    Что такое вирус-шифровальщик

    Это вредоносная программа, которая ищет на диске ценную для пользователя информацию, например документы, таблицы, изображения и базы данных, и шифрует все, что сумела найти. Зашифрованные файлы невозможно открыть и использовать. После этого шифровальщик выводит на экран сообщение с требованием выкупа за восстановление вашей информации.

    Дальше бывает несколько вариантов:

    • Иногда злоумышленники действительно высылают ключ и инструкции по расшифровке.
    • Бывает, что преступники не заморачиваются такими мелочами и просто собирают деньги с жертв, ничего не отдавая взамен.
    • Иногда злоумышленники в принципе не могут восстановить данные жертвы — некоторые зловреды повреждают файлы таким образом, что вернуть их уже не получится.

    Вирус-шифровальщик может попасть на ваш компьютер разными путями — к примеру, если вы подобрали и подключили чью-то флешку или скачали что-то с незнакомого сайта. Чаще всего для заражения используют электронные письма с опасными вложениями или ссылками на вредоносные сайты. Самое неприятное, что многие шифровальщики могут распространяться среди подключенных к единой сети устройств. Это значит, что поймав зловреда на домашний компьютер, ожидайте атаки и на ноутбук. А один шифровальщик на рабочем устройстве может привести к коллапсу всех коммуникаций компании.

    Что делать, если ваши данные зашифровали

    Если случилось страшное и ваши данные зашифровали, не паникуйте. Стать жертвой программы-шифровальщика крайне неприятно, но, возможно, вам еще удастся восстановить свои файлы. Вот несколько советов в этой ситуации:

    • Ни в коем случае не платите вымогателям. Каждый выкуп — это финансовый вклад в развитие зловредов и сигнал злоумышленникам о том, что продолжать в том же духе выгодно. Кроме того, даже выполнив требования злоумышленников, вы можете ничего не получить взамен.
    • На специальном сайте No More Ransom с помощью сервиса «Крипто-шериф» узнайте, какой зловред поразил ваш диск. Возможно, для него уже существует программа-декриптор, с помощью которой можно бесплатно восстановить данные.
    • Десятки декрипторов выложены на том же сайте No More Ransom. Ресурс поддерживают Европол и десятки компаний, которые профессионально борются с киберпреступностью.
    • Если вы не нашли декриптор для того шифровальщика, который на вас напал, не отчаивайтесь и следите за новостями — возможно, его скоро выпустят.
    • Как не стать жертвой шифровальщика

    Теперь, когда вы знаете врага в лицо, самое время выучить несколько правил информационной гигиены, которые помогут вам не стать жертвой вымогателей.

    1. Делайте резервные копии

    Регулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск. Если фото можно бэкапить раз в неделю или даже в месяц, то важные документы, над которыми вы работаете прямо сейчас, хорошо бы копировать раз в пару дней или даже каждый день. Долго и лениво? У нас есть советы по автоматизации бэкапов. Только не откладывайте это важное дело: резервная копия поможет и в случае атаки шифровальщика, и если ваш отчет случайно удалит прогулявшийся по клавиатуре кот — но только если копии свежие.

    Для успешного бэкапа не забывайте пару важных правил. Во-первых, подключайте резервный жесткий диск, только когда копируете или считываете что-то с него: если он окажется соединен с компьютером в момент нападения шифровальщика, его тоже зашифруют, так что вся затея с бэкапом потеряет смысл. Во-вторых, защитите доступ к облачным хранилищам надежным паролем и двухфакторной аутентификацией, чтобы никто не смог в них набезобразничать.

    2. Будьте осторожны с сообщениями

    Как мы уже говорили, чаще всего трояны-шифровальщики прячутся во вложениях писем или на зараженных сайтах. Поэтому относитесь к каждому неожиданному письму или сообщению как к потенциальному источнику опасности.

    Прежде всего убедитесь, что знаете отправителя. В письмах (впрочем, и в сообщениях в мессенджерах, соцсетях и на форумах) от незнакомцев с максимальным скепсисом оцените содержание и приложенные файлы или ссылки. При малейших сомнениях отправляйте послание в спам — особенно если вам сулят нежданные выплаты и выигрыши.

    Чтобы пореже сталкиваться с такими письмами, настройте спам-фильтр и включите проверку почтового трафика в защитном решении, если она там есть.

    Если подозрительную ссылку или файл прислал знакомый, хотя вы ни о чем не просили, — свяжитесь с ним по телефону или в другом мессенджере: его аккаунт или почтовый ящик могли взломать.

    3. Избегайте подозрительных сайтов

    Чтобы заставить жертву скачать троян, киберпреступники используют внушительный арсенал уловок, не ограничиваясь ссылками в сообщениях. Так что если после клика на баннер появляется совсем не тот веб-ресурс, который вы ожидали, или на экране вдруг возникает предложение загрузить что-то на ваш компьютер — немедленно закрывайте страницу. Скорее всего, ваш компьютер пытаются заразить.

    4. Вовремя обновляйте программы

    Чтобы проникнуть на устройства, злоумышленники часто эксплуатируют известные уязвимости, для которых разработчики программ уже выпустили заплатки. Поэтому те, кто забывает обновлять программы, находятся в зоне особого риска. Включите автоматическое обновление везде, где это можно сделать, и регулярно проверяйте наличие апдейтов для приложений, которые не имеют такой функции.

    5. Установите защитное решение

    Современные защитные решения умеют распознавать и оперативно блокировать вредоносные программы. К примеру, Kaspersky Internet Security включает целый спектр средств для защиты от шифровальщиков. Даже если особенно хитрый зловред проберется через файловый антивирус, то он не сможет сделать свое черное дело: специальная система анализирует действия запущенных файлов и блокирует попытки шифровать файлы — или отменяет действия вредоносных программ, если они все же успели как-то навредить данным.

    Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

    Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder) появились еще в 2005 году вместе с вымогателями. Сейчас криптовирусы обладают более качественным кодом, более серьезными и сложными методами работы и в целом представляют большую опасность, чем раньше. Попав в систему, они зашифровывают все пользовательские файлы или их часть, требуя выкуп за ключ расшифрования или специальную программу-декриптор. Многие создатели шифровальщиков используют для оплаты биткойны, чтобы избежать отслеживания и обнаружения. В 2016 году был замечен огромный всплеск активности таких инфекций; «Лаборатория Касперского» назвала шифровальщики главной темой в информационной безопасности этого года.

    Классификация вирусов-шифровальщиков

    Поскольку шифровальщики относятся к вредоносным программам, для них справедливы те же типовые классификационные основания, что и для других образцов опасного кода. Например, можно подразделять их по способу распространения: через фишинговые или спам-рассылки, загрузку зараженных файлов, использование файлообменных сервисов и т.д. Преобразовав файлы пользователя, вирус-шифровальщик (virus-encoder) обычно оставляет инструкцию: в виде фона рабочего стола, как текстовый документ на рабочем столе или в каждой папке с зашифрованными файлами.

    Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

    Предполагается, что после выплаты выкупа пользователь получит подробные инструкции по расшифровке файлов либо специальную утилиту для обратного криптографического преобразования. В среднем шифровальщики требуют за разблокировку 300 долларов США, но не все из них действительно восстанавливают файлы после оплаты. Например, некоторые образцы имеют ошибки в криптопроцедурах, делающие расшифрование невозможным, или вообще не содержат соответствующих функций. Больше всего шифровальщиков написано для операционных систем Windows и Android, хотя существуют разновидности и для macOS или Linux.

    Объект воздействия вирусов-шифровальщиков

    Обычно целями этих специфических вымогателей являются небольшие организации, но были случаи атак и на крупные компании. Потому создание шифровальщиков — очень прибыльное дело. Так, создатели CryptoLocker в период с октября по декабрь 2013 года заработали около 27 миллионов долларов. Подробнее об их деятельности можно прочитать в статье «Check Point заблокировала кибервымогателя Cryptolocker » .

    Тем не менее, объектом воздействия могут быть и персональные компьютеры обычных пользователей. В связи с этим полезно помнить, что заражение криптовирусом проще предупредить, чем вылечить:

    1. Делайте резервные копии важных файлов. Желательно размещать их в облачном хранилище или на внешнем накопителе, который обычно отключен от компьютера.
    2. Не открывайте подозрительные файлы или ссылки в электронных письмах.
    3. Скачивайте программы только с сайта разработчика или с проверенных ресурсов.
    4. Установите себе на компьютер хороший антивирус. Некоторые антивирусные решения предлагают проактивную защиту от вымогателей: например, функция защиты папок с важными данными от любых изменений на уровне файловой системы недавно появилась во встроенном антивирусе Windows Defender.

    Если же вы все-таки заразились шифровальщиком, вам может помочь только одно — декриптор, т.е. специальное средство расшифрования. В некоторых случаях его можно найти (и бесплатно скачать) на сайтах производителей антивирусов.

    Источник угрозы

    Вирусы-шифровальщики распространяются так же, как и любые другие программы-вымогатели. Методы и способы их доставки жертве постепенно усложняются: злоумышленники маскируют их под официальное приложение банка, новую версию известного ПО (зафиксированы даже случаи, когда шифровальщики устанавливались под видом обновления Adobe Flash Player или Oracle Java). Однако самым популярным способом распространения шифровальщиков остается спам.

    Анализ риска

    В 2016 году произошел всплеск активности шифровальщиков, отголоски которого заметны до сих пор. Современный уровень развития технологий дает возможность легко зашифровать файлы с помощью сверхстойких алгоритмов, расчетное время взлома которых превышает время жизни Вселенной. В ряде случаев производителям антивирусного ПО удается найти изъяны, позволяющие создать декриптор, но иногда восстановление данных оказывается вообще невозможным. Поэтому риск потери важной и ценной информации при атаке шифровальщика очень велик.

    Как уже говорилось, основными целями криптовирусов являются предприятия и организации: они более платежеспособны, чем рядовой пользователь. Поэтому в случае масштабной вирусной атаки распространите среди сотрудников информацию о ней и расскажите им о той роли, которую они играют в защите цифровых активов компании. Осведомленность коллег крайне важна. Прежде всего сообщите сотрудникам, что они ни при каких обстоятельствах не должны открывать файлы или переходить по ссылкам, если не знают источника. В случае сомнений им следует обращаться в ИТ-отдел.

    В свою очередь, ИТ-специалисты могут использовать программные комплексы, позволяющие создать виртуальную клиентскую программу электронной почты. Это обеспечит защиту от заражения через ссылки в сообщениях или вложения. Используя такие программы в масштабах всей компании, можно гарантировать наличие всех необходимых настроек безопасности. Использование антивируса, технологии DLP (предотвращения утечек информации), «белых» списков и других защитных решений совместно с виртуальной клиентской программой электронной почты создаст дополнительные барьеры на пути инфекции.

    Мобильные устройства представляют собой первоочередную цель для вредоносных программ. Использование технологии контейнеризации (containerization) позволяет предотвратить атаки на мобильные устройства за счет централизации операций по управлению, защите и контролю для приложений и данных, не затрагивая личную информацию пользователя. Cистемы виртуализации для мобильных устройств могут блокировать не соответствующие корпоративным требованиям гаджеты сотрудников, выполнять проверку отсутствия взлома («джейлбрейка») для установки пиратских или непроверенных приложений.

    Важно и необходимо выполнять резервное копирование всей ценной информации с помощью сервисов синхронизации и обмена файлами: даже если вы заплатили злоумышленнику выкуп, у вас нет никаких гарантий, что данные будут восстановлены. Подобные сервисы хранят несколько версий одного файла, поэтому компании-клиенты могут восстановить доступ к нужной информации, не соглашаясь на условия злоумышленников.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *