Не теряйте данные! Осторожно: вирусы шифровальщики.

В последнее время мы все чаще сталкиваемся с проблемами потери данных от вирусов шифровальщиков. Особенно актуальна данная статья для офисных сотрудников, чья профессиональная деятельность напрямую связана с работой на компьютере.

Что такое вирус шифровальщик ?

Под шифровальщиком подразумеваются семейство вирусных программ (Trojan. Encoder), которые с помощью различных способов шифрования блокируют доступ к пользовательским данным. Чаще всего антивирусные программы не могут обнаружить данный вирус, так как сам процесс запускает сам пользователь, сам того не зная.

Вирус шифрует популярные типы файлов: привычные нам документы Microsoft Office: Word, Excel; 1С базы, фотографии и тд. После этого предлагается перевести энную сумму денег на указанный электронный кошелек для возврата доступа к данным.

Как защититься от вируса?

1. Не открывайте почтовые вложения от неизвестных отправителей

В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное. Подобные письма чаще всего приходят от неизвестных вам отправителей, но встречаются случаи, когда письмо с вирусом приходит от человека, которого вы знаете! Если вы не ждете от него никаких документов – то при получении подозрительного письма лишний раз свяжитесь и уточните, может быть его почтовый ящик уже взломали.

Примеры писем:

92967230

arbitrage

virus-enigma-01

2. Своевременно обновляйте антивирусные базы, операционную систему и другие программы

3. Регулярно создавайте резервные копий файлов и храните их вне компьютера

Храните резервных копии вне компьютера (например, на внешних жестких дисках, флэшках или в «облачных» хранилищах) и в зашифрованном виде. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники. Позаботьтесь о резервном копировании ваших корпоративных данных!

4. Настройте доступ к общим сетевым папкам и разграничьте права

Если вы используете общие сетевые папки, то нужно создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.

Что делать если заражение произошло?

Если вы открыли подобное письмо и заметили притормаживание компьютера, файлы перестали открываться — нужно немедленно выключить пк и вызвать ИТ специалиста.

Удалить вирус вручную.

  • Обычно они располагаются здесь:

  • APPDATA

ОС Windows NT/2000/XP:

Диск:\Documents and Settings\%UserName%\Application Data\

%USERPROFILE%\Local Settings\Application Data

ОС Windows Vista/7/8:

Диск:\Users\%UserName%\AppData\Roaming\

%USERPROFILE%\AppData\Local

  • TEMP (временный каталог)

%TEMP%\???????.tmp\ (пример: temp\vum35a5.tmp)

%TEMP%\???????.tmp\??\ (пример: temp\7ze5418.tmp\mp)

%TEMP%\???????\ (пример: temp\pcrdd27)

%WINDIR%\Temp

  • Временный каталог Internet Explorer

ОС Windows NT/2000/XP: %USERPROFILE%\Local Settings\Temporary Internet Files\

ОС Windows Vista/7/8:

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\

..\temporary internet files\content.ie5\

..\temporary internet files\content.ie5\????????\ (? — a-z, 0-9)

  • Рабочий стол

%UserProfile%\Desktop\

  • Корзина

Диск:\Recycler\

Диск:\$Recycle.Bin\

Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? — 0-9)

  • Системный каталог

%WinDir%

%SystemRoot%\system32\

  • Каталог документов пользователя

%USERPROFILE%\Мои документы\

%USERPROFILE%\Мои документы\Downloads

  • Каталог для скачивания файлов в веб-браузере

%USERPROFILE%\Downloads

  • Каталог автозагрузки

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Как расшифровать файлы?

Расшифровать самостоятельно подбором “почти” невозможно. (например encoder741 Использует алгоритм шифрования AES-128, на подбор ключа уйдет 107902838054224993544152335601 лет. )

Для некоторых простых вирусов, производители антивирусов выпустили дешифраторы. (https://support.kaspersky.ru/viruses/disinfection?page=2 )

Самый верный способ это «вылечить» компьютер и восстановить данные из резервной копии.