В последнее время участились случаи распространения и заражения компьютеров так называемым вирусом-шифровальщиком, целью которых является получение злоумышленниками выкупа за восстановление зашифрованной информации. Заражение этим вирусом грозит фатальными последствиями для всех данных находящихся на зараженном компьютере, а также для данных доступных ему по сети. К сожалению, в большинстве случаев восстановить информацию будет невозможно.
Что такое вирус-шифровальщик?
Это определенный класс вирусов, которые при попадании на компьютер приступают к шифрованию определенных типов файлов, которые могут хранить важную информацию. К таким файлам относятся текстовые файлы, таблицы, базы данных 1с, изображения, pdf-файлы и архивы. Сначала шифрованию подвергается данные на жестких дисках, потом вирус пытается зашифровать файлы доступные по сети. Далее им выполняется алгоритм полного удаления данных, исключающий возможность восстановить данные с помощью специальных программ восстановления информации. После всех этих операций вирус оставляет на рабочем столе информацию о том, что ваши данные были зашифрованы, предложением оплатить покупку дешифратора и контактами злоумышленников.
Как избежать заражения вирусом шифровальщиком и обезопасить ваши данные?
- Использовать антивирусную защиту с последними антивирусными базами. Это не даёт 100% защиту, т.к. антивирусные базы не всегда успевают за новыми модификациями вируса.
- С осторожностью относится к приложенным файлам и ссылкам, которые присылают вам на Электронную почту. Злоумышленники старательно готовят письма с вирусом, пытаясь ввести в заблуждение пользователя и используя такие темы как «уведомление из налоговой», «акты и договоры», «информация о покупках» и т. д.
- Выполнять правильное резервное копирование. Вирус шифровальщик также может зашифровать и ваши резервные копии, поэтому резервное копирование должно быть правильным. Резервные копии должны быть изолированы от действий вируса.
Как видите полностью застраховаться от заражения вирусом нельзя. Антивирусные базы не успевают за вирусами, а пользователя в большинстве случаев можно убедить открыть файл или ссылку используя социальную инженерию. Только грамотное резервное копирование способно снизить последствия заражения.
Что делать если ваш компьютер был заражен?
- Если вы обнаружили что некоторые или все служебные файлы на вашем компьютере перестали открываться, то необходимо немедленно выключить компьютер. Причем выключить немедленно прям из розетки не теряя времени, т.к. на шифрование файлов нужно время с каждой секундой шифруются все новые файлы.
- Предупредить остальных сотрудников о возможном заражении, и рекомендовать не открывать никакие ссылки и файлы на почте. В идеале лучше всего выключить все компьютеры, т.к. вирус возможно запустили и другие пользователи.
- Вызвать квалифицированного специалиста, который должен в первую очередь попытаться извлечь незашифрованные данные, не запуская зараженный компьютер.
К сожалению, в большинстве случаев заражения с которыми нам приходилось сталкиваться данные было уже не спасти. Во многих организациях, которые мы не обслуживаем, антивирусная защита давно устарела, резервного копирования не было в принципе и дожидаясь специалиста зараженный компьютер был по-прежнему включен. В этих случаях последним и нежелательным способом восстановить данные было обращение к злоумышленникам и покупка дешифратора. В некоторых случаях дешифратор был получен, в других деньги были потрачены впустую. Суммы выкупа данных начинаются от 10 000р. до заоблачных сумм, когда злоумышленники понимают, что зашифрована база 1С и необходимые для работы организации файлы. К тому же в этом случае гарантий со стороны злоумышленников никаких, а также нередки случаи вымогательства, когда после первой выплаты требуется вторая, третья и т.д.
