Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.
Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.
Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.
Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.
Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:
1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.
При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!
4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.
Зашифрованные файлы выглядят следующим образом:
5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.
Примерное содержимое файла PAYCRYPT_GMAIL_COM
Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024
1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.
2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта «за урок»
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OSDATE CRYPTED: 2_.0_.2014 / 11:50.
Вот такие вот вежливые нынче кибер-преступники.
Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:
1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.
2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.
3. и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.
В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.
Социальный инжиниринг остаётся, пожалуй, самым популярным способом заражения компьютеров. Ведь, вместо обхода сложных систем технической защиты, он эксплуатирует самое «слабое звено» - человеческую доверчивость. Более того, с каждым годом социальный инжиниринг становится всё изощрённее. Вместо неуклюжих писем, «попавших якобы не тому адресату», и «нигерийских принцесс» в ход идут намного более реальные, на первый взгляд инфоповоды. Например, сотрудники предприятий могут получить по e-mail «уведомление о налоговой проверке», «досудебную претензию» или просто «документы на подпись», - правда, со странным расширением. О том, как распознать письма с вирусами и не стать жертвой преступников, читайте в сегодняшнем выпуске TechnoDrive.
Приведём несколько реальных писем преступников, сохранив их стилистику:
«Здравствуйте! В нашей компании налоговая проверка. У нас с Вами нет договора и одной счет-фактуры. Огромнейшая просьба подписать, отксканировать и выслать нам сегодня. Документы в приложении - ссылка. С уважением, .....»
«Здравствуйте! При неоплате в установленные сроки суммы долга, будем вынужденны подать исковое требование в арбитражный суд. Оригинал претензии отправили на Ваш почтовый адрес, копия Претензия №4511 - ссылка. Прошу ознакомиться. По всем вопросам звонить: .....»
«Прошу бухгалтера ознакомится с отчётом по задолженности компании на 2 квартал 2015 года. Просим вовремя произвести оплату. Отчёт прикреплён или доступен тут - ссылка. C уважением, .....»
При этом письма обычно вложений не содержат - для прохождения антивирусной проверки на почтовом сервере. Вместо зловредов в приложениях, преступники размещают в тексте гиперссылки для скачивания вирусов. Причём на первый взгляд они могут выглядеть весьма правдоподобно, - равно как и адреса отправителей.
Открыть такую ссылку, чтобы убедиться в обмане, - огромный риск даже при сверхнадёжном антивирусе. Ведь во вложении может оказаться зловред, сигнатуры которого ещё не включёны в базы... Можно попробовать открыть не всю ссылку, а лишь главный домен, - который, скорее всего, окажется либо взломанным корпоративным сайтом (порой зарубежным), либо обычным файлообменником. Но и это довольно рискованно - особенно в первом случае. Более того, вредоносную ссылку злодеи могут спрятать за безобидным описанием (указав внутри тега ссылки текст http://nalog.ru, а сам линк спрятать в параметре href).
Как узнать реального отправителя письма?
Изучите служебную информацию в письме. В почтовой службе Gmail это можно сделать с помощью опции «Показать оригинал» в меню аккаунта, открыв соответствующее письмо.
В Mail.ru после открытия письма становится доступным пункт меню «Служебные заголовки».
А для Outlook Express аналогичная возможность появляется при просмотре письма через «Свойства» / «Подробно» / «Заголовки Интернета для данного сообщения». Если обобщить, служебные заголовки обычно доступны через свойства письма.
Что мы ищем?.. Словосочетания «Recieved: from», «client-ip» или «sender».
Внимание! В других строках, начинающихся с «From» или «Return-path» злоумышленники могут указать что угодно!
Когда вы нашли нужное словосочетание и увидели рядом IP, проверьте его с помощью сервиса Whois . Если владелец «айпишника» выглядит подозрительно, или вообще расположен на другом континенте, вас пытаются обмануть.
Пример: вряд ли стоит верить письму «от Федеральной службы судебных приставов», полученному с IP-адреса 41.211.159.19 (для иллюстрации использован случайный IP-адрес из Африки).
Другие признаки вредоносных e-mail’ов
Также заслуживает внимания текст письма, в котором зловещая ссылка может быть замаскирована безобидным описанием или картинкой. В первом случае - обращаем внимание на значение параметра href, а не текст находящийся между открывающим и закрывающим тегами a. В случае с картинкой ссылка будет находится в параметре src тега img.
Если вы не поняли написанное в предыдущих двух абзацах - не страшно. Ведь бухгалтеры и делопроизводители не должны разбираться в тонкостях HTML-вёрстки и структуре eml-файлов. Просто позовите системного администратора или квалифицированного ИТ-специалиста - и он поможет вам избежать заражения компьютера.
И, наконец, самый главный аргумент, который стоит учитывать при получении подобных писем. Налоговая служба напоминает, что для общения с юридическими лицами и индивидуальными предпринимателями она использует особый порядок электронного документооборота - посредством защищённых каналов связи и аккредитованных операторов. Таким образом, требования на уплату налогов, пеней, штрафов и сборов, различные справки, требования о предоставлении документов либо пояснений налоговыми органами посредством е-mail никогда не рассылаются .
Иными словами, получить на обычный e-mail официальное письмо от налоговой равносильно получению счёта за квартплату по SMS. Что же касается писем с «документами от партнёров», то факт их отправки лучше проверить, позвонив по известному вам (а не указанному в письме!) телефону. Это не займёт много времени, но позволит избежать множества неприятностей, подготовленных изощрёнными киберпреступниками.
Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!
|
В редакцию сайт пришли подозрительные письма, подписанные представителями двух крупнейших банков - Альфа-банка и банка «Открытие». И мы поняли, что обязаны о них рассказать
Письмо от имени «представителя» Альфа-банка гласило, к нему был прикреплен файл:
«Уважаемый(-ая), уведомляет вас о наличии просроченной задолженности. Меня зовут Богун Иван Владимирович, я представитель Альфа Банка. На ваше имя 22.05.2013 была оформлена рассрочка, через наш онлайн банкинг (https://alfabank.ru) на сумму 3 000 000 рублей. На данный момент задолженность не погашена. На 20.11.2016 ваш долг составляет 1 773 000 рублей с учетом пени (0.4%в сутки). и требование о погашении задолженности. В связи с этим, на ваше имя, Альфа Банка был составлен судебный иск.
Ознакомьтесь с документами дела.
С Уважением.
Альфа Банк»
Мы сохранили всю пунктуацию и орфографию оригинального письма, обратите на них внимание. Примечательно, что письмо пришло с адреса, на первый взгляд, напоминающего электронную почту банка - [email protected] . А теперь представьте, что подобное письмо получаете вы, и вы, действительно, являетесь клиентом банка и даже, возможно, у вас есть там кредит. Если не знать базовых правил безопасности в Интернете, нормальная реакция обычного человека - скорее скачать документы и разобраться, в чем же дело. А ведь именно это делать категорически нельзя!
Важно, что мошенники рассылают письма массово и от имени разных банков - уже сегодня мы получили схожее письмо якобы от банка «Открытие», в качестве приманки указывался долг по ипотечному кредиту.
А что банки?
Пресс-служба Альфа-банка попросила переслать им письмо и обещали отправить его в техническую службу на проверку, возможно, по результатам они смогут сказать, какая угроза для вашего компьютера кроется в подобных письмах.В пресс-службе банка «Открытия» поспешили заверить: указанная рассылка осуществлялась от лица третьих лиц, не имеющих отношения к банку. «Для информирования своих клиентов банк рассылает письма только с почтовых ящиков в доменах open.ru и openbank.ru. Кроме того, банк уведомляет своих клиентов о необходимости выполнить обязательства с помощью смс-сообщений на доверенный номер клиента», - указали в пресс-службе.
Представители банка советуют при получении подобного сообщения немедленно обратиться в контактный центр банка и сообщить об инциденте, не открывая вложения и содержащиеся в письме ссылки - они содержат компьютерный вирус.
3 признака письма-вируса
Подобные «письма счастья» и раньше рассылались пользователям, распознать их можно по нескольким признакам:1. Угроза в заголовке
«Уведомление от банка «Открытие», «Повестка в суд», и другие заявления, которые способны запугать человека еще до того, как он открыл письмо. Таким образом мошенники сбивают с толку.
2. Адрес отправителя - ошибка в названии компании или перепутанный почтовый ящик. Например, [email protected] (правильный ящик - [email protected])
3. Вложенный файл . Мошенники намеренно нагнетают обстановку, чтобы вы точно скачали себе письмо, раскрывающее подробности. Делать этого ни в коем случае нельзя - этот файл как раз и содержит вирус. Обратите внимание, в имя файла может входить надпись «.doc» или «.pdf», а дальше указано js или exe - таким образом вас пытаются запутать, представив файл в качестве документа.
Как работает вирус
Если вы все-таки установили файл (программисты называют его шифровальщиком), то скорее всего вся ваша информация будет утеряна безвозвратно. После скачивания и запуска вредоносного файла происходит обращение к удаленному серверу, с которого скачивается вирусный код. Все данные на компьютере шифруются случайной последовательностью символов. Раскодировать файлы может только сам хакер. Считайте, что с этого момента хакер получил доступ ко всем данным, содержащимся на вашем компьютере, включая доступ к онлайн-банкам. А это уже реальная опасность остаться не только без данных, но и без денег.
Сегодня одной из актуальных разновидностей вредоносного ПО «компьютерного вируса» является вирус «шифровальщик».
В основном компьютер подвергается инфицированию через спам-письмо с вложением якобы от исполнительных органов власти или федеральных структур, например ФНС, службы судебных приставов, ГИБДД и других. После попадания в компьютер вирус шифрует все файлы, находящиеся на жестком диске, которые представляют ценность для (фото, видео, документы и т.д.).
При попытке открыть зашифрованные файлы, на экране появляется сообщение с требованием перевести определенную сумму денег за восстановление файлов.
Суммы варьируются и доходят до сотни тысяч рублей.
Сергей Игнатьев, заместитель генерального директора по IT развитию и продвижению ООО «ГЕЛИОС-С»:
Появление такого или похожего сообщения уже означает, что вирус
заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители.
Как правило, в большинстве случае вы получили и открыли электронное письмо от вызывающего у вас доверие контрагента или отправителя, завуалированного под известную организацию. В теме может содержаться просьба провести акт сверки бухгалтерских операций за какой-то период, предоставить подтверждение оплаты счета, ознакомиться с кредитной задолженностью и т.д.
Самое главное, что информация обычно составлена таким образом, что обязательно вас заинтересует, и вы откроете вложенный файл с вирусом, который прикреплен к электронному письму. Этого и добиваются мошенники.
Итак, вы открываете вложение, которое имеет расширение «js», «exe», или «bat», а по идее не должны бы. Все мы прекрасно знаем расширения файлов, с которыми работаем. В основном это расширения офисных приложений: doc, docx, xls, odt. Данный файл скачивает с сервера злоумышленников троян или баннер, и программу для шифрования. Складывает все это во временную папку пользователя и сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ.
В качестве шифровальщика (на примере vault) выступает бесплатная утилита для шифрования gpg
и популярный алгоритм шифрования - RSA-1024
. По сути, эта утилита много где используется, не является вредоносным объектом сама по себе, следовательно, антивирусные программные продукты пропускают и не реагируют на ее работу.
Что делать?
Вариантов, к несчастью, мало. На просторах интернета, есть довольно много информации о том, как попытаться расшифровать файлы vault, xtbl, ytbl и т.д. К сожалению, все эти рекомендации мало чем помогают, к тому же попытки самостоятельной расшифровки файлов зачастую приводят к невозможности дешифровки, даже при наличии закрытого ключа шифрования.
Помощи от антивирусных компаний ждать тоже не приходится. RSA-1024
– очень серьезный и сложный процесс шифрования, и на ваш запрос в любую антивирусную лабораторию вы получите примерно следующее: «К сожалению, помочь не сможем, за приемлемое время расшифровка невозможна».
В свободном доступе есть такие утилиты для дешифровки, как: Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor или Xorist Decryptor, но они помогают только для отдельных типов шифровщиков, в случае с vault, xtbl они не срабатывают.
Основная рекомендация от наших защитников: обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Есть еще возможность заплатить злоумышленникам, но мы же не хотим своими деньгами поддерживать мошенников, да и вероятность возвращения наших драгоценных данных - 50 на 50.
Рассмотрим, как же все-таки мы можем предотвратить эти крайне нежелательные действия над нашими файлами или хотя бы снизить их коэффициент влияния на работоспособность нашего бизнеса.
Итак, первое и, наверно, самое главное: резервное копирование - наше «ВСЁ». Не пожалейте денег, сил и времени на резервное копирование данных. Съемный жесткий диск, стоит гораздо дешевле тех денег, которые просят вымогатели за расшифровку данных. Копирование критически важных для вас данных: баз 1С, текстовых документов, таблиц на съемный носитель, хотя бы раз в неделю не займет много времени, но сэкономит массу нервов и денег в случае шифровки данных на компьютере.
Второе: настоятельно рекомендуем настроить параметры восстановления системы и теневые копии папок. По опыту это спасает в 95 процентах случаев заражения и шифрования данных. Третье: Антивирусная защита обязательна. Наличие проверенного и зарекомендовавшего себя с лучшей стороны антивирусного программного обеспечения, с последними обновлениями сигнатурных баз поможет вам защититься от непредвиденных и неприятных ситуаций.
Ну, и последнее: не открывайте файлы неизвестного вам типа. Не может файл с расширением exe или bat быть актом сверки, или, например, резюме соискателя. Ну не может владелец почты [email protected] знать о блокировке ваших лицензий 1С или о вашей задолженности по кредиту в банке. Повышайте компьютерную грамотность свою и ваших сотрудников. Это в современной жизни обязательно пригодится.
В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?