Системный администратор одной из орловских фирм рассказал нашему корреспонденту,что за последнее время уже несколько раз столкнулся с новым типом компьютерных вирусов - вирусами-шифровальщика-ми, которые вымогают деньги. Причем самое интересное - новый вирус выдает пострадавшему подробнейшую инструкцию - что и как необходимо сделать, чтобы перевести деньги злоумышленникам. В итоге справиться с перечислением денег могут даже плохо знакомые с компьютерами бабушки. Цена вопроса исчисляется тысячами рублей. И пострадавшему дают ограниченный срок на принятие решения - потом злоумышленники перестают выходить на связь, так как пострадавший мог обратиться в правоохранительные органы. В итоге все данные на компьютере остаются зашифрованными и восстановить их не удается. Почему орловцы попадаются на удочку мошенников, как происходит заражение и что делать, чтобы избежать проблем, - эту информацию «Орловская среда» объединила в несколько простых вопросов-ответов.
КАК ДЕЙСТВУЕТ КРИПТО-ВИРУС?
Человеку на электронную почту приходит письмо от незнакомого адресата. После того как пользователь открыл прикрепленный к электронному письму архив или прошел по ссылке — на компьютере начинается процесс шифровки файлов. Обычно это занимает от нескольких минут до нескольких часов. При этом пользователь не видит ничего подозрительного. Потом на экране появляется сообщение, что все файлы зашифрованы с инструкцией — как перечислить деньги злоумышленникам. Пострадавший пытается открыть любой документ, фото, видео, базу данных 1С и так далее, но видит просто набор символов. При этом в инструкции к вирусу прописан такой интересный момент, что пострадавший может прислать злоумышленникам любой файл для проверки и его действительно расшифруют. То есть пострадавший может убедиться, что злоумышленники действительно имеют ключ для расшифровки. Именно поэтому пострадавшие зачастую платят.
ПОЧЕМУ ЛЮДИ ПОПАДАЮТ «НА УДОЧКУ» МОШЕННИКОВ, ЕСЛИ ЗНАЮТ О ВИРУСАХ?
Новый тип вирусов — «шифровальщики» или крипто-вирусы маскируются под сообщения от различных фирм или официальных ведомств. Тема сообщения обычно не вызывает сомнения: «Мы внесли в договор изменения — согласуйте со своей стороны», «Резюме на вакансию в вашей организации» и т.п. Очень часто, чтобы напугать потенциальную жертву, заголовок письма гласит: «Задолженность по аренде» или, вообще, «Уголовное производство». Например, на минувшей неделе Федеральная
налоговая служба опубликовала в СМИ сообщение, что вирус маскируется под сообщение от ФНС. Обычно, увидев в теме письма «Погашение задолженности по уплате налогов», человек не сомневается в том, от кого получено сообщение, и открывает опасное письмо.
ПОЧЕМУ МОЯ АНТИВИРУСНАЯ ПРОГРАММА ПРОПУСТИЛА ВИРУС?
Проблема в том, что крипто-вирусы постоянно модифицируются и используют штатные возможности операционной системы. С точки зрения машины, пользователь сам решил зашифровать свои данные. Кстати, многие ранние версии крипто-вирусов антивирусные программы благополучно обнаруживают и блокируют их вредоносную деятельность. Поэтому всегда устанавливайте официальные антивирусные программы.
КАК ОТЛИЧИТЬ ОПАСНОЕ ПИСЬМО ОТ БЕЗОБИДНОГО?
Необходимо внимательно смотреть на адрес отправителя, указанный в поле «From:». Например, в настоящих письмах от ФНС России указан домен nalog.ru. При этом следует помнить, что если вы не сотрудничаете с какой-либо фирмой, а вам пришел от нее архив или ссылка на посторонний ресурс — такое письмо ни в коем случае нельзя открывать. Вообще, в современный век очень легко перепроверить, кто послал сообщение, например, уточнить электронный адрес ведомства или перезвонить в организацию, от имени которой пришло сообщение, и узнать, с какого адреса послали письмо.
КАК ЗАЩИТИТЬСЯ, ЕСЛИ В ДЕНЬ ПРИХОДИТСЯ ОТКРЫВАТЬ СОТНИ И ДАЖЕ ТЫСЯЧИ ПИСЕМ?
Чтобы не потерять важные данные и не попасть на удочку мошенникам, необходимо регулярно сохранять все важные данные на внешний источник, например флэшку или ДВД-диск. В этом случае даже после заражения криптовирусом будет потеряна лишь какая-то незначительная часть информации. И, кстати, если в письме нет прикрепленного архива — можно спокойно читать текст даже от неизвестного отправителя.
МОЖНО ЛИ ДЕЛАТЬ РЕЗЕРВНОЕ КОПИРОВАНИЕ НА ОНЛАЙН РЕСУРСАХ?
Вирусы постоянно модифицируются и усложняются. Есть данные, что последние модификации вирусов заражают файлы и в «облачных» хранилищах, поэтому внешний диск или флэшка все же надежнее.
ЧТО ДЕЛАТЬ, ЕСЛИ СЛУЧАЙНО ОТКРЫЛ ПОДОЗРИТЕЛЬНОЕ ПИСЬМО, НО НИЧЕГО НЕ ПРОИСХОДИТ?
Если вы открыли присланное с подозрительного адреса письмо, в котором должно было быть сообщение, например от арбитражного суда, но ничего не произошло и никакого сообщения не открылось — то, скорее всего, вы запустили вирус. Срочно выдерните вилку из розетки. Чем быстрее вы обесточите системный блок, тем больше файлов удастся спасти. Затем из системного блока необходимо извлечь жесткий диск и попросить специалиста скопировать с него сохранившиеся незашифрованные данные.
ПОМОГУТ ЛИ ОРГАНИЗАЦИИ, ЗАНИМАЮЩИЕСЯ БОРЬБОЙ С ВИРУСАМИ?
В последних случаях системный администратор из Орла посылал письма с просьбой о помощи и на специализированные форумы, и в «Лабораторию Касперского», но везде получил один ответ — расшифровать файлы, зараженные данной модификацией вируса, пока не представляется возможным.
Подведем небольшой итог: во-первых, регулярно делайте резервные копии всех важных файлов, во-вторых, никогда не открывайте сообщения от подозрительных адресатов, к которым прикреплены архивы, и не ходите по ссылкам из подозрительных писем на сторонние ресурсы, в-третьих, если сообщение кажется подозрительным, перезвоните в организацию и уточните — присылали ли они вам письмо. Сверьте адрес, с которого отправлено письмо, с адресом организации, в-четвертых, если вы ожидали увидеть важное сообщение, но после открытия архива ничего не произошло — вы запустили вирус. Срочно отключайте компьютер — может быть, вам удастся спасти хотя бы часть информации, и, в-пятых, пользуйтесь лицензионными антивирусными программами и регулярно обновляйте антивирусные базы.
Статья опубликована в газете "Орловская среда" от 22 февраля 2017 года
Сергей МИЛЯХИН