PDA

Просмотр полной версии : Помощь пострадавшим от шифровальщиков. Что делать если зашифрованы файлы?



olejah
18.04.2013, 12:01
Уважаемые пользователи и гости портала VirusInfo.info!
Хотелось бы прояснить ситуацию с разными видами шифровальщиков. И предупредить еще раз всех - будьте внимательны, не дайте себя обмануть разными уловками!


Сначала подробнее остановимся на методах социальной инженерии, которыми пользуются в настоящее время распространители шифровальщиков:
В основном, в последнее время, это различного вида уведомления на электронную почту о какой-либо задолженности, отправитель якобы является банком, либо коллекторским агенством. Будьте очень бдительны и внимательны к подобного рода письмам. И ни в коем случае не запускайте/открывайте вложенные в такие письма файлы. Если у вас есть какие-либо дела с тем банком, от которого якобы пришло письмо, лучше непосредственно позвонить в этот банк и узнать у них всю нужную информацию.


Далее пройдемся во версиям:


- Так называемые Xorist'ы. Все новые версии попадают на компьютер жертвы с помощью предварительно внедренного Backdoor (http://ru.wikipedia.org/wiki/%D0%91%D1%8D%D0%BA%D0%B4%D0%BE%D1%80). Xorist запускаются вручную удаленно после открытой бэкдором дыры. После запуска, такая программа-шифровальщик ищет наиболее популярные расширения (.docdocx .xlsxlsx .key .mp3 .jpg .gif .waw .cfg .bmp .rar .zip .psd .jpeg), после чего, все найденное шифруется при помощи AES. После этого, зловред создает в корне системного диска текстовый файл с именем "Прочти Меня - как расшифровать файлы.txt" и запускает на выполнение. О тех. деталях одной из версий подробнее можно прочитать здесь - securelist.com (http://www.securelist.com/ru/descriptions/7163666/Trojan-Ransom.Win32.Xorist.j)
Также рекомендуется ознакомиться со статьей Лаборатории Касперского - Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Xorist (http://support.kaspersky.ru/2911?el=88446). Там подробно описаны признаки заражения и способы вылечить систему.

Примеры обращений с Xorist:
http://virusinfo.info/showthread.php?t=129440
http://virusinfo.info/showthread.php?t=128463
http://virusinfo.info/showthread.php?t=126976
http://virusinfo.info/showthread.php?t=122958

- Также сейчас популярны Rector+RSA. У новых версий этой разновидности есть крайне неприятная особенность - привязка к железу. Начиная где-то с варианта thyrex, дешифратор для каждого купившего накрывается защитой Armadillo, одной из опций в которой и есть привязка к железу. Потому пользователи теперь будут обречены на покупку. За компанию к RectorRSA и некоторым другим, скорее всего, может идти вор паролей от много чего. Так что это тоже надо учитывать, незамедлительно меняя все пароли.

Примеры обращений с Rector RSA:
http://virusinfo.info/showthread.php?t=122282
http://virusinfo.info/showthread.php?t=122544
http://virusinfo.info/showthread.php?t=120792
http://virusinfo.info/showthread.php?t=125463
http://virusinfo.info/showthread.php?t=108077

Пользователям, пострадавшим от lockdir.exe, рекомендуется ознакомиться с этими темами:

Список известных на данный момент кодов расшифровки шифровальщика lockdir.exe (http://virusinfo.info/showthread.php?t=120806)

Превентивные меры (http://virusinfo.info/showthread.php?t=122634)

Объединяемся в решении проблемы (http://virusinfo.info/showthread.php?t=120871)

P.S. Информация в этой теме будет дополняться. Также, вы сами можете дополнить ее.

Ilya Shabanov
18.04.2013, 23:58
Чтобы не попадать в неприятные истории с шифровальщиками достаточно нескольких правил безопасного поведения:

1. Делайте резервные копии. Хотя бы раз в неделю по расписанию. Это можно делать как средствами Windows, так и сторонними программами. Обязательно нужно чтобы резервная копия была не на том же самом компьютере, иначе смысл теряется. Хранилище резервных копий подключайте только в нужный момент. Во все остальное время оно не должно быть доступно для записи с вашего компьютера. Хорошей практикой можно назвать использование облачных хранилищ, например, Skydrive.

2. Крайне внимательно относитесь к получаемым письмам и ссылкам от каких-либо источников. Если в отравителе написано Сбербанк или Почта России, то это еще ничего не значит. Нормальные письма в идеале должны быть подписаны ЭЦП. Внимательно проверяйте прикрепленные к таким письмам файлы перед открытием. Обращайте внимание на мелочи оформления писем, ссылки в них, подписи и т.п.

3. Следите за безопасностью своей системы. Устанавливайте все обновления.