Вымогатели, шифровальщики, ransomware — что это и как с ними бороться

Частное Облако

Частное облако

Ознакомьтесь с индивидуальным облачным решением SIM-Networks

Узнать больше

Одновременно с появлением программирования появились и вирусы, поражающие программно-аппаратные комплексы. Одни тихонько внедряются в систему и «сливают» частную информацию, другие поражают «железо» и/или важные системные файлы, третьи просто развлекают пользователя и не несут особой опасности (вроде бы), – классификация вирусов масштабна, их разновидности всё прибывают и прибывают. Одной из наиболее неприятных групп вирусных программ являются шифровальщики (они же – вымогатели, в английской терминологии – ransomware), которые, проникая в компьютер, шифруют файлы определённых форматов, лишая пользователя доступа к ним, а затем выводят сообщение с требованием выкупа в виде некоторой суммы, которую следует перечислить на некий счет. После поступления денег на счет заражённые файлы якобы будут расшифрованы. Однако горькая правда состоит в том, что обычно шифровальщики не имеют никаких трекинговых инструментов, позволяющих отслеживать, с какого компьютера поступили средства; поэтому жертвы вирусной атаки остаются и без денег, и без важных для них файлов.

Самые свежие примеры:

  • с 12 мая 2017 года вирус-шифровальщик WannaCry (WCry, WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) на протяжении нескольких недель атаковал компьютеры под управлением OS Windows всех версий – от XP до Windows 10 (а также серверные Windows от 2003 до 2016), у которых не закрыта уязвимость MS17-010;
  • 27 июня 2017 года получил распространение другой шифровальщик – Petya.A, который также нанёс немалый ущерб корпоративным сетям, банкам, государственным учреждениям и множеству ресурсов;
  • 24-25 октября произошла массовая атака на компьютерные системы и ресурсы ряда государственных и частных организаций в России и Украине. В частности, пострадали российские СМИ («Фонтанка» и информагенство Interfax), украинское Министерство инфраструктуры, киевский метрополитен и одесский аэропорт, где в результате действия вируса-шифровальщика было заблокировано функционирование службы регистрации пассажиров.

К сожалению, различных модификаций вирусов-шифровальщиков слишком много, и мы приведём лишь общие рекомендации для предотвращения заражения и сведения потерь к минимуму, если такая неприятность всё-таки произошла.

Как вирус попадает в компьютер?

Вирус попадает в компьютер через съёмные носители, либо после запуска заражённого файла, который пришёл по электронной почте. Некоторые модификации WannaCry могут проникнуть через службу удалённого доступа RDP (если эта служба включена), особенно если для входа в Windows используются простые пароли.

Что происходит далее?

Вирус шифрует файлы, а затем показывает пользователю сообщение с требованием выкупа.

Как предотвратить заражение?

1. Проявлять бдительность. Те, кто рассылает вирусы, идут на всевозможные ухищрения, чтобы «достучаться» до своей «целевой аудитории». К примеру, сотруднику HR-департамента может прийти резюме от соискателя, где будет ссылка якобы на портфолио, размещённое в интернете; бухгалтерия может получить достаточно грамотно составленное письмо «из налоговой», к которому прикреплено вложение с «образцом документа», на самом деле представляющее собой исполняемый файл с вирусом. Подобных вариантов маскировки – в том числе, и максимально правдоподобно выглядящих, – множество. Проявляйте бдительность. Пожалуйста.

2. Обязательно установите обновления безопасности Windows, особенно те, которые закрывают уязвимость MS17-010. Microsoft признала опасность, вызванную этой уязвимостью, и выпустила заплатку даже для Windows XP, поддержка которой закончилась ещё в апреле 2014 года.

3. Используйте достойную доверия антивирусную систему со свежими версиями антивирусных баз.

4. Если вам действительно нужен удалённый доступ к своему компьютеру – используйте сложные пароли, а ещё лучше – также и дополнительные средства защиты, например, VPN.

Как обезопасить себя на случай неприятностей?

По-настоящему надёжный способ, гарантирующий сохранность важных для вас данных, – иметь актуальную резервную копию на отключённом от компьютера носителе (например, на внешнем жёстком диске). Это позволит безболезненно для ваших бизнес-процессов восстановить информацию, испорченную вирусом. Серьёзные компании, которым критически важна сохранность данных, хранят носители бэкап-копий в территориально удалённом месте. Ещё лучше, если ваши резервные копии будут сохраняться на серверы надёжной компании-провайдера хостинговых услуг или даже в защищённое, отказоустойчивое облако. Этот вариант хорош и с точки зрения экономии бюджета, и с точки зрения технической безопасности – имеет смысл довериться профессионалам, которые проанализируют процесс формирования ваших данных и разработают оптимальный для вас алгоритм их резервирования.

Что же делать, если резервной копии нет?

Это печальный вопрос. Мы не рекомендуем платить вымогателям деньги, тем самым поощряя их сомнительную деятельность и финансируя дальнейшую разработку новых модификаций шифровальщиков.

Если вопрос восстановления данных стоит не слишком остро, можно подождать, когда антивирусные лаборатории найдут слабое звено в алгоритме работы вируса, создадут альтернативный дешифратор, и тогда вы сможете восстановить данные бесплатно. Такая работа ведётся во многих именитых антивирусных лабораториях (ESET, Лаборатория Касперского и т.д.). Имейте в виду, что обычно для подбора ключа для расшифровки потребуется один и тот же файл в зашифрованном и расшифрованном виде.

Эта статья была полезной?

Понравилась статья?

Согласие на использование файлов cookie

Нажимая «Я согласен», вы даете согласие на использование файлов cookie на нашем веб-сайте, чтобы предоставить вам наиболее релевантный опыт, запоминая ваши предпочтения и повторные посещения. Однако вы можете посетить «Управление файлами cookie», чтобы предоставить контролируемое согласие. Подробнее

Настройки файлов cookie

Функциональные

Необходимые файлы cookie имеют решающее значение для основных функций веб-сайта, и без них веб-сайт не будет работать должным образом.

Аналитические

Аналитические файлы cookie используются для понимания того, как посетители взаимодействуют с веб-сайтом.

Рекламные

Рекламные файлы cookie используются для предоставления посетителям релевантной рекламы и маркетинговых кампаний.