Яндекс.Метрика

Защита от шифровальщика - petrosoft

Перейти к контенту

Главное меню:

Защита от шифровальщика

В сети существуют вирусы особого рода - шифровальщики.
Они как правило распространяются через письма.

Например,
- от полиции , что надо явиться к следователю
- от судебных приставов о судебном приказе
- от коллекторского бюро как погасить задолженность со скидкой

- от налоговых служб о просроченной задолженности
- от контрагента о документах, закрывающих сделку
- от оператора связи о претензии и отключении услуг
и т.п.
Эти письма провоцируют на то, чтобы открыть вложение, или перейти по ссылке и прочитать документ.

При открытии документа происходит заражение компьютера программой, типа
Shell скрипт , который по сути является текстовым файлом , работающим с очень высокой скоростью.

Почему же антивирусы не ловят этот вирус?
Во-первых, это не вирус в классическом смысле слова. Он не внедряется в библиотеки и не заражает исполнительные программы. он не распространяется по папкам компьютера, сети и проч.
Во-вторых, это простой текстовый файл, который является набором инструкций, которые выполняет
PowerShell или Visual Basic Shell
В-третьих, у этого скрипта постоянно меняетя код и невозможно выделить постоянную часть.
В-четвертых, код шифрования вычисляется "на лету" и даже автор не знает его.

Что же делать?
Внимательно читать письма от незнакомых абонентов. Если письмо сформировано автоматически (а шифровальщик рассылается именно так), то вы увидите что есть что-то странное. Как правило, это видно в обращении "уважаемый,
direkеor@firma.ru" : никто же не обращается к человеку по названию почтового ящика. Или по дополнительному имени или никнейму.
Или в конце письма есть строка из странного набора символов.

Мне пришло такое письмо (не уверен, что это шифровальщик, но я просто хочу показать пример)

****************************
Для того чтобы вывести средства войди в свой аккаунт или зарегистрируйся.
На виртуальном счету 17 347.00 р.
Банковская карта и торговый счет должны быть верифицированы предварительно.

Подтверждение вывода (ссылка на сайт)

https://ah-me.com  Посему принимайте друг друга, как и Христос принял вас в славу Божию.  за Иорданом, в земле Моавитской, начал Моисей изъяснять закон сей и сказал:  И разделил их Давид на череды по сынам Левия — Гирсону, Каафу и Мерари.  городского злословия, возмущения черни и оболгания на смерть, — всё это ужасно.  Цель же увещания есть любовь от чистого сердца и доброй совести и нелицемерной веры,  В один день он пришёл туда, и зашёл в горницу, и лёг там, 0 все города на равнине, весь Галаад и весь Васан до Салхи и Едреи, города царства Ога Васанского; 0 Западный же предел — великое море, от южной границы до места против Емафа; это западный край.  возьми в руки свои большие камни и скрой их в смятой глине при входе в дом фараона в Тафнисе, пред глазами Иудеев, Глава  И, отпустив народ, Он вошёл в лодку и прибыл в пределы Магдалинские.
*****************************

Видно же , что это не человек писал , а какой-то робот.

Помните, что никакие государственные органы, как и коллекторы, не рассылают важную информацию, которая может попасть в чужие руки.
Вы можете получить информацию , но только по вашему запросу. Да и то, с предварительным подтверждением многих реквизитов (подтверждение по почте, смс по телефону, номер СНИЛС, и проч.). То есть Вы ждёте это письмо.

Я такие письма помечаю как спам и потом удаляю.

Случай 1.
Однажды обратился ко мне "старый" клиент.
- Да вот глупость сделал. Пришло письмо. Я открыл вложение, не протестировав на вирусы. Он зашифровал мои документы и базу 1с.Предприятие

На экране при запуске (или фоном рабочего стола) светилась надпись
"Ваш компьютер зашифрован.
Для расшифровки обратитесь по адресу
mail123456@domain.com"

Адрес , конечно, не помню, но и не важно.
Я написал письмо по этому адресу, что у моего клиента высветилась такая надпись и может ли он помочь ?
Он мне ответил, что может помочь и стоит дешифровальщик 15 тыс. руб
Я послал ему 3 файла - тектовый, таблицу и картинку.
И он прислал мне эти файлы, но уже дешифрованные. Так он доказал что может дешифровать.
Я спросил клиента об оплате. Он отказался платить - у него были копии , сделанные не очень давно. И он готов был вручную по бумагам актуализировать информацию.


Случай 2.
Позвонил коллега "есть проблема в государственном предприятии"

Там тоже открыли письмо и произошло заражение компьютера.
Б
ыла заражена база данных 1С предприятие версия 7.7 То есть все dbf файлы были зашифрованы.
Но они уже не захотели обращаться к человеку, который предлагал свои услуги. Потому что эти деньги были бы отправлены ему не подтверждались никакими документами для отчётности. Я нашёл в Санкт-петербурге фирму, которая готова была за 2-3 дня подобрать шифр дешифровать. Но стоимость возрастала почти вдвое около 25000 руб. И клиент также отказался от услуги дешифрования. Цена, видимо, не понравилась или бюджетные средств были для других целей


К
ак же все-таки защитить свои файлы от действия шифровальщика ?
Д
аже если вы вы или кто-то из вашей организации ошибочно открыл письмо, но с вирусом и антивирус не смог распознавать его.

К этой идее натолкнула меня случай происшедший с моим товарищем тоже программистом, системным администратором
Ежедневно у него происходило резервное копирование данных расчета заработной платы в zip-архив

Случайно он в процедуре создания архива не указал расширение выходного файла после имени файла не было написано его тип "Zip"
Однажды произошло заражение компьютера вирусом шифровальщиком
И когда они его позвали для восстановления данных Он сказал что их документы и таблицы можно будет восстановить только заплатив деньги за  дешифровальщика, но но архив содержащий базу данных бухгалтерской программы не был испорчен из-за этого я сделал Вывод что шифровальщик работает по типу файлов.
Все файлы не шифруется, которые имеют непонятный тип файла.
Или имеют зарегистрированный тип файла, но предназначен для операционной системы DLL, EXE и так далее. Ведь после заражения шифровальщиком компьютер продолжает работать значит системные файлы его не тронуты Шифровальщик трогает только пользовательские данные, а именно текстовые документы, картинки, табличные документы. Распознавание скорее всего по типам и, если файл не имеет расширение или имеет расширение стандартное для операционной системы, этот файл не трогается, чтобы компьютер продолжал работать и создатель дешифровщика мог заработать на этом деньги

Р
езюме

Храните важные файлы без расширения или с системным расширением.
Конечно есть неудобства
: при открытии данного файла система каждый раз будет спрашивать что этот файл "не известен, непонятен" Открывайте указывая программа Word Excel OpenOffice и т.д.
Что делать с файлами которые работают в комплексе
, в частности, базы данных пример 1С предприятие или налогоплательщик или ещё какая-то база данных содержащихся в некотором каталоге здесь выход только один резервная копия должна быть упакована в архивный файл ZIP без указания расширение или системным расширением типом файла

 
Назад к содержимому | Назад к главному меню