Новости

Вірус шифрувальник - що робити і як бути?

  1. Як спіймати собі такого ж вирік?
  2. Що робити, якщо вірус-шифрувальник потрапив на ваш комп'ютер?
  3. Чого робити не можна?
  4. Куди звертатися?
  5. Як убезпечити себе?
  6. Чим все закінчилося ...

Вітаю вас шановні читачі!

У цій замітці хочу поділитися своїм досвідом, хай він і гіркий, але впевнений стане в нагоді багатьом.

Буквально на днях мав необережність "підчепити дуже цікавий вірус" :))
Я таких, якщо чесно, ще не зустрічав.

Такі віруси називають шіфровщікі або шифрувальником, в середовищі аналітиків часто називають Encoder'и
Антивірус NOD32 кличе його MSIL / Injector.IPX або щось в цьому роді.

Але суть не в цьому.
Суть в тому, що цей вірус, підло і без попиту, починає шифрувати документи на вашому комп'ютері.
Це файли в форматах .jpg, .txt, .rtf, .doc, .xls, .zip
Загалом всі формати в яких найчастіше зберігаються важливі документи. Так, і в тому числі навіть бази 1С (власники інет-магазинів теж можуть влетіти).

Шифрує він спеціальним алгоритмом, і заодно перейменовує файл у щось типу: README.txt. Ця електронна адреса захищена від спам-ботів. У вас повинен бути включений JavaScript для перегляду.

Для розшифровки потрібен спеціальний дешифратор, знайти який не завжди просто.

В результаті папки на моєму комп'ютері стали виглядати приблизно таким чином.

А раніше це були фотографії А раніше це були фотографії

Загалом їх не відкрити, чи не розшифрувати, що не перейменувати просто так не можна.

Як спіймати собі такого ж вирік?

Це дуже просто.
Спосіб №1.
Наприклад, вам або вашим співробітникам приходить лист з темою: "Повідомлення від податкової" або "Лист від судових приставів" або що то в цьому дусі.
У листі є вкладення, відкривши яке запускається вірус.

Спосіб №2.
Вам приходить лист на пошту або повідомлення в соціальних мережах, типу: "Олег, привіт, слухай я тут знайшов класну річ, подивись-но: посилання кудись"
Після переходу за посиланням вірус пробирається на ваш комп'ютер.

Спосіб №3.
Ви вирішили завантажити який-небудь файлик з невідомого сайту або трекера.
Розпакувавши його, запускається вірус.

І що примітно, практично жоден антивірус не може його зупинити. Сподіваюся, це тимчасово.
Тому що подивившись форуми з безпеки, зустрічаються користувачі і Dr.Web, і NOD32 і Касперського і т.д.
До речі, безкоштовні антивіруси навіть не можуть видалити такі віруси-шифратори.

У моєму випадку, вірус потрапив 2-м способом.
Прийшов лист від передплатника, з проханням подивитися якісь опціони.
Сам я критично ставлюся до всяких опціонах, лохотрон і подібних речей.
Але чорт смикнув мене подивитися і відкрити посилання, я природно від передплатника не очікував такого підступу ...

Але як я зрозумів, швидше за все його пошту зламали і просто розсилали спам.
Тому що з цією людиною ми часто вели переписку.

Що робити, якщо вірус-шифрувальник потрапив на ваш комп'ютер?

Визначити його роботу, в принципі не складно.
У комп'ютера відразу з'являються гальма, сторінки завантажуються дуже повільно, якщо на робочому столі є якісь документи, то вони стануть перейменовувати.

Якщо у вас підключено хмарне сховище файлів, типу Яндекс.Діск, то першою ознакою може стати початок раптової синхронізації.
Так було і у мене. Тому і викликало подив ...
Начебто нічого не зберігав, а синхронізація почалася.

Якщо такі ознаки виявлені, то перш за все вирубувати інтернет (кабель або Wi-Fi)
Після цього швидко вимкніть або перезавантажувати комп'ютер.
Це допоможе зберегти хоча б якісь файли.

При включенні комп'ютера заново, можливо буде якесь системне повідомлення, типу ніж відкрити файл EA.tmp
Вам потрібно скасувати його відкриття.

Після цього відразу запускайте сканування антивірусом.
При знаходженні загроз, не видаляйте їх, а помістіть в карантин (Очистити / Ізолювати)

Чого робити не можна?

Ці рекомендації дають антивірусні лабораторії:

  • не можна змінювати розширення закодованих файлів
  • видаляти закодовані файли і самостійно лікувати їх антивірусом
  • очищати кеш браузера і папки з тимчасовими файлами
  • перевстановлювати операційну систему
  • самостійно використовувати дешифратори з форумів
  • платити зловмисникам (не факт, що вони пришлють дешифратор)

Куди звертатися?

Насамперед потрібно написати в технічну підтримку розробників вашого антивіруса.
Там вам повинні сказати що робити далі. Принаймні в NOD32 і Dr.Web точно скажуть.
Їм потрібно буде надіслати зашифровані файли, тіло вірусу і реєстр, як це зробити вам розкажуть в техпідтримку.

Також бажано написати заяву в поліцію, тому що це злочин.
Але в цьому випадку ваш комп'ютер можуть вилучити на якийсь час, для аналізу.
Тут справа ваша (фрілансери звичайно, навряд чи погодяться на це).

Як убезпечити себе?

Найперше і найважливіше - це регулярно проводити резервне копіювання даних з вашого комп'ютера.
Справа навіть НЕ в тому що можна підхопити вірус шифрувальник, і він знищить всю вашу інформацію.
Справа в тому, що сучасні жорсткі диски живуть не дуже довго.
2-3 роки і їм може прийти кирдик. І всі важливі дані, фотографії, документи, бази 1С, звіти і т.д., можуть загубитися в одну мить.

Резервне копіювання процес трохи заморочений, але краще витратити пару годин на вирішенні цього питання, ніж потім втратити дні, місяці і навіть роки своєї роботи.
Як правильно робити резервні копії ви можете подивитися у мого колеги, він присвятив цьому багато часу:
Резервне копіювання: як за 15-20 хвилин відновити Windows

І друге - не переходьте за посиланнями в листах від незнайомих адресатів, і в листах з дивною змістом.
Не відкривайте вкладення в листах, особливо всякі повідомлення від податкових інспекцій, прокуратур і т.д.
Вони не надсилають листи по електронній пошті, вони шлють звичайною поштою. Навіть відділ "К" МВС РФ.
До того ж в листі можна подивитися адресу відправника і порівняти його з реальним адресою тієї служби від якої нібито прийшов лист.

Чим все закінчилося ...

Зараз лабораторія NOD32 працює над створенням дешифратора, скільки часу на це піде і чи буде результат - я не знаю.
У моєму випадку втрати не великі, тому що я робив часткове резервне копіювання, але все ж деякі файли, які для мене мають значення, були пошкоджені.
Я звичайно, міг би махнути на них рукою, але трохи шкода.
Тому доведеться чекати дешифратор.

Про підсумки напишу ...

UPD: Що в підсумку вийшло.

В результаті лабораторія ESET NOD32 не зробила нічого. Вони навіть забули про моє звернення, довелося писати їм заново.
Сказали що працюють над дешифратором, а коли він буде готовий невідомо.
З листування стало зрозуміло, що їм не хочеться зі мною возитися.

У Dr.Web до речі вирішили проблему буквально за кілька днів, а в NOD 32 вирішують вже 4-ий місяць.
Але купувати ліцензію і продукти Dr.Web, щоб розшифрувати свої файли, я не горю бажанням.
Ще NOD32 не скінчилася.

А зашифровані файли довелося видалити.
Добре що серед них не було дуже важливих. Правда дещо які втрати були, але вони не такі страшні, як могли б бути.

Бажаю вам успіху! Не попадайтеся, будьте пильні.
Зараз такі листи стали розсилати ще частіше.
Попереджений значить озброєний!

З повагою, Олег Касьянов.

Як спіймати собі такого ж вирік?
Що робити, якщо вірус-шифрувальник потрапив на ваш комп'ютер?
Чого робити не можна?
Куди звертатися?
Як убезпечити себе?
Як спіймати собі такого ж вирік?
Що робити, якщо вірус-шифрувальник потрапив на ваш комп'ютер?
Як убезпечити себе?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: