Игры хакеров кончились. Теперь вирусы пишут с целью получить деньги. Зашифровать файлы, а затем потребовать выкуп за доступ к данным — классическая схема работы семейства вируса-шифровальщика. SM Security вам расскажет, можно ли восстановить файлы самостоятельно, и как избежать встречи с вирусом .
Что такое шифровальщик?
Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).
Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.
В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).
Шифровальщики – это не новость
Начнем с того, что вымогательское ПО в целом – это вовсе не новое явление. Программы блокирующие или затрудняющие работу с операционной системой появились более десяти лет назад, и за прошедшие годы они не претерпели никаких революционных изменений. Шифровальщики и локеры всех мастей всегда стремились к одному — сделать нормальную работу с ОС невозможной (шифруя файлы пользователя, блокируя экран смартфона, не позволяя загрузить операционную систему и так далее), а за разблокировку зараженного компьютера или мобильного устройства всегда требовали выкуп.
WannaCry (2017)
WannaCry, также известный под названиями Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt, был обнаружен отнюдь не в середине мая 2017 года, когда начались атаки, взбудоражившие весь мир. Впервые вирус был замечен специалистами еще в феврале 2017 года, но не произвел на них большого впечатления, по сути, являясь совершенно заурядным вымогателем, каких в настоящее время насчитываются десятки, если не сотни.
Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.
Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб»...
Хакеров интересуют все
Как показала практика, пользователи готовы откупаться от злоумышленников, которые зашифровали все файлы на их жестком диске, и платить за «спасение» своих фотографий, рабочих документов, коллекций любимой музыки и других «никому не нужных» вещей.
Также никто не отменял и того факта, что практически любое зараженное устройство, будь то компьютер, роутер, мобильный гаджет или нечто иное, может стать частью крупного ботнета, после чего будет «работать» на преступников. Монетизировать таких ботов можно множеством способов: без ведома владельца устройство может участвовать в DDoS-атаках; пропускать через себя чужой трафик, выступая в роли прокси-сервера; «копать» криптовалюту; скликивать или «просматривать» рекламу и так далее. Таким образом, хакерам нужны и интересны абсолютно все, без исключений, и логика «у меня нечего брать, я никого не интересую» здесь не работает.
Бизнес, в свою очередь, находится в еще более невыгодном положении. Специалисты IT-подразделений вынуждены иметь дело не только с сотрудниками собственных компаний, которые зачастую не имеют даже базовых представлений о «гигиене безопасности», но также должны следить за появлением новых угроз, отражать атаки, поддерживать стабильную работу систем и актуальность ПО.
Современные киберпреступники не только воруют корпоративные секреты, они устраивают DDoS-атаки на предприятия и шантажом заставляют компании заплатить за их прекращение (ведь в противном случае пострадавшие сервисы могут оставаться недоступными на протяжении многих часов или даже дней). Из-за халатности сотрудников в сети компаний то и дело проникают трояны, шифровальщики и другие «бытовые» угрозы, что может привести к самым печальным последствиям.
К примеру, в конце 2016 года из-за атаки обыкновенного шифровальщика HDDCryptor на несколько дней была практически парализована работа San Francisco Municipal Railway (буквально: муниципальная железная дорога Сан-Франциско, сокращено Muni) — организации-оператора общественного транспорта города и округа Сан-Франциско. Тогда 2 112 систем организации из 8 656 оказались заражены HDDCryptor. Пострадали платежные системы, системы, отвечающие за расписание движения, а также почтовая система Muni.
Система, которая включает в себя пять видов общественного транспорта (автобус, троллейбус, скоростной трамвай, исторический электрический трамвай и исторический кабельный трамвай), была вынуждена работать бесплатно, ведь иначе движение общественного транспорта в Сан-Франциско пришлось бы останавливать, и город ждал бы неминуемый транспортный коллапс.
Как защититься от вируса-шифровальщика. Превентивные меры
Предотвратить опасные последствия легче, чем их исправить:
- Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
- Сохраняйте резервные копии ваших данных.
Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.
Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!
- Ограничьте программную среду в домене.
Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.
- Будьте бдительны.
Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.
Компьютер заражен вирусом. Что делать?
Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.
После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.
Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.
Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.
Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.
Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.
В заключение..
Дорогие пользователи интернета. Лаборатория SM Security настоятельно рекомендует не переходить вам по ссылкам которые не внушают доверия, не открывать подозрительных и нежданных файлов из почтового ящика. Будьте бдительны и в соц.сетях. Всем спасибо за прочтение, надеюсь на вашу оценку и комментарий, всего доброго до свидания.