Итак, случилось страшное: вместо папок с фоточками на рабочем столе вы видите странные иконки. При попытке их открыть появляется сообщение о том что ваши файлы заблокированы и для получения доступа к ним нужно написать письмо на странный адрес типа stopencrypt@qq.com.
Чего в этом случае нужно делать? Правильно, достать архивную копию Ваших файлов, заменить зашифрованные фалы версиями из бекапа.
На что можно всё таки потратить время? Написать письмо злодеям, что бы узнать сколько они хотят за расшифровку. Ну это так, из раздела "платное обучение" в в школе житейской мудрости. По моему опыту антивирус и место для архивных копий не стояли и 10% от запрошенной за расшифровку суммы.
Можно поторговаться с кибер преступниками. Для получения выкупа вам сообщают номер кошелька. Преимущество (он же недостаток) криптовалюты в том что все транзакции прозрачны для всех. Движения по этому кошельку можно элементарно посмотреть. Примерный уровень до которого можно "дожать" злодеев увидите в истории транзакций по этому кошельку.
В нашем случае выплата выкупа преступникам не помогла. Обратно свои файлы получить не удалось. Мы еще раз убедились в том, что вести переговоры с террористами нельзя.
По каким еще направлениям мы двигались в попытках получить свои данные:
Написали в техподдержку производителя антивируса. Обрисовали ситуацию и прислали пример зашифрованного файла. Через сутки получили рекомендации по лечению зараженной машины, но не надежду на расшифровку данных. Прошли те времена, когда вирусописатели писали свои поделки с ошибками, оставляя возможность расшифровки без выкупа. Теперь алгоритмы используются надежные, каждый случай блокировки файлов требует своего индивидуального ключа расшифровки.
Самая большая потеря времени была связана с обращением в компанию по "восстановлению" данных после шифровальщиков. Почему слово восстановление взято в кавычки? Потому что ребята и не пытаются расшифровывать данные, а просто изображают кипучую деятельность за 5-10 тысяч рублей ваших денег.
Процедура, так заявлено на сайте компании, выполняется в удалённом режиме. Высококвалифицированный инженер (да, но нет) подключается к зараженной машине с помощью TeamViewer и выполняет "оценочное" сканирование системы. Почему используется именно TW, а не стандартный для Windows клиент удаленного рабочего стола? Потому что программки для восстановления случайно стертых данных не корректно работают в сеансе RDP. Итак вы пускаете практически мошенников с административными правами на свою машину. Они в течение часа ищут "ошметки" от ваших файлов. Восстанавливают какой нибудь небольшой файл документа или картинки. С маленькими файлами такое иногда получается, ведь чем меньше файл, тем больше шансы что все части этого файла в порядке. Если файл огромный и лежит в нескольких частях диска (что практически всегда в Windows), то шансы на восстановление мизерны.
После "оценки" вам показывают мелкий восстановленный документ и выставляют счет на восстановление ВСЕЙ информации. Вы его оплачиваете и процесс запускается. Однако в результате все восстановленные данные получаете в "битом" состоянии. Но денег вернуть уже не получится: ведь вы оплачивали не РЕЗУЛЬТАТ, а процесс восстановления.
Возвращаемся к заголовку статьи: Что делать в случае если вы поймали вируса-шифровальщика?
Ответ простой и единственный - достаем архивные копии, заменяем зашифрованные файлы и дальше радуемся жизни.
А вот что сделать для того что бы предотвратить ситуацию с заражением вирусами-вымогателями в корне?
- устанавливаем все обновления на вашу Windows (часто для заражения зловреды используют не закрытые бреши в программном обеспечении)
- устанавливаем антивирус и поддерживаем его в актуальном состоянии. Под антивирусом подразумеваем продукцию известных мировых производителей Касперский, Нортон, МкАфи и так далее. Даже встроенный в Windows "защитник" будет лучше чем Avast, Avira и так называемые бесплатные антивирусы. Нет совсем денег, есть Kaspersky Free: основные функции есть и работают. Нужны дополнительные "бантики", купи полную версию и не в чём себе не отказывай.
- не открываем ссылки в неизвестные места в письмах. файлы с исполняемым содержимым тоже не открываем. даже от "директора компании". и от банка с темой "запрос сверки" или "уточнение условий контракта". НИКОГДА. Антивирус, даже с обновленными базами, шифровальщика может пропустить. Потому что для каждого нападения вирусописатели выпускают уникальную версию.
- настраиваем регулярное резервное копирование. В Windows для этого всё уже есть (поиском в Windows ищем пункт меню "Архивация и восстановление" ). Нужно только место под резервные копии. Ну а если хочется все сделать правильно (правило бекапов 3-2-1)? Берем что нибудь для домашнего резервного копирования и спим спокойно. Современные бекапилки, даже домашние, умеют резервировать ваши данные в облаках. В случае пожара-наводнения все ваши фотографии котиков можно будет восстановить!
Update. Сразу забыл написать техническую подробность. Когда вирус начинает шифровать папки с файлами, то содержимое каталогов резко меняется. У свежей версии Касперского (тот который для бизнеса и версия 11+) и Acronis Backup (бекапилка серверов) заявлено, что такую подозрительную активность они чувствуют, процесс, её породивший, прибивают, а испорченные файлы откатывают в первоначальное состояние. То есть идет анализ вируса не по сигнатурам, а по поведенческим факторам. Не знаю на сколько этим маркетинговым материалам можно верить. А проверить в "песочнице" в ближайшее время, наверное, руки не дойдут.
Не забывайте подписываться на канал, тут бывает интересно.
