Как работают вирусы шифровальщики и как от них защититься

Как работают вирусы шифровальщики

Наконец у меня дошли руки рассказать читателям о вирусах шифровальщиках. Что это такое, как с ними бороться и как избежать неприятностей? Постараюсь поделиться информацией из собственного опыта и собранной в интернете.

Сразу оговорюсь, что буду говорить о базовых принципах, свойственных для всех вирусов такого рода. Текст сообщений, порядок действий пользователя, способ распространения вируса будут отличаться в каждом конкретном случае.

Как происходит заражение

Главная цель злоумышленников заставить пользователя любым способом скачать файл с вирусом и запустить его.  В этом вымогатели могут проявлять всю свою фантазию.

Зачастую они устраивают массовую рассылку писем в организации. В теме сообщения указывается «резюме», «исковое требование», «договор поставки», «акт сверки-взаиморасчётов», т. е. самые обычные письма, которые ежедневно проходят десятками в любой организации. Стоит ли говорить, что, например, сотрудник отдела кадров, зачастую не самый продвинутый пользователь, с большой вероятностью скачает прикрепленный файлик «резюме» и откроет его.

Другой способ распространения вируса — это запуск скачанной с интернета программы. Только вместо установки программы пользователь получает зашифрованные файлы. Забавно, вроде бы все на месте, но в таком виде они абсолютно бесполезны.

Более чем в 90% случаев пользователи запускают шифровальщики своими руками.

Более половины всех случаев шифрования приходится на вирус Trojan.Encoder и сотни вариантов его модификаций.

Как происходит шифрование

Принцип работы шифровальщиков очень прост, вирус, запущенный на компьютере жертвы шифрует файлы и удаляет теневые копии файлов, таким образом делая невозможным восстановление предыдущих версий файлов. Шифруются все файлы со стандартными расширениями .jpg, .png, .doc, .xls, .dbf и т.д. Другими словами, шифруются картинки, документы, таблицы, файлы баз данных и другие стандартные файлы, которые как раз и представляют весь интерес для пользователя.

После шифрования на рабочем столе или в каждой папке с зашифрованными файлами создается текстовый файл (например, READ_ME!!!!!!.TXT) с предупреждением пользователя о том, что файлы были зашифрованы, а все попытки самостоятельно расшифровать файлы могут привести к безвозвратной потере данных, ну и, разумеется, контакты вымогателей и сумма которую необходимо заплатить для расшифровки.

Современные экземпляры вирусов используют криптостойкие алгоритмы шифрования. Содержимое файлов шифруется с очень высокой скоростью, а ключ шифруется асимметричным алгоритмом. Это означает, что на подбор ключа для расшифровки могут потребоваться годы вычислений компьютера.

Вот такую статистику расшифровки приводит компания «Доктор Веб» в 2018 году.

Троянец Альтернативные наименования Вероятность расшифровки
BAT.Encoder Trojan.FileCrypt.C
BAT/Filecoder.B
Trojan-Ransom.BAT.Scatter.s
20-30%
Trojan.Encoder.94 Trojan-Ransom.Win32.Xorist
Trojan:Win32/Bumat!rts
Win32/Filecoder.Q
90%
Trojan.Encoder.293 90-100%
Trojan.Encoder.398 Gen:Trojan.Heur.DP;
TR/Dldr.Delphi.Gen
58%
Trojan.Encoder.556 Trojan-Ransom.Win32.Agent.iby,
Gen:Variant.Kates.2
3-5%
Trojan.Encoder.741 21%
Trojan.Encoder.567 Win32/Filecoder.CQ,
Gen:Trojan.Heur.OH3@tb9fsadcg
10-20%
Trojan.Encoder.686 CTB-Locker Расшифровка на данный
момент невозможна
Trojan.Encoder.858
Trojan.Encoder.2843(*.vault) 90%
Trojan.Encoder.2667 59%
Trojan.Encoder 3953 80%
Linux.Encoder.1, Linux.Encoder.2, Linux.Encoder.3 100%
Mac.Trojan.KeRanger.2 100%

По статистике антивирусных компаний удается подобрать ключ лишь в 10% случаев.

Все это приводит к тому, что в большинстве случаев зашифрованные данные будут безвозвратно потеряны. Конечно, всегда можно попробовать заплатить злоумышленникам, но нет никаких гарантий.

Встречаются случаи когда восстановить файлы просто невозможно, даже если вы заплатите некоторую сумму вымогателям.  Это происходит в том случае, если вирус шифровальщик просто выбрасывает ключ шифрования, а не передает его для хранения на сервер. К слову, вымогатели от этого совсем не расстраиваются, они то исправно получают свои деньги.

Что делать если вирус зашифровал файлы?

Не пытайтесь переименовывать файлы и расширения. Это может привести к невозможности его расшифровать в дальнейшем. Если хочется поэкспериментировать то можно сделать копию зашифрованного файла и работать с ней.

Попытаться восстановить файлы из теневых копий. Если совсем кратко, то это восстановление предыдущих версий файлов и папок. Для этого в вашей системе должна быть включена функция защиты системы и созданы точки восстановления. Об этом можно написать отдельную статью, и если вам это интересно напишите в комментариях.

Обратиться к антивирусным компаниям. Ведущие антивирусные компании предоставляют программы дешифраторы. Например, можно попробовать XoristDecryptor и RectorDecryptor от Лаборатории Касперского.

Утилиты постоянно обновляются, включая все больше алгоритмов для расшифровки. Вообще, вероятность получить исходный файл, достаточно низкая, но попробовать нужно.

Кроме того, можно попробовать связаться с поддержкой антивирусной компании, сообщить им о шифровальщике и выслать им образец зашифрованного файла. Можно точно обратиться в Лабораторию Касперского и компанию Dr.Web, при условии что у вас есть лицензия их продукта. Специалисты попробуют расшифровать файл, и в случае успеха вышлют вам утилиту для расшифровки остальных файлов.  Все это может занять очень длительное время, но вариантов то не так много.

Как защититься от шифровальщиков

  • Сохраняйте резервные копии ваших данных на внешний накопитель.
  • Используйте антивирусные средства и не забывайте обновлять антивирусные базы. Как бы просто это не звучало, но это действительно может избавить вас от лишних проблем.
  • Ограничьте запуск некоторых потенциально опасных типов файлов. К примеру, с расширениями .js, .cmd, .bat, .vba, .ps1. Для этого нужно выполнить команду — gpedit.msc, далее перейти в раздел Конфигурация компьютераКонфигурация WindowsПараметры безопасностиПолитики управления приложениямиAppLockerПравила сценариев, и с помощью мастера задать новое правило на запрет запуска всех сценариев для всех пользователей, например, на системном диске. Даже это простое действие может не раз спасти вас от неприятностей.
  •  Будьте внимательны!  Расскажите о вирусах шифровальщиках своим знакомым, чтобы они также не попадались на уловки мошенников. Все мы знаем, что предупрежден, значит вооружен!

Более подробную информацию о защите от шифровальщиков можно найти здесь.

В итоге, мы имеем серьезную угрозу для любого пользователя и довольно печальную статистику по расшифровке. Вирусы шифровальщики — это энигма нашего времени. Посмотрим, найдет ли кто-нибудь способ оставить мошенников без заработка.

Если информация была интересной и полезной — поделитесь этой статьей со своими друзьями в социальных сетях (блок поделиться прямо здесь под статьей). Если у вас есть чем дополнить статью, обязательно пишите в комментариях.  До встречи!

Понравилась статья? Поделиться с друзьями:
Комментарии: 1
  1. Людмила

    Спасибо, очень полезная информация.

Добавить комментарий