Вредоносное ПО (malware) - это назойливые или опасные программы,...
![Лучшие утилиты для удаления вирусов и вредоносных программ](https://i2.wp.com/webhelper.info/images/danger.jpg)
Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).
Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.
В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).
Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности. Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы. Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.
Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.
После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.
Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.
Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.
Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.
Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.
Предотвратить опасные последствия легче, чем их исправить:
Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.
Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!
Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.
Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.
Александр Власов , старший инженер отдела внедрения систем защиты информации компании «СКБ Контур»
«Извините что побеспокоили, но… ваши файлы зашифрованы. Чтобы получить ключ для расшифровки, срочно переведите энную сумму денег на кошелек… Иначе ваши данные будут уничтожены безвозвратно. У вас 3 часа, время пошло». И это не шутка. Вирус-шифровальщик – угроза более чем реальная.
Сегодня поговорим, что представляют собой распространившиеся в последние годы вредоносные программы-шифровальщики, что делать в случае заражения, как вылечить компьютер и возможно ли это вообще, а также как от них защититься.
Вирус-шифровальщик (шифратор, криптор) – особая разновидность вредоносных программ-вымогателей, чья деятельность заключается в шифровании файлов пользователя и последующем требовании выкупить средство расшифровки. Суммы выкупа начинаются где-то от $200 и достигают десятков и сотен тысяч зеленых бумажек.
Несколько лет назад атакам зловредов этого класса подвергались только компьютеры на базе Windows. Сегодня их ареал расширился до, казалось бы, хорошо защищенных Linux, Mac и Андроид. Кроме того, постоянно растет видовое разнообразие шифраторов – одна за другой появляются новинки, которым есть чем удивить мир. Так, возникла благодаря «скрещиванию» классического трояна-шифровальщика и сетевого червя (вредоносной программы, которая распространяется по сетям без активного участия пользователей).
После WannaCry появились не менее изощренные Petya и Bad Rabbit. И поскольку «шифровальный бизнес» приносит владельцам неплохой доход, можно быть уверенными, что они не последние.
Все больше шифровальщиков, особенно увидевших свет в последние 3-5 лет, используют стойкие криптографические алгоритмы, которые невозможно взломать ни перебором ключей, ни иными существующими средствами. Единственная возможность восстановить данные – воспользоваться оригинальным ключом, который предлагают купить злоумышленники. Однако даже перечисление им требуемой суммы не гарантирует получение ключа. Преступники не торопятся раскрывать свои секреты и терять потенциальную прибыль. Да и какой им смысл выполнять обещания, если деньги уже у них?
Основной путь попадания вредоноса на компьютеры частных пользователей и организаций – электронная почта, точнее, приложенные к письмам файлы и ссылки.
Пример такого письма, предназначенный для «корпоративных клиентов»:
Согласитесь, только знающий пользователь отнесется к такому письму с настороженностью. Большинство, не задумываясь, откроет вложение и запустит вредоносную программу своими руками. Кстати, невзирая на вопли антивируса.
Также для распространения шифровальщиков активно используются:
Проводниками вирусов-шифраторов нередко бывают другие вредоносные программы, в частности, демонстраторы рекламы и трояны-бэкдоры. Последние, используя уязвимости в системе и ПО, помогают преступнику получить удаленный доступ к зараженному устройству. Запуск шифровальщика в таких случаях не всегда совпадает по времени с потенциально опасными действиями пользователя. Пока бэкдор остается в системе, злоумышленник может проникнуть на устройство в любой момент и запустить шифрование.
Для заражения компьютеров организаций (ведь у них можно отжать больше, чем у домашних юзеров) разрабатываются особо изысканные методы. Например, троянец Petya проникал на устройства через модуль обновления программы для ведения налогового учета MEDoc.
Шифровальщики с функциями сетевых червей, как уже говорилось, распространяются по сетям, в том числе Интернет, через уязвимости протоколов. И заразиться ими можно, не делая ровным счетом ничего. Наибольшей опасности подвергаются пользователи редкообновляемых ОС Windows, поскольку обновления закрывают известные лазейки.
Некоторые зловреды, такие, как WannaCry, эксплуатируют уязвимости 0-day (нулевого дня), то есть те, о которых пока не знают разработчики систем. Полноценно противостоять заражению таким путем, увы, невозможно, однако вероятность, что именно вы попадете в число пострадавших, не дотягивает даже до 1%. Почему? Да потому, что вредоносное ПО не может одномоментно заразить все уязвимые машины. И пока оно намечает новые жертвы, разработчики систем успевают выпустить спасительное обновление.
Процесс шифрования, как правило, начинается незаметно, а когда его признаки становятся очевидными, спасать данные уже поздно: к тому времени вредонос зашифровал всё, до чего дотянулся. Иногда пользователь может заметить, как у файлов в какой-нибудь открытой папке изменилось расширение.
Беспричинное появление у файлов нового, а иногда второго расширения, после чего они перестают открываться, стопроцентно указывает на последствия атаки шифровальщика. Кстати, по расширению, которое получают поврежденные объекты, обычно удается идентифицировать зловреда.
Пример, какими могут быть расширения зашифрованных файлов:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn и т. д.
Вариантов масса, и уже завтра появятся новые, поэтому перечислять все особого смысла нет. Для определения типа заражения достаточно скормить несколько расширений поисковой системе.
Другие симптомы, которые косвенно указывают на начало шифрования:
После успешного окончания вредоносной операции на экране появляется сообщение с требованием выкупа и различными угрозами.
Вымогатели шифруют значительную часть пользовательских файлов: фотографий, музыки, видео, текстовых документов, архивов, почты, баз данных, файлов с расширениями программ и т. д. Но при этом не трогают объекты операционной системы, ведь злоумышленникам не нужно, чтобы зараженный компьютер перестал работать. Некоторые вирусы подменяют собой загрузочные записи дисков и разделов.
После шифрования из системы, как правило, удаляются все теневые копии и точки восстановления.
Удалить из зараженной системы вредоносную программу просто – с большинством из них без труда справляются почти все антивирусы. Но! Наивно полагать, что избавление от виновника приведет к решению проблемы: удалите вы вирус или нет, а файлы все равно останутся зашифрованными. Кроме того, в ряде случаев это усложнит их последующую расшифровку, если она возможна.
Если ни одна утилита не помогла, вполне вероятно, что вы пострадали от вируса, лекарства от которого пока не существует.
Что можно предпринять в этом случае:
Платить выкуп – не вариант, поскольку вероятность того, что вы получите ключ, стремится к нулю. Да и ни к чему финансировать преступный бизнес.
Не хотелось бы повторять советы, которые каждый из читателей слышал сотни раз. Да, установить хороший антивирус, не нажимать подозрительные ссылки и блаблабла – это важно. Однако, как показала жизнь, волшебной таблетки, которая даст вам 100% гарантии защищенности, сегодня не существует.
Единственный действенный метод защиты от вымогателей такого рода – резервное копирование данных на другие физические носители, в том числе в облачные сервисы. Резервное копирование, резервное копирование, резервное копирование…
Ещё на сайте:
Без шанса на спасение: что такое вирус-шифровальщик и как с ним бороться обновлено: Сентябрь 1, 2018 автором: Johnny Mnemonic
Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.
Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.
Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.
Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
Скачайте программу . После окончания загрузки запустите скачанный файл.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.