Главная » Вебмастеру » Вирусы-шифровальщики

Вирусы-шифровальщики

В этой статье рассмотрим то, какие методы сейчас используют злоумышленники для вымогания денег с компаний и пользователей компьютеров.

Как известно, в настоящее время, практически все организации активно используют в своей деятельности информационные технологии. Сейчас сложно представить компанию, где бы сотрудники не использовали сервис электронной почты.

Вирусы-шифровальщики

Пример

Десятки писем в течение дня уходят клиентам от сотрудников определенной компании, еще большее количество писем попадает в корпоративный ящик от различных отправителей.

И вот в один прекрасный день в электронный ящик попадет письмо с заголовком «Нашим нерадивым контрагентам». Что же, пока ничего не обычного, при работе с людьми бывают разные ситуации, кто-то не всегда доволен оказанными услугами, кто-то таким заголовком привлекает внимание к своему письму, да много может быть вариантов.

Но, давайте представим, что такое письмо попадает в ящик девочке, работнице бухгалтерии компании. Первым делом, при получении письма с подобным заголовком, неосведомленная сотрудница начнет беспокоиться, подозревая какую-то ошибку, со своей стороны.

Разумеется, она не задумываясь откроет письмо, чтобы посмотреть его текст. Открывает, и читает следующее, цитата «Вот правда, надоело, что об нас вытирают ноги. Мы свою работу нормально сделали. Иначе пойдем в суд. Сколько уже можно терпеть в конце-концов. Компания А-ВЕРС, может, забыли уже?».

Сотрудница сразу начнет прокручивать в голове, что же это за компания, работали ли мы с ней, есть ли моя вина в том, что случилось, и, наконец, не накажет ли меня директор за такую провинность.

Вирусы-шифровальщики

И, тут, взгляд сотрудницы падает на приложенный к письму файл под названием «Счет ЖДУТ ОПЛАТЫ.dot» Разумеется, времени вникать в особенности расширения файлов нет, руки начинают немного дрожать, голова слегка кружится, да и по всему похоже, что это обычный документ Word.

Сотрудница, не подозревая неладного, быстро скачивает файл на собственный компьютер и спешит его открыть двойным кликом для просмотра, надо срочно узнать, сколько же мы должны контрагенту денег.

И тут, происходит непоправимое, никакой документ Word не открывается, зато многие файлы на компьютере самопроизвольно меняют расширение, к примеру на расширение .vault, а на рабочем столе появляется файл CONTACT.txt, где сотруднице предлагается заплатить некоторую сумму на указанный электронный кошелек для расшифровки зашифрованных файлов.

Хорошо, если вирус-шифровальщик зашифрует свежие фотки девушки с отдыха, но он может зашифровать и всю базу 1С, где велась история работы с клиентами за 5, а то и 10 лет. Вот тогда, у компании возникают серьезнейшие проблемы.

К счастью, вся эта история лишь предположение, но она вполне реальна на практике. Да и что говорить, такая ситуация уже случалась во многих компаниях и многие уже попадались на удочку злоумышленников таким образом.

Теперь давайте посмотрим, как бы действовал грамотный пользователь, при получении письма с описанным выше содержимым.

Конечно, в первую очередь даже не стоит искать в списках документов компанию-контрагента с приведенным в письме названием. Достаточно посмотреть, приложенный к письму файл имеет расширение *.dot.

Сразу должно стать понятно, что мы имеем дело не с обычным файлом word, а с шаблоном документа word, в таком формате файла очень любят прятать вредоносный код злоумышленники.

Если Вы получаете по электронной почте файл с расширением *.dot, можете быть уверены на 99% — вам пытаются прислать вирус. В большинстве случаев, файл с расширением dot содержит макрос. При его запуске, он незаметно скачивает и запускает другой вредоносный код, который и шифрует наши файлы на компьютере.

Правильным решение было бы сразу удалить письмо в корзину, и сразу ее полностью очистить. В нашем случае, было решено узнать немного больше о приложенном файле и проверить свои предположения.

Для этого, был скачан приложенный к письму файл на компьютер (настоятельно не рекомендуем так делать, и тем более, ни в коем случае не запускайте скаченный файл!), после чего мы перешли на сервис онлайн проверки подозрительных файлов Доктор Веб.

Пару секунд загрузки, и… наши предположения полностью подтвердились. Сервис показывает надпись INFECTED на красном фоне, подтверждая вирусную природу файла. Если говорить точнее, вирус определяется как «Trojan.Encoder.5914». Это то, о чем мы говорили. К данному классу относятся вирусы-шифровальщики файлов.

Вирусы-шифровальщики

Для более полного изучения инфицированного файла загружаем его еще на один онлайн сервис проверки файлов — Kaspersky Online Scanner, тут мы также видим надпись «Файл заражен», зараженный файл идентифицируется как Trojan-Dropper.MSWord.Agent.no

Вирусы-шифровальщики

Рассмотрим немного подробнее о вирусах шифровальщиках и их опасности.

Впервые они стали распространяться в конце 2006 года. С каждым годом количество разновидностей вирусов-шифровальщиков только растет. Сейчас вирусы типа Trojan.Encoder представляют для пользователей одну из самых серьезных угроз, насчитывается несколько тысяч разновидностей вирусов данного класса.

Злоумышленники, при разработке вирусов, постоянно внедряют новые типы шифрования, к примеру, используют криптостойкий алгоритм шифрования BlowFish.

Файлы, зашифрованные вирусом по такому алгоритму, практически невозможно дешифровать, даже в условиях антивирусных лабораторий. На подбор ключа дешифровки файлов могут потребоваться годы перебора различных комбинаций.

Но есть и хорошая новость, шифрование файлов модификациями вирусов-шифровальщиков старых версий обратимо и файлы можно восстановить за короткий срок.

Если уж так случилось, и вы запустили Trojan.Encoder либо он каким-то образом попал в систему, не стоит перечислять средства на указанные электронные кошельки и контакты.

В большинстве случаев это никак не поможет вернуть вам утраченные данные. Злоумышленник получит ваши деньги, при это никаких данных для дешифрации не пришлет.

Также не стоит удалять зашифрованные файлы, проводить проверку компьютера антивирусом, чистить реестр и т.д. Если утраченные файлы представляют критическую важность, следует сразу обратиться к антивирусным компаниям и следовать их указаниям. Вполне возможно, Вам повезет, и утраченные файлы получится восстановить.

Всем удачи, и будьте внимательны.

Источник

Интересные публикации по этой теме: