Share on VK     Share on OK    Share on OK     Share on Facebook    Share on Google+    Tweet about this on Twitter    Email this to someone    Share on Print  



Если ваш компьютер заражен вирусом шифровальщиком и вам необходимо устранить последствия заражения или произвести переустановку Windows (это позволит полностью удалить вирус шифровальщик на вашем компьютере.)
Наши компьютерные мастера могут помочь вам в этом и попытаются восстановить зашифрованные файлы.
Звоните: 8 (904) 679-75-38

    Вирусы-шифровальщики, или по другому их еще называют - криптографические вирусы - особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом "шифрование"? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.
    В этой статье хочу поделиться своим опытом, пусть он и горький, но уверен пригодится многим.
Буквально на днях имел неосторожность "подцепить очень интересный вирус".
 
    Такие вирусы называют шифровщиками или шифровальщиками, в среде аналитиков часто называют Encoder'ы Антивирус NOD32 зовёт его MSIL/Injector.IPX или что-то в этом роде.
Но суть не в этом.
Суть в том, что этот вирус, подло и без спроса, начинает шифровать документы на вашем компьютере.
Это файлы в форматах .jpg, .txt, .rtf, .doc, .xls, .zip
В общем все форматы в которых чаще всего хранятся важные документы. Да, и в том числе даже базы 1С (владельцы инет-магазинов тоже могут влететь).
Шифрует он специальным алгоритмом, и заодно переименовывает файл во что-то типа: README.txt. id-3927282397_support@recovery.cab
    Для расшифровки нужен специальный дешифратор, найти который не всегда просто.
В итоге папки на моём компьютере стали выглядеть примерно таким образом.
 

 
А раньше это были фотографии.
В общем их не открыть, не расшифровать, не переименовать просто так нельзя.

Как поймать себе такого же вирика?
Это очень просто.

Способ №1.

Например, вам или вашим сотрудникам приходит письмо с темой: "Уведомление от налоговой" или "Письмо от судебных приставов" или что то в этом духе.
В письме есть вложение, открыв которое запускается вирус.

Способ №2.

Вам приходит письмо на почту или сообщение в социальных сетях, типа: "Олег, привет, слушай я тут нашёл классную вещь, посмотри-ка: ссылка куда-то"
После перехода по ссылке вирус пробирается на ваш компьютер.

Способ №3.

Вы решили скачать какой-нибудь файлик с неизвестного сайта или трекера.
Распаковав его, запускается вирус.

    И что примечательно, практически ни один антивирус не может его остановить. Надеюсь, это временно.
Потому что посмотрев форумы по безопасности, встречаются пользователи и Dr.Web, и NOD32 и Касперского и т.д. Кстати, бесплатные антивирусы даже не могут удалить такие вирусы-шифраторы.
В моём случае, вирус попал 2-ым способом.
Пришло письмо от подписчика, с просьбой посмотреть какие-то опционы.
Сам я критично отношусь ко всяким опционам, лохотронам и подобным вещам.
Но чёрт дёрнул меня посмотреть и открыть ссылку, я естественно от подписчика не ожидал такого подвоха...
Но как я понял, скорее всего его почту взломали и просто рассылали спам.
Потому что с этим человеком мы часто вели переписку.

Что делать, если вирус-шифровальщик попал на ваш компьютер?

Определить его работу, в принципе не сложно.
У компьютера сразу появляются тормоза, страницы загружаются очень медленно, если на рабочем столе есть какие то документы, то они станут переименовываться.
Если у вас подключено облачное хранилище файлов, типа Яндекс.Диска, то первым признаком может стать начало внезапной синхронизации.
Так было и у меня. Поэтому и вызвало недоумение...
Вроде ничего не сохранял, а синхронизация началась.
Если такие признаки обнаружены, то первым делом вырубайте интернет (кабель или Wi-Fi)
После этого быстро выключайте или перезагружайте компьютер.
Это поможет сохранить хотя бы какие-то файлы.
При включении компьютера заново, возможно будет какое-то системное сообщение, типа чем открыть файл EA.tmp
Вам нужно отменить его открытие.
После этого сразу запускайте сканирование антивирусом.
При нахождении угроз, не удаляйте их, а поместите в карантин (Очистить / Изолировать)
 
Чего делать нельзя?

Эти рекомендации дают антивирусные лаборатории:
• нельзя изменять расширение закодированных файлов
• удалять закодированные файлы и самостоятельно лечить их антивирусом
• очищать кеш браузера и папки с временными файлами
• переустанавливать операционную систему
• самостоятельно использовать дешифраторы с форумов
• платить злоумышленникам (не факт, что они пришлют дешифратор)
 
Куда обращаться?

    Первым делом нужно написать в техническую поддержку разработчиков вашего антивируса.
Там вам должны сказать что делать дальше. По крайней мере в NOD32 и Dr.Web точно скажут.
Им нужно будет прислать зашифрованные файлы, тело вируса и реестр, как это сделать вам расскажут в техподдержке.
    Также желательно написать заявление в полицию, потому что это преступление.
Но в этом случае ваш компьютер могут изъять на какое то время, для анализа.
Тут дело ваше (фрилансеры конечно, вряд ли согласятся на это).
 
Как обезопасить себя?

    Самое первое и самое важное - это регулярно производить резервное копирование данных с вашего компьютера.
    Дело даже НЕ в том что можно подхватить вирус шифровальщик, и он уничтожит всю вашу информацию.
Дело в том, что современные жёсткие диски живут не очень долго.
2-3 года и им может прийти кирдык. И все важные данные, фотографии, документы, базы 1С, отчёты и т.д., могут потеряться в один миг.
Резервное копирование процесс немного замороченный, но лучше потратить пару часов на решении этого вопроса, чем потом потерять дни, месяцы и даже годы своей работы.
Как правильно делать резервное копирование вы можете посмотреть у моего коллеги, он посвятил этому много времени:
    Резервное копирование: как за 15-20 минут восстановить Windows
И второе - не переходите по ссылкам в письмах от незнакомых адресатов, и в письмах со странным содержанием.
    Не открывайте вложения в письмах, особенно всякие уведомления от налоговых инспекций, прокуратур и т.д.
Они не присылают письма по электронной почте, они шлют обычной почтой. Даже отдел "К" МВД РФ.
К тому же в письме можно посмотреть адрес отправителя и сравнить его с реальным адресом той службы от которой якобы пришло письмо.

Чем всё закончилось...

Сейчас лаборатория NOD32 работает над созданием дешифратора, сколько времени на это уйдёт и будет ли результат - я не знаю.
В моём случае потери не велики, т.к. я делал частичное резервное копирование, но всё же некоторые файлы, которые для меня имеют значение, были повреждены.
Я конечно, мог бы махнуть на них рукой, но немного жалко.
Поэтому придётся ждать дешифратор.
Об итогах напишу...
 



Желаю вам успехов! Не попадайтесь, будьте бдительны.
Предупреждён - значит вооружён!
 
 
 Возможно Вам будет интересно: 



Компьютерная помощь на дому в Елабуге

      Срочная компьютерная помощь в Елабуге

Телефон   8 904 679 75 38 |   Вызов мастера 

 

Прием заявок по телефону: Ежедневно с 8:00 до 20:00  |  Через онлайн-форму: Круглосуточно




Яндекс.Метрика
Рейтинг@Mail.ru