Троян криптер с алгоритмом RSA-4096

размещено в: IT, Интернет, Советы | 1

Словил я на прошлой неделе такую вот противную вещь. Троян, который зашифровал все файлы расширений psd,xlsx,docx,png,jpg, rar,zip и многие другие. Расскажу поподробнее что и как было и что делать, чтобы снизить вероятность заражения таким вирусом.

Для удобства — сразу оглавление по статье.

  1. Как трояны шифровальщики проникают на компьютер.
  2. Как троян проник ко мне
  3. Как восстановить зашифрованные файлы
  4. 5 советов как не поймать Троян шифровальщик.

 

Троян шифровщик. Как это было.

Как бывает обычно

Обычно трояны, которые шифруют ваши файлы работают по следующему принципу. Вы получаете от кого-либо или скачиваете файл. С виду обычный файл, возможно даже прописан нормальный производитель и имеется цифровая подпись. Запустив его, на первый взгляд ничего не происходит. Не открывается окна установщика, ничего…но в фоне этот троян downloader открывает так называемую backdoor. И начинается скачка трояна шифровальщика, через образованную дыру в защите вашего ПК.

Затем в ход вступает шифровальщик. Он специальным алгоритмом шифрует определённые типа данных. Чаще всего это документы Word, Excel, Базы 1С и так далее. Чаше всего на рабочем столе остаётся текстовый документ с описанием что наделал этот вирус и как восстановить файлы. Скорее всего вам предложат написать на электронную почту злоумышленнику и отправить энную сумму за восстановление данных. Восстановить данные самостоятельно наврятли получится. Для это нужен дешифратор. Но и тут не всё так просто. В интернете не так уж много инфы о восстановлении данных, да и трояны такого типа развиваются гораздо быстрее, чем создаётся лекарство к ним.

Как было у меня

У меня же всё произошло куда интереснее. Я сидел и работал за ноутом. Интернет был подключен, но я им не пользовался. Работал в сторонней программе. Писем мне никаких не приходило, да и файлов я никаких не устанавливал, не запускал. Ушёл я буквально минут на 20. Возвращаюсь и вижу там такую картину:

 

trojan_wallpapper

 

Ну конечно антивирусное сканирование не было запущено) Но в целом такое дело. У меня сменена заставка рабочего стола и открыт текстовый документ. Документ следующего содержания:

trojan_masege

 Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, архивы, бекапы и пр. файлы) были слиты с жестких дисков и зашифрованы с помощью самого криптостойкого алгоритма в мире RSA-4096.

-Восстановить файлы возможно только при помощи….

(прочитаете полный текст, если интересно на скрине. )

Предлогалось написать на почту ALCK24@hotmail.com для того чтобы получить дешифратор. Конечно же предполагалось что за определённую сумму.

Я честно говоря был просто повержен. Такой шок. Там была вся работа, все важные мне проекты и файлы. Макеты сайтов. На панике запустил сканирование антивирусом. Честно, не знаю зачем. Чисто на панике.

Пару слов о моей системе и её состоянии. Это Windows 8.1 со всеми последними апдейтами. Антивирус Eset Antivirus 8. Все клиенты удалённого доступа на момент проникновения трояна были отключены. Но тем не менее установлены AmmyAdmin и TeamViewer. RDP ( удалённый рабочий стол) отключен. Фаервол — стандартный Брандмауэр Windows. Вот только Брандмауэр был отключен 🙁  (epic fail)

Полез в инет изучать проблему. И тут самое интересное.

Как восстановить зашифрованные файлы

 

Этот вопрос очень сильно волновал меня. Я начал перерывать инэт. Куча форумов. Везде описан троян, действующий по другому, более старому алгоритму. И то не всегда получается истребить последствия его действия. Расшифровать файлы не всегда удаётся. Есть вариант написать в поддержку DrWeb. Но если у вас нет лицензии их антивируса, то помогать они вам не станут.

Так же у Касперского есть утилиты для расшифровки зашифрованных файлов. Вот ссылочка на страницу скачки этих утилит support.kaspersky.ru/viruses/sms

После безнадёжной проверки данными утилитами написал в центр вирусной аналитики Касперского. Ответили, файлы на анализ взяли. Но одно стало точно ясно.

Это слишком новый троян, использующий слишком мощный кодировщик и восстановить файлы уже не удастся!! Так что если вы читаете эту статью спустя пол года — год с момента её публикации. И вы подхватили данный вирус, то не отчаивайтесь, наверное уже изобрели дешифратор) А всем остальным читать дальше!

Как не поймать Троян шифровальщик.

5 советов как зищититься от троянов

Если вы уже схлопотали вирус от хакера с почтой ALCK24@hotmail.com , то смело можете закатывать прощальную вечеринку по своим файлам. Оживить их не удастся. Так что делайте резервную копию убитых файлов (может в будущем сделают лекарство и можно будет восстановить утраченные данные), переустанавливайте Windows и мотайте на ус как свести к минимуму вероятность проникновения к вам такого троянца. Порывшись по интернету, прочитав кучу умных советов и на собственном опыте выдаю вот такие пункты по обеспечению безопасности:

  1. Обновляйте систему.    Прежде чем ставить самые свежие обновления Windows, почитайте о чём они и для чего. Как эти обновления повлияли на систему. Не всегда обновления от Майкрософт бывают сверхполезными. Но не запускайте. Держите систему обновлённой.
  2. Фаерволл.       Не отключайте брандмауэр или лучше ставьте нормальный фаерволл. Хоть стандартный FW от MicroSoft и не фонтан, но он лучше чем ничего. А ещё лучше, если вы поставите нормальный фаерволл. Я уже поставил ESET Smart Security.
  3. Удалённый доступ.    Не держите открытыми программы удалённого доступа, такие как Team Viewer, Ammy Admin, Radmin и прочие. Кто знает, может быть и в них уже нашли брешь! Тем более никогда не советую разрешать доступ к удалённому рабочему столу всем. Как отключить Remote Decktop найти в интернете не составит труда.
  4. Пароль.    Поставьте пароль на вашего пользователя. Пускай не сложный, но пароль. И заставьте винду всегда спрашивать вашего разрешения при запуске программ. Это несколько не так удобнее, но гораздо безопаснее. Настройка эта делается в центре безопасности Windows.
  5. Резервные копии.     Это то, что не спасёт вас от проникновения трояна, но очень выручит при утере файлов. Сливайте копии важных файлов в облако, на флешки, съёмные жёсткие диски, DVD…куда угодно. Обеспечьте хранение важной информации не только локально на вашем компьютере.

 

Соблюдая эти простые правила Вы сможете уменьшить вероятность проникновения на ваш компьютер вредоносного вируса и гораздо облегчите себе жизнь при утрате ценных файлов.

 

P.S. Если у кого-то есть идеи по улучшению, дополнению этих советов — пишите в комменты. Если вас поразил тот же троян, что и меня, пишите, может вместе найдём решение и восстановим наши файлы.

Anton_Losev
Подписаться Anton_Losev:

Web-desighn, IT, Системное администрирование, создание сайтов, продвжение

Обо мне вы можете подробнее прочитать в соответствующем разделе сайта.

  1. Аватар
    Алексей

    Спасибо за советы, жалко что нашел я их очень позно 🙁

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *