Продолжает свое угнетающее шествие по Сети, заражая компьютеры и шифруя важные данные. Как защититься от шифровальщика, защитить Windows от вымогателя – выпущены ли заплатки, патчи, чтобы расшифровать и вылечить файлы?
Новый вирус-шифровальщик 2017 Wanna Cry продолжает заражать корпоративные и частные ПК. Ущерб от вирусной атаки насчитывает 1 млрд долларов . За 2 недели вирус-шифровальщик заразил по меньшей мере 300 тысяч компьютеров , несмотря на предупреждения и меры безопасности.
Вирус-шифровальщик 2017, что это - как правило, можно «подцепить», казалось бы, на самых безобидных сайтах, например, банковских серверах с доступом пользователя. Попав на жесткий диск жертвы, шифровальщик «оседает» в системной папке System32 . Оттуда программа сразу отключает антивирус и попадает в «Автозапуск ». После каждой перезагрузки программа-шифровальщик запускается в реестр , начиная свое черное дело. Шифровальщик начинает скачивать себе подобные копии программ типа Ransom и Trojan . Также нередко происходит саморепликация шифровальщика . Процесс этот может быть сиюминутным, а может происходить неделями – до тех пор, пока жертва заметит неладное.
Шифровальщик часто маскируется под обычные картинки, текстовые файлы , но сущность всегда одна – это исполняемы файл с расширением.exe, .drv, .xvd ; иногда – библиотеки.dll . Чаще всего файл несет вполне безобидное имя, например «документ. doc », или «картинка.jpg », где расширение прописано вручную, а истинный тип файла скрыт .
После завершения шифровки пользователь видит вместо знакомых файлов набор «рандомных» символов в названии и внутри, а расширение меняется на доселе неизвестное - .NO_MORE_RANSOM, .xdata и другие.
Вирус-шифровальщик 2017 Wanna Cry – как защититься . Хотелось бы сразу отметить, что Wanna Cry – скорее собирательный термин всех вирусов шифровальщиков и вымогателей, так как за последнее время заражал компьютеры чаще всех. Итак, речь пойдет о защите от шифровальщиков Ransom Ware, коих великое множество: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry .
Как защитить Windows от шифровальщика. – EternalBlue через протокол SMB портов .
Защита Windows от шифровальщика 2017 – основные правила:
- обновление Windows, своевременный переход на лицензионную ОС (примечание: версия XP не обновляется)
- обновление антивирусных баз и файрволлов по требованию
- предельная внимательность при скачивании любых файлов (милые «котики» могут обернуться потерей всех данных)
- резервное копирование важной информации на сменный носитель.
Вирус-шифровальщик 2017: как вылечить и расшифровать файлы.
Надеясь на антивирусное ПО, можно забыть о дешифраторе на некоторое время . В лабораториях Касперского, Dr. Web, Avast! и других антивирусов пока не найдено решение по лечению зараженных файлов . На данный момент есть возможность удалить вирус с помощью антивируса, но алгоритмов вернуть все «на круги своя» пока нет.
Некоторые пытаются применить дешифраторы типа утилиты RectorDecryptor , но это не поможет: алгоритм для дешифровки новых вирусов пока не составлен . Также абсолютно неизвестно, каким образом поведет себя вирус, если он не удален, после применения таких программ. Часто это может обернуться стиранием всех файлов – в назидание тем, кто не хочет платить злоумышленникам, авторам вируса.
На данный момент самым эффективным способом вернуть потерянные данные – это обращение в тех. поддержку поставщика антивирусной программы, которую вы используете . Для этого следует отправить письмо, либо воспользоваться формой для обратной связи на сайте производителя. Во вложение обязательно добавить зашифрованный файл и, если таковая имеется – копия оригинала. Это поможет программистам в составлении алгоритма. К сожалению, для многих вирусная атака становится полной неожиданностью, и копий не находится, что в разы осложняет ситуацию.
Кардиальные методы лечения Windows от шифровальщика . К сожалению, иногда приходится прибегать к полному форматированию винчестера, что влечет за собой полную смену ОС. Многим придет в голову восстановление системы, но это не выход – даже есть «откат» позволит избавиться от вируса, то файлы все равно останутся зашированными.
Вкратце: Для защиты данных от вирусов-шифровальщиков можно использовать зашифрованный диск на основе крипто-контейнера, копию которого необходимо держать в облачном хранилище.
- Анализ криптолокеров показал что они шифруют только документы и файл контейнер от зашифрованного диска не представляет интерес для Криптолокеров.
- Файлы внутри такого крипто-контейнера недоступны для вируса, когда диск отключен.
- А поскольку Зашифрованный Диск включается только в момент когда необходимо поработать с файлами, то высока вероятность что криптолокер не успеет его зашифровать либо обнаружит себя до этого момента.
- Даже если криптолокер зашифрует файлы на таком диске, вы сможете легко восстановить резервную копию крипто-контейнера диска из облачного хранилища, которая автоматически создается раз в 3 дня или чаще.
- Хранить копию контейнера диска в облачном хранилище безопасно и легко. Данные в контейнере надежно зашифрованы а значит Google или Dropbox не смогут заглянуть внутрь. Благодаря тому что крипто-контейнер это один файл, закачивая его в облако вы на самом деле закачиваете все файлы и папки которые внутри него.
- Крипто-контейнер может быть защищен не только длинным паролем но и электронным ключем типа rutoken с очень стойким паролем.
Вирусы-шифровальщики (ransomware) такие как Locky, TeslaCrypt , CryptoLocker и криптолокер WannaCry предназначены для вымогания денег у владельцев зараженных компьютеров, поэтому их еще называют «программы-вымогатели». После заражения компьютера вирус шифрует файлы всех известных программ (doc, pdf, jpg…) и затем вымогает деньги за их обратную расшифровку. Пострадавшей стороне скорее всего придется заплатить пару сотен долларов чтобы расшифровать файлы, поскольку это единственный способ вернуть информацию.
В случае если информация очень дорога ситуация безвыходная, и усложняется тем что вирус включает обратный отсчет времени и способен самоликвидироваться не дав вам возможности вернуть данные если вы будете очень долго думать.
Преимущества программы Rohos Disk Encryption для защиты информации от крипто-вирусов:
- Создает Крипто-контейнер для надежной защиты файлов и папок.
Используется принцип ширования на лету и стойкий алгоритм шифрования AES 256 Бит. - Интегрируется с Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.
Rohos Disk позволяет данным службам переодически сканировать крипто-контейнер и загружать в облако только изменения зашифрованных данных благодаря чему облако хранит несколько ревизий крипто-диска. - Утилита Rohos Disk Browser позволяет работать с крипто-диском так чтобы другие программы (в том числе и вирусы) не имели доступа к этому диску.
Крипто-контейнер Rohos Disk
Программа Rohos Disk создает крипто-контейнер и букву диска для него в системе. Вы работаете с таким диском как обычно, все данные на нем автоматически шифруются.
Когда крипто-диск отключен он недоступен для всех программ, в том числе и для вирусов шифровальщиков.
Интеграция с облачными хранилищами
Программа Rohos Disk позволяет разместить крипто-контейнер в папке службы облачного хранилища и периодически запускать процесс синхронизации крипто-контейнера.
Поддерживаемые службы: Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.
В случае если крипто-диск был включен, произошло заражение вирусом и вирус начал шифровать данные на крипто-диске у вас есть возможность восстановить образ крипто-контейнера из облака. Для сведения — Google Drive и Dropbox способны отслеживать изменения в файлах (ревизии), хранят только измененные части файла и поэтому позволяют восстановить одну из версий крипто-контейнера из недалекого прошлого (обычно это 30-60 дней в зависимости от свободного места на Google Drive).
Утилита Rohos Disk Browser
Rohos Disk Browser позволяет открывать крипто-контейнер в режиме проводника без того чтобы делать диск доступным на уровне драйвера для всей системмы.
Преимущества такого подхода:
- Информация с диска отображается только в Rohos Disk Browser
- Никакое другое приложение не может получить доступ к данным с диска.
- Пользователь Rohos Disk Browser может добавлять файл или папку, открыть файл и делать другие операции.
Полная защита данных от вредоносных программ:
- Файлы не доступны другим программам в том числе компонентам Windows.
Существует ли защита от шифровальщика на сегодняшний день? Нет. Как бы грустно это не звучало, но это действительно так. Реальной защиты нет и, видимо, не будет. Но не стоит расстраиваться, есть ряд простых правил, соблюдение которых поможет снизить риск заражения вашего компьютера. Перед тем, как я дам список рекомендаций, хочу заранее сказать, что в данной статье я не рекламирую никакие антивирусы, а просто описываю собственный опыт, так как в офисе уже дважды ловили этого зловреда. После этих случаев и получился список рекомендаций.
Итак, первым делом стоит убедиться в наличии у вас актуального антивируса со свежими базами на борту. Мы с коллегами проводили эксперименты с различными продуктами антивирусных компаний, на основании полученных результатов могу смело заявить, что самый лучший результат показал дистрибутив от Лаборатории Касперского. Мы работали с Kaspesky Endpoint Security для бизнеса Стандартный. Число срабатываний на шифровальщика было более 40%. Поэтому смело ставьте антивирус, не брезгуйте такими программами.
Вторым пунктом стоит запретить запуск программ из папки %AppData%. Опять же, не факт, что шифровальщик работает именно из этой папки, но как превентивная мера она себя оправдывает, сокращая число возможных векторов атак. Так же вредонос может запускаться из:
- %TEMP%
- %LOCALAPPDATA%
- %USERPROFILE%
- %WinDir%
- %SystemRoot%
Самым важным пунктом и красной нитью через всю статью лежит пункт о том, что необходимо и крайне важно делать резервные копии. Если дома вы благополучно можете использовать бесплатное облако для хранения данных, то на рабочем месте такая возможность есть не у всех. Если вы системный администратор, придумайте и запустите резервное копирование. Если вы не относитесь к IT-отделу, уточните у своего системного администратора о наличии резервного копирования критически важных данных. Можете так же продублировать их в облако. Благо бесплатных вариантов достаточно много: Яндекс Диск, Mail облако, DropBox, Google Disk и прочее.
Техническими средствами защититься от шифровальщика практически не возможно. Поэтому первой линией обороны в данном случае выступает сам пользователь. Только знания и внимательность могут помочь избежать заражения. Самое главное никогда не переходите по ссылкам и не открывайте вложения в письмах от неизвестных вам отправителей. В противном случае с большой долей вероятности рискуете потерять свои данные.
Очень внимательно проверяйте обратный адрес в письме, а так же вложение. Если вы ждете письмо с вложением от знакомого или контрагента по работе, при получении такого письма убедитесь, что письмо именно от того, от кого вы ждете. Пусть это займет некоторое время, но потраченное на проверку время в итоге может сэкономить сутки восстановления данных.
При малейших подозрениях на компрометирующее письмо немедленно обращайтесь в свою службу IT. Поверьте, вам за это только спасибо скажут.
Некоторые разновидности шифровальщика используют командные сервера в сети Tor. Перед началом шифрования они загружают тело вируса с этих серверов. Сеть Tor имеет некоторое количество выходных узлов в “большой” интернет, которые называются нодами. Есть публичные ноды, а есть скрытые. Как часть привентивных мер можно на своем роутере, если он позволяет, заблокировать известные выходные ноды, что бы максимально осложнить работу вируса. Список таких адресов можно найти на просторах интернета, сейчас их около семи тысяч.
Конечно все описанное выше не дает никаких гарантий, что вы не попадете в список жертв, но данные рекомендации помогут снизить риск заражения. Пока не разработано реальной защиты от шифровальщика, наше главное оружие это внимательность и осторожность.
Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.
Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать .
Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.
Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.
Что делать, если вы стали жертвой WannaCry?
Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:
- Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
- Поменяйте драйвера.
- Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
- Обновите операционную систему и все остальное ПО.
- Обновите и запустите антивирусник.
- Повторно подключитесь к сети.
- Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.
Важно!
Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.
Стоит ли платить деньги злоумышленникам?
Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус . Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.
Но NCA настойчиво призывает не платить деньги . Если же вы все-таки решитесь это сделать, то имейте в виду следующее:
- Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
- Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
- В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.
Как защититься от WannaCry?
Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:
Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.
У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.
Что именно можно и необходимо предпринять на данный момент:
1. Установить последние обновления.
Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать .
2. Сделать резервные копии важной информации.
3. Быть внимательными при работе с почтой и сетью интернет.
Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.