Про шифровальщик

chonbuk — 31.05.2016 Я уже писал, что на предыдущей работе словили вирус-шифровальщик - программу, которая шифрует все найденные документы с помощью криптоустойчивого алгоритма, а за расшифровку злоумышленники просят деньги.

Обнаружили и блокировали его работу достаточно быстро. На фирме используется сетевая папка для хранения документов, и вирус первым делом нарвался на огромную папку с музыкой. Пока он занимался музыкой, было потеряно время, и кроме MP3 вирус успел зашифровать ещё пару каталогов плюс документы на заражённом компьютере. Поэтому предварительно было заявлено, что важных документов было потеряно не так много, и стоит задача всего лишь вылечить компьютер от вируса, что и было сделано.
Однако через пару дней всё же выяснилось, что хорошо бы документы восстановить. Владельцы шифровальщика запросили 15 тысяч рублей. Начал изучать возможные способы решения.

1. Утилиты-расшифровщики от известных антивирусных фирм. Только у Касперского их шесть. Ни одна не справилась.
2. Был вариант отослать зашифрованные файлы в поддержку Dr.WEB, предварительно купив лицензию. Вероятность расшифровки - процентов 40. Оставили этот вариант как последний.
3. Мутные фирмочки из Москвы и С.-Петербурга, которые предлагают свои услуги по написанию расшифровщика за вдвое меньший прайс, нежели злоумышленники. Доверия и гарантий никаких, как и свидетельств об удачных случаях.
4. Собственно, сами злоумышленники. Директор дал добро, и я списался со злодеями. Общались посредством электронной почты (адрес злыдней был прописан в названии каждого зашифрованного файла).

Перевод денег должен был быть осуществлён путём покупки на сумму 15 тысяч рублей Биткоинов (виртуальной криптовалюты) на их счёт на полулегальном виртуальном обменнике валют https://i-obmen.biz/ . Не желая подставлять под удар свою кредитную карту, я заплатил с Яндекс-денег. Процент небольшой, но операция длится сутки. Чтобы повысить наше доверие, злоумышленники попросили прислать им несколько зашифрованных файлов и расшифровали их.
После того, как сделка состоялась, хакеры прислали утилиту, которая просканировала все локальные и сетевые папки на заражённом ранее компьютере, нашла все заражённые файлы и вытянула из них идентификаторы применённого шифра, создав файлик, который надо было отправить назад. Да, было страшно запускать ещё одну программу от того же производителя, но мы решили играть по их правилам. Кстати, эта утилита выявила три различных ключа шифрования.
На основе этого файлика злодеи и составили наш, индивидуальный вариант утилиты для расшифровки.

Расшифровщик работает шустро, имеет дружественный интерфейс и даже кое-какие настройки. Почти все файлы (99%) расшифровались. На многих форумах есть ветки, где пострадавшие и заплатившие за расшифровку делятся такими утилитами. Но они не срабатывают у других: ключи шифрования-то разные.
Под удар попадают файлы с расширениями DOC, DOCX, XLS, XLSX, PDF, JPG, TIFF, ZIP, RAR, 7Z, MP3 и прочие популярные форматы, потеря которых может представлять проблему для владельца, но не рушит систему.
Естественно, параллельно я придумал вариант с бэкапом, чтобы не попаться на этот крючок снова.

Как защититься от шифровальщиков?
1. Главное - регулярно делать резервные копии важных файлов и держать их вдалеке от оригиналов. Смысла копировать файлы в соседнюю папку нет никакого: зашифровано будет всё. В качестве хранилища могут быть использованы другой компьютер (но не "расшаренные" по сети папки), переносной жёсткий диск, облако, да хоть DVD-диски.
2. Антивирусы помогают слабо. Во-первых, злоумышленники используют так называемые "угрозы нулевого дня", ещё не попавшие в силу своей свежести в антивирусные базы. Во-вторых, строго говоря, деятельность этих зловредов сильно отличается от поведения традиционных вирусов и троянов: они себя не воспроизводят, не лезут в интернет и сеть, не внедряются в автозагрузку, а просто ковыряют себе файлики, изображая перед антивирусом обычные утилитки. А попадают в компьютер при непосредственном участии самого пользователя. Поэтому:
3. Никогда не открывайте письма с угрозами от каких-либо организаций. Не нажимайте ссылки, если не уверены, что это вам надо. Обращайте внимание на форматы приложенных файлов: если у вложения расширение EXE, то скорее всего вам приехал подарок от хакеров. Особо тщательно изучайте обратный адрес отправителя: у налоговой не может быть адреса типа [email protected]. Злоумышленники очень преуспели в социальной стороне механизма заражения: в письмах могут быть затронуты такие темы, что рука сама тянется открыть вложение или ссылку. Тут и письма об открытии судебного производства, и уведомления о штрафах, и угрозы от налоговой, и имитация сообщений из банка.
4. В некоторых антивирусных продуктах начали появляться средства борьбы, основанные на анализе деятельности файловой системы - если идёт массовое переименование файлов, подозрительный процесс блокируется. У Касперского (снова он - просто я его лучше знаю) эта фича появилась в семействе серверных продуктов. Но она, по отзывам, пока работает неточно и сильно замедляет работу системы.

Вот такие пироги.

Оставить комментарий

Популярные посты:

• Ранее
• Архив