Что такое вирус-шифровальщик
Вирус-шифровальщик, он же вирус-вымогатель — это программа, которая зашифровывает всю информацию на Вашем компьютере или сервере. Главная цель хакеров-создателей таких программ - получить от владельцев зараженных компьютеров выкуп за расшифровку информации.
Зараженные компьютеры обычно демонстрируют почтовый адрес, через который можно связаться со злоумышленниками, которые за выкуп пришлют (а может быть, и не пришлют) дешифратор. Деньги обычно требуют в криптовалюте, например, в биткоинах. Сумма выкупа может быть различной. В практике БелАдминГрупп встречались суммы выкупа в размере от $300 до $5 000 в криптовалютном эквиваленте. Примечательно, что все “плохие парни”, с которыми мы имели дело, легко вели с нами переписку на русском языке!
Как вирус-шифровальщик попадает на Ваш компьютер или сервер?
Обычно это происходит двумя основными способами.
1. Автоматическое заражение вашего компьютера через запуск исполняемого файла. Этот способ работает за счет доверчивости людей их и пренебрежения правилами безопасности. Пример - вам на почту приходит письмо от знакомой вам лично или известной в вашем регионе компании, с вложенным файлом вроде коммерческого предложения, информирования о проверке, акта сверки и т.п. Письма могут быть даже от имени налоговой инспекции. Одному из клиентов БелАдминГрупп вирус прислали от имени БелПочты!
Суть этого способа - доставить на ваш компьютер замаскированный файл с вирусом и заставить вас его открыть. Чаще всего операционная система и антивирусные программы предупреждают, что этот файл может быть опасен. Но, как правило, люди игнорируют подобные сообщения, ведь посмотреть акт сверки от БелПочты кажется намного более важным.
2. Заражение путем проникновения на ваш сервер. В 99% случаев хакеры проникают на серверы через неправильно или небрежно настроенный удаленный доступ. В нашей практике это всегда происходило через приложение “Удаленный рабочий стол” (Remote Desktop Protocol, RDP) и порт 3389.
Поэтому если вы в данный момент находитесь за компьютером, то рекомендуем прямо сейчас на сайте 2ip.ru найти ссылку «Проверка порта» и проверить там состояние порта 3389. Если вам ответят, что «Порт закрыт», радуйтесь - вы “в домике”. Но, к сожалению, это не точно. Возможна ситуация, когда ваш сисадмин решил изменить порт для доступа к “Удаленному рабочему столу”. Лучше выяснить у него, закрыт ли порт доступа к RDP.
Если же вы увидите сообщение «Порт открыт», это значит, что в вашей компьютерной безопасности здоровенная дыра, и вам остается только ждать, когда к вам наведаются хакеры. Нужно как можно скорее закрыть порт и организовать VPN-туннель. Спросите вашего сисадмина - он знает, как это сделать. А если не знает - звоните нам.
Что делает вирус-шифровальщик?
В случае, если на ваш компьютер проник вирус-шифровальщик, он просто начинает шифровать все, что видит. Причем он может делать это открыто, полностью заняв всю мощность процессора и весь объем памяти, потому что сам процесс шифрования очень ресурсоемкий. А может делать это более “элегантно”, шифруя не все подряд, а по несколько файлов из каждой папки, причем делать это скрыто, незаметно, чтобы пользователь его как можно дольше не замечал. Если вирус доберется, к примеру, до файловой базы данных 1С и зашифрует там некоторые файлы, то перестанет работать вся программа.
Удаленное проникновение хакера на ваш сервер еще более опасно. Хакер видит, что нужно шифровать в первую очередь, он постарается найти и другие сервера в вашей рабочей сети. А самое опасное, что хакер не только зашифрует данные, он еще и безвозвратно удалит все резервные копии ваших баз данных, до которых доберется. В практике БелАдминГрупп были случаи, когда хакеры сумели зашифровать все резервные копии программы 1С одной из компаний. Не помогло и распределение копий по нескольким серверам - хакеры нашли их все и зашифровали.
Что делать, если вирус-шифровальщик попал на мой компьютер?
Если вы открыли подозрительный файл из непонятного письма и заметили, что после этого компьютер резко начал “тормозить”, стали пропадать файлы и иконки, или наоборот, стали беспричинно появляться странные иконки и файлы с незнакомыми расширениями - немедленно выключайте компьютер. Причем если он не хочет выключаться или делает это медленно - просто выдерните шнур питания из розетки, хуже не будет. Как вариант, нажмите на кнопку включения питания и держите 5 секунд - компьютер должен отключиться.
Пока компьютер выключен, шифровальщик не работает. Срочно звоните своему сисадмину, чтобы он спас хотя бы ту информацию, которую вирус не успел зашифровать. К сожалению, полной гарантии спасения зашифрованной информации никто дать не может.
В том случае, если хакеры побывали на вашем сервере, все может быть намного хуже. Обычно взломы серверов происходят ночью или в выходные - чтобы у хакеров было достаточно времени для полной зашифровки серверов. В этом случае вероятность спасения хотя бы части важной информации почти нулевая, хотя кое-что все-таки можно предпринять.
Например, можно обратиться в антивирусные компании DrWeb или Kaspersky. Как правило, они попросят прислать им файл, который у вас есть и в незашифрованном, и в зашифрованном виде - это нужно для определения типа вируса и алгоритма шифрования. Однако в практике БелАдминГрупп не было ни одного случая, чтобы DrWeb или Kaspersky помогли расшифровать пораженные файлы. Дело в том, что алгоритмы шифрования постоянно меняются, а процесс расшифровки очень сложен и трудоемок.
Еще один вариант - обратиться к специалистам, которые восстанавливают данные с жестких дисков. Возможно, резервные копии ваших баз данных были не слишком качественно удалены хакерами, и их можно восстановить. Но нашим клиентам еще ни разу так не повезло.
Ну и наконец - можно узнать у хакеров, сколько они хотят за дешифратор. Может быть, размер выкупа будет приемлемым. Обычно антивирусные компании рекомендуют не платить выкуп, чтобы не провоцировать хакеров на новые заражения. Мы не призываем к сотрудничеству со злоумышленниками. Однако для большинства владельцев зараженных компьютеров уплата выкупа - единственно возможный путь возврата своей информации. Исходя из нашего опыта, получение дешифратора после уплаты выкупа занимает от 2 до 7 дней. Случаев, когда после уплаты выкупа дешифратор не присылали, в нашей практике еще не было.
Самое важное - как защититься от вирусов-шифровальщиков
От вредоносных файлов лучше всего защищает обычная бдительность. Проверяйте, что за письма вам приходят, и стоит ли открывать приложенные к ним файлы. В администрации БелАдминГрупп практикуется следующий очень простой, зато действенный метод защиты от вирусов-вымогателей. Если есть сомнения по поводу письма, но открыть его все же необходимо - письмо открывается и просматривается не на компьютере, а на смартфоне.
Суть этого метода - в наличии разных операционных систем (ОС) на компьютере и смартфоне. Вирусы-шифровальщики для Windows не будут работать на мобильных ОС. Если же все-таки вирус зашифрует содержимое вашего смартфона - его перепрошивка или даже покупка нового обойдутся гораздо дешевле, чем уплата выкупа хакерам.
Что касается проникновения хакеров на сервера, защиту от них могут обеспечить две вещи.- Настройка безопасного удаленного доступа к вашим серверам - используйте протоколы VPN вместо RDP и проверяйте закрытость вашего порта 3389.
- Создание резервных копий ваших баз данных, недоступных для проникновения через сеть. Например, каждый день делайте резервную копию и записывайте ее на флэшку или в облако. НО! Обращаем ваше внимание, что популярные облачные сервисы Google и Яндекс работают по принципу сетевой папки. Если вирусы или хакеры зашифровали данные на вашем компьютере, синхронизация с папками Google и Яндекс приведет к тому, что туда также будут записаны зашифрованные данные. БелАдминГрупп для хранения резервных копий баз данных клиентов использует облачные сервисы MicroSoft, которые защищены от удаления и несанкционированной перезаписи резервных копий.