Вирусы шифровальщики. Trojan.Encoder.
В последний год активизировались вирусы-шифровальщики. Давайте разберёмся, как от них защититься и что делать, если ваши файлы были зашифрованы.
Что такое вирус-шифровальщик (Trojan.Encoder)?
Вирусы, которые шифруют информацию, находящуюся на компьютере, после чего вы уже не можете открыть свои файлы, называются шифровальщиками. Чаще всего имена файлов изменяются на случайный набор символов или в конец имени файла дописывается одно или несколько расширений, например РеальноеИмяФайла.xtbt. Схема работа данного класса вирусов достаточно проста: после запуска приложения вируса, он шифрует файлы ключом RCA, после чего удаляет себя, оставляя сообщение на экране или в корне дисков с требованием перевести определённую сумму на счёт злоумышленника, чтобы получить дешифратор и расшифровать свои файлы.
Пути распространения.
Шифровальщики распространяются только через электронную почту или (очень редко) через веб-сайты. Через флешки, документы и другие источники ими заразиться нельзя. Чаще всего на электронную почту приходит письмо якобы от судебных приставов, во вложении которого находиться вирус под именем исполнительное производство № такой-то.
Как избежать заражения?
Чтобы избежать заражения не следует открывать письма от неизвестных вам источников, а так же проверять соответствие адреса отправителя. То есть, если счета за телефон всегда приходили вам с одного адреса, а вы получили письмо с темой "услуги связи" с другого, не стоит открывать данное письмо, узнайте сначала у своего оператора, меняли ли они адрес электронной почты для рассылок.
Что делать, если файлы уже зашифрованы?
Главное, что нужно сделать - скопировать несколько зашифрованных файлов на флешку или другой внешний носитель и выключить компьютер. Нельзя пользоваться жёстким диском с зашифрованной информацией. После этого есть три возможных решения:
1. Найти дешифратор. Есть несколько вируов-шифровальщиков, к которым уже найден ключ шифрования и изготовлены дешифраторы. Вы можете обратиться на форумы ESET, Kaspersky, Dr. Web, приложить образцы зашифрованных файлов и получить ответ - есть ли для этого вируса лекарство.
2. Попытаться восстановить файлы. Вы можете отдать диск на восстановление нашим специалистам, возможно удастся восстановить дешифрованные копии файлов. Во время работы шифровальщика он считывает незашифрованные файлы, шифрует их, и записывает шифрованные копии на свободное место жёсткого диска, после чего удаляет оригиналы файлов. Вполне реально восстановить по-крайней мере часть оригиналов файлов при помощи программно-аппаратных средств восстановления информации.
3. Заплатить злоумышленникам. Если предыдущие два варианта не помогли, можно попробовать выполнить требование вымогателей и перевести нужную сумму. Судя по отзывам в интернете процент получивших дешифратор после оплаты - около 50%. Один к одному - решать вам.
Будьте внимательней работая с электронной почтой и доверяйте лечение ваших компьютеров профессионалам. До новых встреч.