Инструкция написана мною в помощь сисадминам, желающим провести обучение работников компании, далёких от сферы IT (бухгалтерия, отдел кадров, торговый отдел и т. д), основам кибергигиены.
Глоссарий
Программное обеспечение (далее — ПО) — программа или множество программ, используемых для управления компьютером.
Шифрование — преобразование данных в вид, недоступный для чтения без ключа шифрования.
Ключ шифрования — секретная информация, используемая при шифровании/расшифровке файлов.
Дешифратор — программа, реализующая алгоритм расшифровывания.
Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.
Почтовое вложение — файл, прикреплённый к электронному письму.
Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg — просмотрщик изображений и т.д.
Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.
Текстовый файл — компьютерный файл, содержащий текстовые данные.
Архивация — сжатие, то есть уменьшение размера файла.
Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.
Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.
Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.
Что это такое — вирус-шифровальщик?
Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы и таблицы MS Office (
docx,
xlsx), изображения (
jpeg,
png,
tif), видеофайлы (
avi,
mpeg,
mkv и др.), документы в формате
pdf и др., а также файлы баз данных — 1С (
1CD,
dbf), Акцент (
mdf), Access (
accddb, mdb). Системные файлы и программы обычно не шифруются, чтобы сохранить работоспособность Windows и дать пользователю возможность связаться с вымогателем. В редких случаях шифруется диск целиком, загрузка Windows в этом случае невозможна.
В чём опасность таких вирусов?
В подавляющем большинстве случаев расшифровка собственными силами НЕВОЗМОЖНА, так как используются чрезвычайно сложные алгоритмы шифрования. В очень редких случаях файлы можно расшифровать, если произошло заражение уже известным типом вируса, для которого производители антивирусов выпустили дешифратор, но даже в этом случае не гарантируется восстановление информации на 100%. Иногда вирус имеет изъян (преднамеренный или случайный) в своём коде, и дешифровка становиться невозможна в принципе, даже автором вредоносной программы. Такие вирусы используются не для получения прибыли, а для нанесения как можно большего ущерба конкурирующим компаниям или государственным структурам враждебных государств.
В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления даже при помощи специализированного ПО.
Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, так как используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, в клиент-банках), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.
Пути заражения.
Чаще всего заражение происходит через почтовые вложения. Пользователю приходит письмо по электронной почте от известного ему адресата или замаскированного под какую-либо организацию (налоговая, банк). В письме может содержаться просьба провести бухгалтерскую сверку, подтвердить оплату счёта, предложение ознакомиться с кредитной задолженностью в банке или что-то подобное. То есть информация будет такова, что непременно заинтересует или испугает пользователя и побудит открыть почтовое вложение с вирусом. Скорее всего это будет выглядеть как архив (часто — запароленный, чтобы избежать антивирусной проверки на почтовом сервере; сам пароль будет написан в теле письма), внутри которого находится файл с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. После запуска такого файла сразу же или через некоторое время начинается процесс шифрования файлов на ПК.
Другие пути заражения:
- Файл, присланный в одной из программ для обмена мгновенными сообщениями (Skype, WhatsApp, Viber и др.);
- После установки взломанного ПО;
- После перехода по заражённой ссылке на сайте или в теле письма.
Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространиться на другие машины, используя уязвимости в Windows или/и в установленных программах.
Признаки заражения.
- Очень часто после запуска файла, приложенного к письму, наблюдается высокая активность жёсткого диска, процессор бывает загружен до 100%, то есть компьютер начинает сильно «тормозить».
- Через некоторое время после запуска вируса ПК внезапно перезагружается (в большинстве случаев).
- После перезагрузки открывается текстовый файл, в котором сообщается, что файлы пользователя зашифрованы и указываются контакты для связи (например, электронная почта). Иногда вместо открытия файла обои рабочего стола заменяются на текст с требованием выкупа.
- Большинство файлов пользователя (документы, фото, базы данных) оказываются с другим расширением (например — *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl и др.) или вообще полностью переименованы, и не открываются никакой программой, даже если поменять расширение. Иногда шифруется жёсткий диск целиком. В этом случае Windows вообще не загружается, а сообщение с требованием выкупа показывается почти сразу после включения ПК.
- Иногда все файлы пользователя оказываются помещены в один архив, защищённый паролем. Это происходит, если злоумышленник проникает на ПК и производит архивирование и удаление файлов вручную. Т.е., при запуске вредоносного файла из почтового вложения файлы пользователя не шифруются автоматически, а происходит установка программного обеспечения, позволяющего злоумышленнику скрытно подключиться к ПК через интернет.
|
Пример текста с требованием выкупа
|
|
Результат
действия вируса, шифрующего диск целиком
|
|
Пример переименованных вирусом файлов
|
Что делать, если заражение уже произошло?
- Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит»; открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них стали появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!
- Если шифрование уже состоялось, ни в коем случае не стоит пытаться самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком.
В обоих случаях нужно немедленно сообщить о происшествии системному администратору.
ВАЖНО!!!
Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.
Как предотвратить заражение или свести его последствия к минимуму?
- Не открывайте подозрительные письма, особенно с вложениями (как распознать такие письма — см. ниже).
- Не переходите по подозрительным ссылкам на сайтах и в присланных письмах.
- Не скачивайте и не устанавливайте программы из недоверенных источников (сайты со взломанным ПО, торрент-трекеры).
- Всегда делайте резервные копии важных файлов. Наилучшим вариантом будет хранить резервные копии на другом носителе, не подключённом к ПК (флэшка, внешний диск, DVD-диск), или в облаке (например, Google Drive). Часто вирус шифрует и файлы архивов (zip, rar, 7z), поэтому хранить резервные копии на том же ПК, где хранятся исходные файлы, — бессмысленно.
Как распознать вредоносное письмо?
1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, кадровику — счёт или бухгалтеру —резюме.
2. В письме содержится информация, не имеющая отношения к стране, региону или сфере деятельности компании.
3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.
4. Письмо пришло якобы от известной компании или государственной организации, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.
ВНИМАНИЕ! Злоумышленники часто копируют фирменный стиль электронных писем от известных компаний и государственных организаций, что может ввести пользователя в заблуждение, поэтому обязательно нужно обращать внимания на адрес отправителя. Адрес также часто подвергается подмене: в доменном имени символы могут пропускаться (prvatbank) или, наоборот, добавляться (privaatbank, privat-bank); заменяться на похожие (privatdank, a1fabank); могут присутствовать домены 2-го уровня, что, обычно, не свойственно для крупных организаций (например, www.privat24.ua — правильный адрес, www.privat24.com.ua — фальшивый).
5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.
6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.
7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.
8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются, — это тоже повод насторожиться. Так же, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, мессенджер), так как велика вероятность, что его ПК взломали или заразили вирусом.
|
Пример вредоносного письма. |
|
Пример вредоносного письма с вложением.
|
!!!ПОМНИТЕ!!!
В подавляющем большинстве случаев расшифровка ТЕХНИЧЕСКИ НЕВОЗМОЖНА.
Будьте предельно внимательны при работе в Интернете.
v. 1.1