Словил я на прошлой неделе такую вот противную вещь. Троян, который зашифровал все файлы расширений psd,xlsx,docx,png,jpg, rar,zip и многие другие. Расскажу поподробнее что и как было и что делать, чтобы снизить вероятность заражения таким вирусом.
Для удобства — сразу оглавление по статье.
- Как трояны шифровальщики проникают на компьютер.
- Как троян проник ко мне
- Как восстановить зашифрованные файлы
- 5 советов как не поймать Троян шифровальщик.
Троян шифровщик. Как это было.
Как бывает обычно
Обычно трояны, которые шифруют ваши файлы работают по следующему принципу. Вы получаете от кого-либо или скачиваете файл. С виду обычный файл, возможно даже прописан нормальный производитель и имеется цифровая подпись. Запустив его, на первый взгляд ничего не происходит. Не открывается окна установщика, ничего…но в фоне этот троян downloader открывает так называемую backdoor. И начинается скачка трояна шифровальщика, через образованную дыру в защите вашего ПК.
Затем в ход вступает шифровальщик. Он специальным алгоритмом шифрует определённые типа данных. Чаще всего это документы Word, Excel, Базы 1С и так далее. Чаше всего на рабочем столе остаётся текстовый документ с описанием что наделал этот вирус и как восстановить файлы. Скорее всего вам предложат написать на электронную почту злоумышленнику и отправить энную сумму за восстановление данных. Восстановить данные самостоятельно наврятли получится. Для это нужен дешифратор. Но и тут не всё так просто. В интернете не так уж много инфы о восстановлении данных, да и трояны такого типа развиваются гораздо быстрее, чем создаётся лекарство к ним.
Как было у меня
У меня же всё произошло куда интереснее. Я сидел и работал за ноутом. Интернет был подключен, но я им не пользовался. Работал в сторонней программе. Писем мне никаких не приходило, да и файлов я никаких не устанавливал, не запускал. Ушёл я буквально минут на 20. Возвращаюсь и вижу там такую картину:
Ну конечно антивирусное сканирование не было запущено) Но в целом такое дело. У меня сменена заставка рабочего стола и открыт текстовый документ. Документ следующего содержания:
Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, архивы, бекапы и пр. файлы) были слиты с жестких дисков и зашифрованы с помощью самого криптостойкого алгоритма в мире RSA-4096.
-Восстановить файлы возможно только при помощи….
(прочитаете полный текст, если интересно на скрине. )
Предлогалось написать на почту ALCK24@hotmail.com для того чтобы получить дешифратор. Конечно же предполагалось что за определённую сумму.
Я честно говоря был просто повержен. Такой шок. Там была вся работа, все важные мне проекты и файлы. Макеты сайтов. На панике запустил сканирование антивирусом. Честно, не знаю зачем. Чисто на панике.
Пару слов о моей системе и её состоянии. Это Windows 8.1 со всеми последними апдейтами. Антивирус Eset Antivirus 8. Все клиенты удалённого доступа на момент проникновения трояна были отключены. Но тем не менее установлены AmmyAdmin и TeamViewer. RDP ( удалённый рабочий стол) отключен. Фаервол — стандартный Брандмауэр Windows. Вот только Брандмауэр был отключен 🙁 (epic fail)
Полез в инет изучать проблему. И тут самое интересное.
Как восстановить зашифрованные файлы
Этот вопрос очень сильно волновал меня. Я начал перерывать инэт. Куча форумов. Везде описан троян, действующий по другому, более старому алгоритму. И то не всегда получается истребить последствия его действия. Расшифровать файлы не всегда удаётся. Есть вариант написать в поддержку DrWeb. Но если у вас нет лицензии их антивируса, то помогать они вам не станут.
Так же у Касперского есть утилиты для расшифровки зашифрованных файлов. Вот ссылочка на страницу скачки этих утилит support.kaspersky.ru/viruses/sms
После безнадёжной проверки данными утилитами написал в центр вирусной аналитики Касперского. Ответили, файлы на анализ взяли. Но одно стало точно ясно.
Это слишком новый троян, использующий слишком мощный кодировщик и восстановить файлы уже не удастся!! Так что если вы читаете эту статью спустя пол года — год с момента её публикации. И вы подхватили данный вирус, то не отчаивайтесь, наверное уже изобрели дешифратор) А всем остальным читать дальше!
Как не поймать Троян шифровальщик.
Если вы уже схлопотали вирус от хакера с почтой ALCK24@hotmail.com , то смело можете закатывать прощальную вечеринку по своим файлам. Оживить их не удастся. Так что делайте резервную копию убитых файлов (может в будущем сделают лекарство и можно будет восстановить утраченные данные), переустанавливайте Windows и мотайте на ус как свести к минимуму вероятность проникновения к вам такого троянца. Порывшись по интернету, прочитав кучу умных советов и на собственном опыте выдаю вот такие пункты по обеспечению безопасности:
- Обновляйте систему. Прежде чем ставить самые свежие обновления Windows, почитайте о чём они и для чего. Как эти обновления повлияли на систему. Не всегда обновления от Майкрософт бывают сверхполезными. Но не запускайте. Держите систему обновлённой.
- Фаерволл. Не отключайте брандмауэр или лучше ставьте нормальный фаерволл. Хоть стандартный FW от MicroSoft и не фонтан, но он лучше чем ничего. А ещё лучше, если вы поставите нормальный фаерволл. Я уже поставил ESET Smart Security.
- Удалённый доступ. Не держите открытыми программы удалённого доступа, такие как Team Viewer, Ammy Admin, Radmin и прочие. Кто знает, может быть и в них уже нашли брешь! Тем более никогда не советую разрешать доступ к удалённому рабочему столу всем. Как отключить Remote Decktop найти в интернете не составит труда.
- Пароль. Поставьте пароль на вашего пользователя. Пускай не сложный, но пароль. И заставьте винду всегда спрашивать вашего разрешения при запуске программ. Это несколько не так удобнее, но гораздо безопаснее. Настройка эта делается в центре безопасности Windows.
- Резервные копии. Это то, что не спасёт вас от проникновения трояна, но очень выручит при утере файлов. Сливайте копии важных файлов в облако, на флешки, съёмные жёсткие диски, DVD…куда угодно. Обеспечьте хранение важной информации не только локально на вашем компьютере.
Соблюдая эти простые правила Вы сможете уменьшить вероятность проникновения на ваш компьютер вредоносного вируса и гораздо облегчите себе жизнь при утрате ценных файлов.
P.S. Если у кого-то есть идеи по улучшению, дополнению этих советов — пишите в комменты. Если вас поразил тот же троян, что и меня, пишите, может вместе найдём решение и восстановим наши файлы.
Алексей
Спасибо за советы, жалко что нашел я их очень позно 🙁