Апрель 2015 — Компьютеры за чашкой кофе

17 апреля 2015

Вирусы шифровальщики. Trojan.Encoder.

В последний год активизировались вирусы-шифровальщики. Давайте разберёмся, как от них защититься и что делать, если ваши файлы были зашифрованы.

Что такое вирус-шифровальщик (Trojan.Encoder)?
Вирусы, которые шифруют информацию, находящуюся на компьютере, после чего вы уже не можете открыть свои файлы, называются шифровальщиками. Чаще всего имена файлов изменяются на случайный набор символов или в конец имени файла дописывается одно или несколько расширений, например РеальноеИмяФайла.xtbt. Схема работа данного класса вирусов достаточно проста: после запуска приложения вируса, он шифрует файлы ключом RCA, после чего удаляет себя, оставляя сообщение на экране или в корне дисков с требованием перевести определённую сумму на счёт злоумышленника, чтобы получить дешифратор и расшифровать свои файлы.

Пути распространения.
Шифровальщики распространяются только через электронную почту или (очень редко) через веб-сайты. Через флешки, документы и другие источники ими заразиться нельзя. Чаще всего на электронную почту приходит письмо якобы от судебных приставов, во вложении которого находиться вирус под именем исполнительное производство № такой-то.

Как избежать заражения?
Чтобы избежать заражения не следует открывать письма от неизвестных вам источников, а так же проверять соответствие адреса отправителя. То есть, если счета за телефон всегда приходили вам с одного адреса, а вы получили письмо с темой "услуги связи" с другого, не стоит открывать данное письмо, узнайте сначала у своего оператора, меняли ли они адрес электронной почты для рассылок.

Что делать, если файлы уже зашифрованы?
Главное, что нужно сделать - скопировать несколько зашифрованных файлов на флешку или другой внешний носитель и выключить компьютер. Нельзя пользоваться жёстким диском с зашифрованной информацией. После этого есть три возможных решения:

1. Найти дешифратор. Есть несколько вируов-шифровальщиков, к которым уже найден ключ шифрования и изготовлены дешифраторы. Вы можете обратиться на форумы ESET, Kaspersky, Dr. Web, приложить образцы зашифрованных файлов и получить ответ - есть ли для этого вируса лекарство.

2. Попытаться восстановить файлы. Вы можете отдать диск на восстановление нашим специалистам, возможно удастся восстановить дешифрованные копии файлов. Во время работы шифровальщика он считывает незашифрованные файлы, шифрует их, и записывает шифрованные копии на свободное место жёсткого диска, после чего удаляет оригиналы файлов. Вполне реально восстановить по-крайней мере часть оригиналов файлов при помощи программно-аппаратных средств восстановления информации.

3. Заплатить злоумышленникам. Если предыдущие два варианта не помогли, можно попробовать выполнить требование вымогателей и перевести нужную сумму. Судя по отзывам в интернете процент получивших дешифратор после оплаты - около 50%. Один к одному - решать вам.


Будьте внимательней работая с электронной почтой и доверяйте лечение ваших компьютеров профессионалам. До новых встреч.

16 апреля 2015

Рекламные вирусы. Как защититься?

На сегодняшний день приходится всё реже сталкиваться с классическими вирусами, которые портили системные файлы, скрывали нужную информацию, блокировали интернет и пр. Современные вирусы создаются не для хулиганства или кибер-атак, а для прямого обогащения их создателей.
Сегодня мы поговорим о самом распространённом типе вирусов - вирусы, показывающие вам рекламные сообщения.

Пути распространения.
Все рекламные вирусы устанавливаются через интернет:
1. При заходе на сайт вам выдаётся запрос на установку ПО, если вы его принимаете, устанавливается приложение, распространяющее рекламу. Оно видно в установленных программах и легко удаляется через диспетчер установки\удалении программ.
2. Рекламное ПО может устанавливаться вместе с другой, нужной вам, программой. Внимательно проверяйте диалоговые окна инсталлятора на предмет предложений по установке дополнительного ПО. Обычно они представляют из себя «галочки», которые нужно снять.
3. Так же участились случаи установки расширений к браузеру или полноценного рекламного ПО без всяких запросов при заходе на сайты порнографического характера, а так же на сайты с пиратским контентом. В 95% случаев через браузер Google Chrome, а так же через браузеры, построенные на его движке (Амиго, Yandex.Браузер и пр.).

Где на компьютере "прячутся" рекламные программы?
Мест много:
1. Диспетчер установки\удаления программ. Многие рекламные вирусы можно удалить, просто зайдя в удаление программ и найдя там ПО, установленной недавно.
2. Расширения браузеров. Зайдите в список расширений и удалите все незнакомые вам.
3. Элементы автозагрузки. Зайдите в msconfig (для ОС Windows 7 или более старые) или диспетчер приложений и отмените автозагрузку всех незнакомых вам приложений.
4. Системные службы. Откройте "Управление компьютером" и в списке служб отключите все, подозрительные службы. Подсказка: пока нет не одного вируса, служба которого названа по-русски.
5. Проверьте свойства ярлыков браузеров, многие вирусы дописывают в них свой сайт, чтобы при клике по браузеру открывался именно он вместо вашей домашней страницы, а иногда и вовсе заменяют путь к исполняемому файлу браузера на .bat файл, запускающий тело вируса.
Хочется отметит, что это не полный список мест обнаружения рекламного ПО, а так же не всегда получается удалить его стандартными служебными средствами.

Что делать и как обезопасить себя?
Прежде всего стоит знать, что ни один антивирус или сетевой экран не может полностью защитить вас от рекламного ПО, так как классифицировать его как вирус очень сложно. Лидеры рынка — ESET и Лаборатория Касперского обеспечивают степень обнаружения в районе 50-60%, а о бесплатных антивирусах не стоит и говорить. Поэтому вся работа по вашей защите ложится на ваши плечи.
По факту единственная защита - это быть аккуратнее в интернете, не переходить по рекламным ссылкам на незнакомых сайтах, а лучше вообще посещать только крупные, проверенные сайты (благо их сейчас в достатке по всем направленностям). Например, если вам нужно скачать какую-то программу, найдите официальный сайт и скачайте её оттуда, что даст гарантию отсутствия вредоносного ПО, а вот запрос в поисковике "скачать программу бесплатно" с большой вероятностью приведёт вас на непроверенный сайт, содержащий рекламу.
Так же хочется заметить, что компьютеры, на которых установлено новейшее ПО (последняя редакция Windows и свежая версия браузера), ОС которых лицензионная и получает обновления безопасности, меньше подвержены любым угрозам, в том числе и рекламным.

Подводя итог хочется сказать, что для избавления от рекламного ПО не стоит использовать утилиты, распространяемые по интернету (как это не парадоксально, но в большинстве случаев это всё то же рекламное ПО), а обращаться к профессионалам (исключение из правил составляет отличная утилита adwcleaner by xplode, советую к ознакомлению). Спасибо за внимание и до новых встреч.