Вирус напоминает о важности бэкапов и уязвимости «Клиент-Банка»

Вирус зашифровал файлы, что делать?

Насколько вам дороги документы, хранящиеся на компьютере?.. А деньги на электронном счёте?.. К сожалению, иногда пользователи задаются этими вопросами слишком поздно. Ведь плоды многолетнего труда сегодня можно потерять не только из-за «посыпавшегося винчестера». Гораздо чаще к утрате данных приводят компьютерные вирусы, шифрующие файлы ради выкупа (получив который, вымогатели исчезают, не оставив жертве обещанного ключа). Ситуацию усугубляет и тот факт, что новые «шифровальщики» далеко не сразу детектируются антивирусами. Соответственно, поскольку модификации троянов выходят ежечасно, вероятность «подхватить что-то новое» весьма высока... Как же защитить свои файлы и деньги? Попробуем разобраться в сегодняшнем выпуске TechnoDrive!

by TechnoDrive.ru

Социальный инжиниринг: ставка на спешку и невнимательность

Как ни парадоксально, большинство «троянов-шифровальщиков» запускают сами пользователи. Для этого злоумышленники широко используют социальный инжиниринг. Например, рассылают электронные письма с интригующим текстом и вложениями — «картинками» или «файлами Word». Чтобы жертва открыла такой файл, преступники используют весь арсенал хитростей. Зловредов выдают за доказательства супружеской неверности, счета от партнёров, резюме в отдел кадров, распоряжения руководства (приказы, служебные записки), — а также «повестки в суд», «сообщения из прокуратуры» и другие документы, которые «рука сама тянется открыть». Но делать это крайне не рекомендуется.

С другой стороны, определить «на глаз» поддельный адрес бывает непросто! К примеру, отсутствие дефиса в домене или случай, когда вместо «m» злоумышленник пишет сочетание «rn». Не говоря уже о попытках преступников замаскировать свой настоящий адрес совершенно невинными мейлами.

Но можно посоветовать следующее: создайте «белый список» из доверенных адресов, а всё, что не попадает в него, автоматически отправляйте в папку «Подозрительное». У программы гораздо острее взор, она легко отличит, скажем, «l» от «I». Во многих почтовых клиентах можно настроить такие фильтры достаточно быстро. Но перейдём к антигерою сегодняшнего дня!

«Одним из опасных новых "шифровальщиков" является Trojan.Encoder.686, с которым недавно столкнулись ростовские предприятия, — отмечает директор IT-компании A-Byte Артур Джангиров. — Этот троянец маскируется под вложения в письма "от различных госструктур", в первую очередь — от прокуратуры. После запуска он осуществляет AES-шифрование всех документов и архивов на диске, удаляет их оригиналы — и выводит сообщение с требованием выкупа.

При этом, если свежая модификация "шифровальщика" ещё не добавлена в антивирусные базы, защитное ПО не препятствует такой активности. То есть антивирус допустит вредоносные действия над файлами, несмотря на работающий эвристический анализатор».

Но можно ли затем как-то расшифровать данные?.. Оказалось, что сделать это далеко не всегда возможно.

Дешифратор Trojan.Encoder: «иголка в стоге сена»

После своей активности Trojan.Encoder.686 оставляет лишь небольшой exe-файл во временной папке и «записку о выкупе». Windows же продолжает работать в штатном режиме, — не считая отсутствия всех документов, а также личных архивов. К сожалению, рассчитывать на восстановление данных даже антивирусными вендорами в этом случае вряд ли стоит. Напомним, что первых «шифровальщиков» разработчики защитного ПО успешно «раскусывали» — и даже выпустили онлайн-дешифраторы. Но с последующими версиями оказалось сложнее, поскольку злоумышленники стали использовать более сложные алгоритмы.

«Первый раз наша аутсорсинговая компания отправила зашифрованные файлы и "тело" Trojan.Encoder в "Лабораторию Касперского" и "Доктор Веб" около месяца назад. Практически сразу новый зловред появился в антивирусных базах. Однако дешифровщик до настоящего времени они так и не разработали, — отмечает директор A-Byte. — Дело в том, что расшифровка данных файлов возможна только при наличии шифроключа. А он находится только у автора трояна. По мнению производителей антивирусного ПО, начинать следует с обращения в территориальное управление "К" МВД РФ, — надеясь, что преступника быстро найдут и нужный ключ у него будет при себе».

Однако, обычно злоумышленники, даже получив деньги, не отправляют жертвам никакие ключи. Получается, хранить их преступникам нет никакой необходимости. А значит, с зашифрованными данными частному или юридическому лицу, скорее всего, придётся попрощаться.

Кроме того, хотя это и предположение, криминалы могут заполнять файлы случайными числами, чтобы создавать ложную надежду на «хеппи-энд».

Бесплатные (и платные) антивирусы лучше поддерживать бэкапами

Вообще говоря, защита Windows-компьютеров от вирусов это многоступенчатый процесс, который TechnoDrive описал в 2009 году (а недавно проапгрейдил текст).

Но если говорить о срочных мерах, то лучшим профилактическим решением, конечно, являются регулярные «бэкапы» важных документов. Причём делать их лучше на носители с одноразовой записью (а потом проверять контрольные суммы на CD и DVD, поставив соответствующую галочку при записи). Если важных файлов много, используйте при копировании список критических папок. Кроме привычных документов, не забывайте сохранять и такие «мелочи», как закладки в браузерах, почтовые базы, папки с 1С и так далее.

Не помешает и дополнительное «облачное» хранилище для второй резервной копии (если есть хороший интернет-канал и вы доверяете облачному сервису). Однако всецело полагаться на удалённые накопители также не стоит. Ведь, например, Trojan.Encoder.737 замечен в шифровании файлов на сетевых хранилищах NAS. И, вероятно, у него тоже найдутся последователи.

Кроме резервного копирования и регулярно обновления Windows и антивирусных баз, резко снизить вероятность потери данных от троянов можно, используя одну из ОС на ядре Linux. Например, Ubuntu, Alt Linux, ROSA и другие. Впрочем, и в этом случае расслабляться не стоит — ведь самым уязвимым звеном в схеме заражения является пользователь (у которого, к примеру, может выйти из строя диск). Кроме того, linux- и unix-системы тоже не идеальны: иллюстрации тому, к примеру, Shellshock и динамика роста числа вирусов для OS X.

Так и есть, вирусописатели не останавливаются. К примеру, они создали ещё более опасный «шифровальщик» CTB-Locker, работающий через Tor. И это значит, что сегодня, — прямо сейчас, — каждый должен спросить себя «Насколько мне дороги документы, хранящиеся на компьютере?». Но есть ещё и чисто финансовый вопрос!

«Клиент-Банк» — то есть деньги предприятия — тоже под угрозой

И, поскольку речь сейчас идёт о предприятиях, навороченные вирусы способны добраться и до банковских счетов компаний. Причём зловреды, атакующие системы «банк-клиент (ДБО)», обходят даже многоступенчатую защиту.

Что здесь можно посоветовать юридическим лицам? Один надёжно защищённый «ДБО-компьютер», не подключённый к сети предприятия, на котором функционирует только и исключительно софт для удалённого взаимодействия с банком. То есть ноутбук, который не принимает почту, у которого нет ни браузера, ни даже офисного пакета. Иначе, в один «прекрасный день», можно лишиться не только всех документов, но и денег на счету! А делать бэкапы для финансов пока не научились.

И ещё новость TechnoDrive.ru!

Лишь один клик...

Политика конфиденциальности и Условия использования Google