Как защититься от вируса-шифровальщика? Полезные советы до и после проникновения вируса
Уже давно известна такая угроза, как вирусы-шифровальщики, которые стали появляться одновременно с СМС-баннерами и вместе с ними прочно заняли место среди самых вредоносных вирусов-вымогателей. Поэтому стала актуальной задача, как защититься от вируса шифровальщика.
Содержание статьи
- Принцип действия вируса-шифровальщика
- Профилактика, или что нужно делать, чтобы шифровальщик не проник в компьютер?
- Без антивируса — никуда
- Копирование и хранение данных
- Ограничение на запуск потенциально опасных файлов
- Если вирус успел проникнуть
- Что можно и нельзя делать самостоятельно?
- Эффективна ли антивирусная техподдержка?
Принцип действия вируса-шифровальщика
Деньги эта программа вымогает довольно просто: блокирует весь компьютер или часть его файлов, а за снятие блока предлагает оплатить означенную сумму через терминал или посредством СМС на мобильный номер.
Самый простой вариант решения проблемы – заплатить дань за расшифровку файлов. За последние годы шифровальщики изменили свою тактику. Первые каналы их распространения включали:
- порно-сайты;
- варезы;
- массовые спам-рассылки;
- подмену выдачи.
Тогда они были неразборчивы и заражали все компьютеры подряд, в том числе и обычных пользователей. Сейчас же рассылка «писем счастья» стала адресной, делается вручную с почтовых ящиков обычных доменов: gmail, mail.ru и т. д.
А целью их становятся компьютеры юрлиц с их договорами, базами данных и т. д. То есть, из веерных атаки стали целенаправленными.
Профилактика, или что нужно делать, чтобы шифровальщик не проник в компьютер?
Без антивируса — никуда
При выборе способа, как защититься от шифровальщиков файлов, первое, что следует сделать – установить антивирус с работающим обновлением. Правда, с новыми видами шифровальщиков антивирусы справляются плохо, но зато уверенно отлавливают известных. По крайней мере, они могут предотвратить от разгула эпидемии.
Копирование и хранение данных
Важно делать резервное копирование важнейших данных на компьютере.
- Поскольку современные шифровальщики нацелены именно на «деловые» компьютеры, информация на которых крайне важна для функционирования компании, то все важнейшие программы (1С, специфические АРМы, «Налогоплательщик» и т. д.) нужно вывести на обособленный сервис (лучше сделать его терминальным). Ещё же надёжней каждую такую программу поставить на всех физических или виртуальных серверах.
- Неправильно оставлять базу 1С в общем доступе локальной сети, как это делают многие. Если работа с бухгалтерией организована сетевая, где все сотрудники имеют доступ к чтению и записи данных, то ядро программы нужно вынести на терминальный сервер, откуда пользователи будут связываться с ним посредством RDP.
- Если нет средств на серверную ОС, а пользователей мало, то терминальным сервером может послужить Windows XP, с которой нужно снять ограничения на количество одномоментных подключений. Можно заменить её нелицензионным Windows Server.
Работа через RDP с 1С предотвращает заражение баз данных, к тому же она ускоряет работу 1С и уменьшает нагрузку на сеть.
Ограничение на запуск потенциально опасных файлов
Есть ещё один достаточно эффективный способ, как защититься от шифровальщика – поставить ограничения на запуск ряда потенциально опасных видов файлов, имеющих такие расширения, как:
- bat;
- cmd;
- js;
- ps1;
- vba и т. п.
Для этого можно воспользоваться App Locker или централизованно в домене политиками SRP. Подробные руководства, как это сделать, можно найти в интернете. Чаще всего пользователю не приходится использовать указанные выше файлы сценариев, поэтому шифровальщику будет сложнее внедриться.
Отсутствие бэкапов – резервных копирований – является недопустимым ротозейством. Ведь этот приём может спасти информацию не только от вредоносных программ, но и от хакеров, нерадивых сотрудников, даже посыпавшихся жёстких дисков.
Видео о том, как защититься от шифровальщика:
Если вирус успел проникнуть
Несмотря на использование в вирусах-шифровальщиках современных алгоритмов шифрования, мгновенно зашифровать все файлы компьютера они не могут. Процесс идёт последовательно, а его скорость определяется размером шифруемого файла. Поэтому, если при работе наблюдается, что привычные программы и файлы стали некорректно открываться, то необходимо тотчас же выключить компьютер, что убережёт хотя бы часть файлов от шифрования. Выключив систему, нужно обратиться к опытному компьютерщику. В благоприятном случае тело вируса ещё могло сохраниться, и оно помогло бы для расшифровки файлов. Но часто вирус после завершения своей работы отсылает владельцу закрытый ключ и самоликвидируется. Благодаря этому невозможно определить алгоритм осуществлённой шифровки.
Поэтому нельзя удалять письмо с заражённым файлом – его следует отправить в антивирусную лабораторию, но только не открывать повторно.
Что можно и нельзя делать самостоятельно?
Можно делать следующее:
- Обратиться к антивирусной поддержке и получить от неё инструкции или дешифровщик для конкретного вируса.
- Написать заявление в полицию (вряд ли сработает).
- Поискать на форумах рецепты действий пользователей, сталкивавшихся с такой напастью.
- Пытаться расшифровать файлы, перенеся их копию в отдельную папку.
- В 7-й или 8-й версии Windows, кликнув правой клавишей мыши по папке с файлами, можно восстановить их предыдущие версии, предварительно сделав их копии.
Теперь о том, чего делать не следует:
- переустанавливать ОС;
- удалять зашифрованные файлы;
- менять их расширения;
- переименовывать файлы, поскольку их имя важно при последующей расшифровке.
Эффективна ли антивирусная техподдержка?
Ряд производителей антивирусов не рассказывают, как защититься от программ-шифровальщика, а просто предлагают помощь в расшифровке информации. Для этого им следует отправить сам зашифрованный файл, открытый ключ и файл с контактами злоумышленников, используя формы, имеющиеся на сайте автора антивируса. Шанс на то, что на данный вид шифровальщика уже нашли управу и могут помочь расшифровать данные, конечно, есть, хотя и очень небольшой. В целом же, антивирусы довольно вяло помогают в борьбе с шифровальщиками.
Но часто злоумышленники используют сразу несколько алгоритмов шифровки, применяемые многократно, тогда остаётся только платить. Правда, сумма «выкупа» получается немалая – за некоторые файлы требуют до 10 000 рублей, остальные же обходятся намного дешевле (2000 руб.).
Обычно требуемый выкуп обходится дешевле, чем величина ущерба от потери информации или стоимость услуг по расшифровке файлов.
А Вы уже «цепляли» вирусы-шифровальщиков? Как Вы с ними справлялись, платили ли деньги вымогателям? Поделитесь своим опытом в комментариях – спасите других потерпевших!
Комментарии
К сожалению платили, целых 2 раза ((. Но, все 2 раза — благополучно расшифровали файлы. Тех поддержка Dr.Web в таких случаях абсолютно бесполезна. Общая их мысль — спасение утопающих — дело рук самих утопающих.
Главное по всяким сомнительным сайтам не лазить и никаких вирусов не нацепляеш.