Вирусописатели тоже хотят кушать, пусть даже за счет невнимательных пользователей. Давайте рассмотрим типичную ситуацию.
На рабочую почту приходит письмо. На рабочую, потому что организации точно есть что терять: бухгалтерские документы, письма, базы данных (если повезет). Значит, я могу запросить больше. В теме письма я обычно указываю что-нибудь беспроигрышное: «Судебный иск», «Акт сверки», «Письмо по номеру 1234567». Больше цифр, дат, канцеляризмов, чтоб похоже было на серьезное государственное учреждение, не любящее шуток.
Ну или выберу что-то менее официальное: «Когда ждать погашения долга?», «В продолжение дискуссии», «Карточка предприятия». Это пишу вам я, ваш партнер, смотрите, я даже могу подписаться Орловой Анастасией из ООО «Аспект». Только не надо обращать внимания на ошибки в официальном письме, вспоминать «своих» контрагентов и адресатов или тем более обращаться к системному администратору.
Он точно заметит, что вложение письма упаковано архиватором (так легче обойти проверку на почтовом сервере). А в архиве спрятан какой-нибудь файл «Исковое заявление. exe». Не на строгое «заявление» будет смотреть сисадмин, а на хвост имени «exe», который однозначно выдает исполняемый файл (*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.hta).
Впрочем, я могу завернуть свой вирус даже в офисный документ. Вы откроете «Акт сверки. doc», увидите предложение кликнуть ссылку… И всё. На первый взгляд, ничего не случится. Ни заявления, ни акта, ни буденовки, ни сабли.
Активизировавшись из вложения или ссылки в письме, вирус начнет свое черное дело. И только через какое-то время вы заметите, что пропали нормальные значки файлов, а вместо привычных имен какие-то длинные строчки символов. Всех файлов, куда дотянулся вирус, включая сетевые папки. Поздравляю, теперь вы готовы услышать мое коммерческое предложение. Скорее всего, оно будет в текстовом файле (на рабочем столе или в каждой папке с пострадавшими файлами), во всплывающем окошке или просто текстом на рабочем столе.
Шифровальщики потому так и называются, что шифруют файлы определенных типов (картинки, офисные и pdf-документы, базы данных, файлы 1С). Длина ключа и сама методика шифрования у самых опасных вирусов практически не оставляет шансов на декодирование файлов, не имея части кода, который есть у злоумышленника.
Как можно заразиться? В основном, человеческий фактор: кликнув по сомнительной ссылке в письме или запустив исполняемый файл из архива во вложении. Почему не среагировал антивирус? Вирусы постоянно совершенствуются, плюс данный тип вируса не стремится к заражению других файлов. Сколько времени требуется на заражение? Немного. Несмотря на сложность ключа, надо знать, что вирус кодирует только часть файла.
Что делать, если вы заметили признаки заражения? Если есть системный администратор, то самое время звать на помощь. Если нет, то остановите процесс заражения (снимите подозрительный процесс в диспетчере задач или хотя бы просто перезагрузите компьютер). Хорошо бы загрузить компьютер с другого носителя (Live-CD, он же загрузочный диск) или подключить жесткий диск для проверки к другому компьютеру. Для решения проблемы с лечением компьютера от самого вируса можно использовать бесплатные утилиты, если у вас не установлен антивирус.
Как вернуть свои данные? Самый лучший вариант — из архивной копии, потому что остальные более сложные и не дающие гарантий. Могут помочь программы для восстановления удаленных данных, потому что шифровальщик удаляет оригинальные файлы. В этом случае очень важно прекратить использовать жесткий диск с данными, чтобы не перезаписались удаленные файлы. Для особо продвинутых пользователей напомню про Shadow Volume Copies (теневой том копий), по умолчанию эта функция бывает в Windows включена, что позволяет вернуться к предыдущей, неиспорченной версии файла.
Если у вас есть лицензионный антивирус, обращайтесь в техподдержку. Для некоторых известных шифровальщиков есть утилиты для расшифровки, но в тяжелых случаях и техподдержка разводит руками. В таком случае можно отложить зашифрованные файлы до лучших времен, когда вирус будет побежден или его автор пойман.
И наконец, остается вариант заплатить немалую сумму. Я не могу приветствовать этот вариант, потому что он поощряет преступную деятельность, но советую в таком варианте разбить платеж и расшифровку на несколько частей, чтобы не потерять всю сумму разом в случае мошенничества со стороны создателей вируса. И не удаляйте никаких файлов, если планируете расшифровку, чтобы не потерять необходимую часть ключа.
В общем, делайте архивные копии, обновляйте антивирусную программу и будьте очень бдительны с письмами с незнакомых вам адресов — тогда вам не страшны вирусы-шифровальщики.
Ныне многие из этих "вирусов" просто портят файлы, стирая заголовок, восстановить ничего не удается, а деньги платятся впустую. Такие дела.
0 Ответить