Белорусов атакуют "трояны-шифровальщики"

Источник материала:

В Беларуси с октября наблюдается резкий всплеск активности "троянов-шифровальщиков" - от пользователей поступает значительное число запросов на восстановление файлов, подвергшихся воздействию данных вредоносных программ, сообщили специалисты антивирусной лаборатории "ВирусБлокАда".

Троян-шифровальщик представляет собой вредоносную программу, которая, попав на компьютер пользователя, находит его личные файлы и зашифровывает их, после чего предлагает пользователю заплатить определенную сумму посредством мобильных платежей либо виртуальных кошельков. В сообщении злоумышленников говорится, что после оплаты пользователь получит код, позволяющий расшифровать пользовательские файлы, однако никаких гарантий естественно, никто не дает. Более того: практика показывает, что большая часть пострадавших так и не получают свой заветный код. Под шифровку могут попасть фотографии, видеозаписи, музыка, документы, архивы и даже конфигурации с базами 1С.

"Данные вредоносные программы шифруют файлы и выводят на экран пользователя сообщение о том, что для разблокировки требуется перевести определенную сумму на мошеннический счет, иногда для получения номера счета предварительно необходимо отправить запрос на e-mail. После оплаты злоумышленниками присылаются нерабочие ключи, либо чаще всего не присылается вообще ничего. Расшифровать какой-либо файл, не зная оригинального ключа, весьма затруднительная задача. Особую опасность трояны-шифровальщики представляют для коммерческих организаций, поскольку, например, потерянные данные баз данных могут приостановить работу фирмы на неопределенное время", - рассказал Юрий Резников, руководитель группы технической поддержки "ВирусБлокАда".

"Основными признаками того, что на вашем компьютере появился троян-шифровальщик является смена расширений файлов, таких, как музыкальные файлы, файлы изображений и т.д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, о необходимости легализации ПО и тому подобное", - рассказала Александра Изотова, вирусный аналитик.




Для скрытия присутствия на сервере злоумышленники использовали программу, очищающую системный журнал Windows, в которой, кроме всего прочего, предусмотрен функционал запуска по расписанию, "разлогинившись" с терминала программа запускает очистку следов своего присутствия в системе.

Файлы шифруются одним из современных алгоритмов шифрования BlowFish, расшифровка файлов "в лоб" после обработки шифровальщиками, не зная ключа, может занять до нескольких лет.

Cпособы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS (системы предотвращения вторжений), разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда вредоносная программа внедряется в адресное пространство доверенного приложения.

Если вы стали жертвой шифровальщиков, не стоит отправлять деньги мошенникам – это в большинстве не поможет вернуть вашу информацию, не нужно пытаться переустановить операционную систему или удалять файлы и почтовые сообщения на своем компьютере. Специалисты, с большой долей вероятности, смогут расшифровать закодированные трояном-шифровальщиком файлы. Не стоит запускать никаких "чистильщиков" временных файлов и реестра, а также не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зашифрованные файлы в карантин антивируса.