Вірус-шифрувальник - одна з новітніх і небезпечних хакерських розробок. Під цим терміном передбачають сукупність шкідливих програм, вплив яких на заражений комп'ютер полягає в шифруванні даних користувача. Для цього використовуються різноманітні алгоритми. Найчастіше блокуються текстові документи, музичні та відеофайли, фотографії, бази даних тощо. Зверніть увагу: системні файли такий вірус не зачіпає. Його небезпека полягає в тому, що методів боротьби з ним мало, відновити дані не завжди можливо. Більш того, після зараження на екрані монітора спливає повідомлення з поясненням події і вимогою заплатити певну суму за код-дешифратор, який відновить заблоковані файли. Однак, як показує практика, людина, яка піддалася такому шантажу, втрачає і гроші, і інформацію.
Коротко про вірус: троянці сімейства Trojan.Encoder - це шкідливі програми (скрипти), які шифрують файли на диску комп'ютера і вимагають гроші за їх розшифровку (дешифратор). Зашифрованими можуть виявитися файли * .mp3, * .doc, * .docx, * .pdf, * .jpg, * .rar * .1CD тощо. З усім сімейством цього вірусу познайомитися особисто не вдалося, але, як показує практика, метод зараження, лікування та розшифровки у всіх приблизно схожі: 1. жертва заражається через спам-лист з вкладенням (маскуючи: Повістка до суду, податкових органів або рахунок) 2. вірус розпізнається і видаляється (вже) майже будь-яким антивірусом зі свіжими базами, 3. файли розшифровуються шляхом підбору паролів-ключів до використовуваних видів шифрування. Наприклад, у Trojan.Encoder.225 використовується шифрування RC4 (модифікований) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режимі. Ці віруси на даний момент розшифровуються на 99% виходячи з особистої практики.
Просто подзвоніть за безкоштовним тел. 8 (812) 920-76-10, і ми допоможемо з постраждалим комп'ютером.
Різновиди шифрувальників (найпопулярніші):
- Вірус XTBL
- VALUE
- ENIGMA (енігма)
- da_vinci_code
- better_call_saul
- _ХО101″>Этот адреса електронної пошти захищена від спам-ботів. Вам слід увімкнути JavaScript для перегляду. _ XO101
- BREAKING_BAD
- NEITRINO
- та інші
Подібний вірус може проникнути в комп'ютер кількома способами:
1. Перший і найбільш поширений шлях - електронна пошта. Вкладення в листах можуть містити небезпечний вірус. Відкривши їх, користувач запустить шкідливу програму, яка зашифрує дані на комп'ютері. Примітно, що ім'я вкладення може виглядати абсолютно нешкідливо (наприклад, «Нові умовия.doc»). Лист відправлять нібито партнери по роботі, і людина, яка нічого не підозрює, його відкриє. Насправді назва вкладення набагато довша, а в кінці міститься .exe, але цього одержувач не бачить.
2. Програми, ігри тощо. Припустимо, вас цікавить якесь ПЗ, яке поширюється на платній основі. Природне бажання заощадити змушує шукати зламану версію. Запустивши її на комп'ютері, ви ризикуєте занести небезпечний вірус.
3. Архів, що саморозпаковується. Навіть якщо програмне забезпечення, яке вам необхідно, надається розробниками безкоштовно, є шанс стати жертвою хакерів. Встановлюючи програми, утиліти тощо, завантажені з невідомих ресурсів, ви також можете завдати шкоди комп'ютеру і втратити всі дані.
На жаль, сьогодні гарантованого методу виправлення наслідків шифрувальників не існує. Навіть якщо ви вирішили піти на поводу у хакерів і відправити їм запитану суму, це не означає, що файли повернутися в колишній стан. Як вчинити в такій ситуації:
1. Цей спосіб підходить, якщо на комп'ютері встановлено ліцензійне антивірусне ПЗ. Відправте запит на офіційний сайт компанії, прикріпивши зашифрований документ і його «нормальну» копію, якщо вона є. Далі чекайте, поки вам дадуть відповідь.
2. Кардинальний, але дієвий метод. Для цього вам доведеться розпрощатися з інформацією і повністю відформатувати жорсткий диск, після чого заново встановити операційну систему.
На жаль, але відкат системи до будь-якої збереженої точки не допоможе. Знищити вірус, швидше за все, вийде, але файли залишаться заблокованими.
- Зберігайте копії даних, які мають для вас цінність, на дисках.
- Звертайте особливу увагу на поштові вкладення.
- Завантажуйте файли лише з перевірених сайтів.
- Не довіряйте відгукам в інтернеті («Я перерахував їм необхідну суму, і мені все розшифрували!»). Вони написані самими розробниками вірусу.
Що таке вірус-шифрувальник?
Сам по собі код, прописаний у самокопіюваному вірусі, передбачає шифрування практично всіх даних користувача спеціальними криптографічними алгоритмами, що не зачіпає системні файли операційної системи.
Спочатку логіка впливу вірусу багатьом була не зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, які створювали такі апплети, почали вимагати за відновлення початкової структури файлів гроші. При цьому сам вірус-шифрувальник розшифрувати файли через свої особливості не дозволяє. Для цього потрібен спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний для відновлення шуканого вмісту.
Програмне запобігання інфікуванню вірусом персонального комп'ютера
Якщо ви боїтеся потрапляння зловісного шкідливого софта на ваш комп'ютер і не хочете, щоб підступний вірус зашифрував всі файли, слід використовувати редактор локальної політики або Windows-групи. Завдяки цьому інтегрованому софту можна налаштувати політику обмеження програм - і тоді вас не будуть турбувати думки про інфікування комп'ютера.
Принцип проникнення в систему і роботи коду вірусу
Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп'ютерному терміналі програм на кшталт Outlook, Thunderbird, The Bat тощо. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий ступінь захисту, а доступ до даних користувача можливий хіба що на рівні хмарних сховищ.
Інша справа - додаток на комп'ютерному терміналі. Ось тут-то для дії вірусів поле настільки широке, що і уявити собі неможливо. Правда, тут теж варто зробити застереження: у більшості випадків віруси мають на меті великі компанії, з яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, але і на серверах таких фірм може зберігатися не те що повністю конфіденційна інформація, але і файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню ні в якому разі. І тоді розшифровка файлів після вірусу-шифрувальника стає досить проблематичною.
Звичайно, і пересічний користувач може зазнати такої атаки, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіших рекомендацій щодо відкриття вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнт визначає вкладення з розширенням .jpg як стандартний графічний файл, спочатку його обов'язково потрібно перевірити штатним антивірусним сканером, встановленим у системі.
Якщо цього не зробити, при відкритті подвійним кліком (стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки буде неможливо видалити, але і файли після усунення загрози відновити не вдасться.
Вірус ставить розширення da_vinci_code на файли
Отже, ви словили вірус і виявили, що всі файли поміняли не тільки своє розширення на da_vinci_code, але і імена файлів стали види:
- FCLz7Bp-+HIHOCKm0rlMfw==.8C29FA8A8AC85257C10F.da_vinci_code
- 3Aag8evVDM6H8IWIiRpnhf2XXI6NMbGpB9XQTAKQ==.B604CC12F53D945AF080.da_vinci_code
- 1Fy-zfjTwpz95HtypRQ—Fo8nCVaEECEB+tBgJ4Z7604CC12F53D945AF080.da_vinci_code
Шифрує майже всі корисні файли. У моєму випадку він зашифрував всі документи, архіви, картинки, відео. Взагалі вся корисна інформація на комп'ютері перетворилася ось на таку зашифровану кашу. Не вдалося прочитати файли. Навіть зрозуміти, що це за файли не можна. Це, до речі, істотний мінус. Всі попередні модифікації шифрувальника, що до мене потрапляли, залишали оригінальне ім'я файлу. Це ж не тільки розширення змінив, але і замінив всі імена файлів. Стало неможливо зрозуміти, що конкретно ти втратив. Розумієш тільки, що ВСЕ!
Вам пощастило, якщо файли зашифровані тільки на локальному комп'ютері, як у моєму випадку. Гірше, якщо вірус шифрувальник да вінчі пошкодить файли і на мережевих дисках, наприклад, організації. Це взагалі здатне повністю паралізувати роботу компанії. З таким я теж стикався і не раз. Доводилося платити зловмисникам, щоб відновити роботу.
Загальні наслідки проникнення всіх вірусів такого типу
Як вже говорилося, більшість вірусів цього типу проникають в систему через електронну пошту. Ну ось, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист зі змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлена накладна з відвантаження товару (копія там-то)». Природно, нічого не підозрюючий співробітник відкриває файл і...
Всі файли користувача на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще будь-яких архіважливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальній мережі, вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по «гальмуванню» системи і зависанню програм або запущених в даний момент додатків).