Предостережение от шифрования Вашей файловой системы.
Последние несколько лет, а точнее с конца 2011 года, в интернете гуляют массовые рассылки писем с вирусами во вложении. Вирусы эти, в большинстве своем, сделаны по шаблону: вирусное вложение открывается, запускается скрипт (набор команд по скачиванию и запуску нужных программ), вся ваша информация шифруется (меняется расширение файлов на произвольное, заложенное автором), во всех папках появляется текстовый документ с указанием действий для расшифровки (указывается e-mail, возможно даже указывается сумма). Бывает так, что вирус куплен каким-нибудь школьником и рассчитан только на шифровку и добычу денег, без возможности расшифровки, предполагаю, процентов 80 таких рассылок. Вполне может случиться, что подхватить заразу можно просто бродя по сайтам, ткнув в случайный баннер. Автор столкнулся однажды со случаем заражения, где при переходе по ссылке на абсолютно нормальном сайте по патентам. В начале эры шифровальщиков антивирусные гиганты предоставляли услуги своим клиентам по расшифровке. Последние год-два расшифровать данные не представляется возможным, ввиду 2048 битного шифрования(крайне длинный код).
Ниже приведен пример письма с рассылкой. Обычно даже файл выглядит, как документ ворда или экселя. Были случаи рассылки с от имени налоговой инспекции, от адреса @nalog.ru.
Налоговая инспекция НИКОГДА не пишет письма на электронную почту.
Меры реагирования.
При обнаружении вирусной активности требуется немедленно выключить пк. На свой страх и риск можно его включить снова, большинство вирусов прекращают свою работу, но бывает и так, что процесс продолжится. Лучше обратитесь в тех. поддержку.
Ниже приведен пример последствий. Это не простая смена расширения файла и стирание надписи kukaracha информацию вам не вернет. Кстати, kukaracha - реально существующая разновидность шифратора, который был разослан в начале декабря.
Меры предосторожности.
- Самый простой способ: копировать в конце дня свои документы на флэшку или другой съемный носитель(не держать его подключенным постоянно).
-
Способ, встроенный в системы начиная с win VISTA, в winXP такого нет: теневое копирование. Работает не как полное копирование файлов, а как сохранение информации о состоянии файла на определенный момент.
Свойства диска C, или любого другого локального диска, вкладка «предыдущие версии». Тут можно увидеть состояние всех файлов на время указанное в строчке, при желании зайти и скопировать нужный файл. В win 8 и 8.1 этой вкладки нет. В ней намного сложнее достать файл из теневой копии.
Но не все так просто, теневое копирование по умолчанию включено только при установке некоторых программ или обновлений системы. Зачастую при использовании нелегальных копий windows функция отключена.
Для нормальной работы службы требуется вмешательство в процесс теневого копирования, с помощью сторонних программ, которые принудительно создают теневую копию, когда нужно пользователю. Идеальный вариант при входе в систему.
Последние вирусы научились удалять теневые копии. Мера пресечения только одна забрать у пользователь права администратора.
- Копирование файлов при помощи программ предназначенных для резервного копирования файлов по расписанию на съемный носитель или в сетевое размещение, в идеале от имени другого пользователя вашего пк, для того чтобы у вас не было прав на изменение файлов в папке где хранятся копии.
- Установленный антивирус с функцией проверки почты и проверки открываемых ссылок. В бесплатных антивирусах такой функции просто нет. Для примера в Касперском endpoint security есть функция удаления файлов вложений по расширению. Также нужен установленный почтовый клиент(outlook, bat, Thunderbird) чтобы антивирус мог проверять входящую почту. Пока почта используется только через браузер (iexplorer, google, opera., и др) вложения проверяются только при скачивании или даже запуске.
- Повышение грамотности и внимательности персонала при работе в интернете и с почтой.
- Запрет запуска любых исполняемых файлов, не разрешенных системой. Данная функция доступна во всех системах windows pro, в ОС с припиской home (домашняя), для одного языка(win 8 и 10), такой функции нет.
Пример: при попытке запуска такого файла явно не указанного в разрешениях, система нам сообщит о запрете.
У данного способа есть пара недостатков:
- -трудоемкость его внедрения на пк. Занимает от 5 мин до часа(если пк бухгалтера со множеством программ требующих запуска файлов из множества директорий).
- -невозможность установить что-либо на свой пк без ввода пароля администратора(оно же и плюс). Чтобы избежать, можно стандартизировать софт на предприятии, составив список разрешенного к установке софта.
В совокупности с теневым копированием и хорошим антивирусом гарантирует защиту в 99% случаев от множества вирусов.
Интересные факты.
Вирусы иногда распространяются и в обычных документах.
Пример не сохранился, но выглядело это так: в документе написана инструкция, как включить макросы и активное содержимое, появляется ссылка в документе, указывается, что нужно скачать с сайта, на который вы перейдете, и что нужно потом запустить. Лично был свидетелем последствий.
Еще раз повторюсь, в большинстве случаев вирусы рассылают обычные школьники и бездельники, поэтому отсылать деньги, опять же в большинстве случаев, бесполезно.
Раньше вирусы использовали легальные программы для шифрования.
Сумма за расшифровку может быть разной: от пары тысяч рублей до пары тысяч долларов. На моей памяти максимальная сумма выкупа была 2 тысячи евро.
В идеале - указать антивирусу удалять из почты еще и архивы, и просить присылать вам документы в обычном формате.
Если не ждете письма от знакомого, лучше переспросите: «А посылали ли вы мне письмо сейчас?»
Это как со взломом пользователя вконтакте, когда злоумышленник пытается обмануть вас притворившись вашим знакомым.
Антивирус часто не замечает вируса в первые дни рассылки, ввиду того, что в базы он попадает не сразу. Но все же без антивируса плохо.