Атаки вирусов-вымогателей: общий обзор и способы защиты

В последнее время в новостях все чаще и чаще говорят про вирусы-вымогатели. Удивительно даже, что так мало людей на самом деле знают, что это именно за вирусы и что происходит, когда они наносят удар.

В этой статье мы расскажем вам, что нужно сделать, чтобы защититься от этих вирусов, и что делать, если ваш компьютер все же оказался заражен.

Что такое вирусы-вымогатели?

Вирусы-вымогатели представляют собой особый тип вредоносного программного обеспечения, разработанный для вымогания денег у жертв компьютерных атак. При этом вирус как бы берет в заложники сам компьютер жертвы. Большинство программ создано таким образом, что они в состоянии незаметно проникнуть на компьютер и начать медленно зашифровывать пользовательские файлы. Зашифровав все необходимое, вирусы блокируют устройство и выводят на экран сообщение с требованием выкупа. В качестве мотивации пользователю сообщают о том, что если хакеры не увидят денег, то все-все данные на компьютере будут стерты.

У любой системы безопасности есть свои слабые места, и вредоносное ПО старается использовать весь потенциал этих уязвимостей. Поэтому, если уж вы окажетесь в числе пострадавших от вирусов-вымогателей, то вот что вам нужно будет сделать:

Шаг 1: минимизируйте ущерб

Во-первых, изолируйте зараженную систему, особенно если она подключена к вашей локальной сети. Это может предотвратить заражение других подключенных к ней компьютеров.

Если вы — системный администратор, а ваши серверы оказались заражены, то просто вытащите все Ethernet-кабели из портов.

НЕ пытайтесь сделать резервную копию файлов на внешний жесткий диск. Вам может показаться, что скинуть на съемный носитель файлы, которые пока еще не зашифрованы, — это отличная идея. Увы, по факту это лишь поможет вирусу распространиться на другие компьютеры. Вирус вполне может скопировать свои собственные файлы на любой сторонний носитель информации, который вы подключаете к зараженному устройству.

Верно и обратное: если зараженный съемный носитель информации подключить к незараженному устройству, то вирус может заразить еще и эту систему. Может получиться и так, что вы лишь повторно заразите компьютер после того, как всеми правдами и неправдами избавитесь от вируса-вымогателя. Короче говоря, зараженному компьютеру положен строгий карантин.

Шаг 2: определите тип вируса-вымогателя

Есть разные типы вирусов-вымогателей, и некоторые из них представляют собой куда большую опасность, чем прочие. В зависимости от типа и особенностей вирусной атаки вы можете использовать разные способы борьбы с вирусом. Чаще всего встречаются вирусы следующих типов:

  1. Лжеантивирусы
    Лжеантивирусы стараются обмануть пользователя и заставить поверить, что с его компьютером произошло что-то страшное и почти что непоправимое.
    «Почти что непоправимое» означает, что ситуацию можно будет исправить, купив какую-нибудь другую «специальную» программу. При этом с компьютером-то, как правило, все в порядке, а вот покупка дополнительного ПО как раз-таки и заражает компьютер.
    Обычно такие вирусы дают о себе знать, показывая всплывающее окно с сообщением о найденных проблемах (например, вирусе, медленной работе системы или проблемах с реестром ОС), которые срочно-срочно необходимо исправить. Сообщение набрано большим жирным шрифтом, окно показывается по центру экрана — в общем, паника нагоняется старательно. Также «в комплект» может входить ссылка-кликбейт, которая перенаправит пользователя на сайт с вредоносным ПО даже в том случае, если всплывающее окошко просто закрыли. Вот пример такого сообщения:
    Возможно, именно лжеантивирусы проще всего удалить. Просто закройте вкладку браузера, чтобы убрать всплывающее окно. Если же всплывающие окна появляются вне браузера (например, на вашем рабочем столе), что вам нужно запустить «Диспетчер задач» и найти лжеантивирус. Затем вы сможете просто удалить его. Если этим проблема не решится, запустите антивирусную проверку.
  2. Скринлоки
    Вирусы этой категории просто блокируют вам доступ к компьютеру, пока вы не заплатите выкуп. Как правило, скринлоки выводят на экран сообщение от имени местных правоохранительных органов о том, что с этого компьютера будто бы был загружен нелегальным контент. Есть и такие вирусы, которые просто-напросто меняют изображение рабочего стола на какую-нибудь порнографическую картинку, которую нельзя сменить — тут упор делается на попытки пристыдить жертву атаки и заставить ее тем самым платить деньги. Более продвинутые программы в течение нескольких дней собирают на пользователя своего рода досье, а затем показывают ему индивидуализированное сообщение, в которое куда как проще поверить. Пример:
    Если вы подцепили что-то в этом духе, то первым дело надо найти вредоносный процесс через «Диспетчер задач». Для этого нажмите CTRL + ALT + DEL и в появившемся окне найдите процесс вируса, который нужно будет закрыть.
    Когда вы удалите вирус, не помешает провести полную антивирусную проверку вашего устройства, чтобы удалить вирус полностью. Если же эти способы не помогли, вам придется восстанавливать операционную систему из резервной копии. Желательно, разумеется, чтобы эта копия была сделана до момента заражения компьютера.
  3. Вирусы-шифровальщики
    Это последняя и самая опасная категория вирусов-вымогателей. Вирусы-шифровальщики зашифровывают ваши файлы, вынуждая вас тем самым пойти на поводу у хакеров и заплатить выкуп, чтобы расшифровать их обратно. Как правило, такие вирусы незаметно вторгаются в компьютер жертвы и начинают незаметно шифровать все файлы подряд.
    Когда вирус закончит зашифровывать файлы, пользователь увидит сообщение с требованием выкупа. В настоящее время для хакеров нет никаких сложностей в том, чтобы собирать деньги со своих жертв: криптовалюты являются не только надежным, но и, что самое главное, абсолютно анонимным способом оплаты. Вот, к примеру, что увидели жертвы вируса-вымогателя Wannacry:
    Стоит четко представлять себе, как именно работает шифрование файлов — это позволит вам понять, как можно будет расшифровать их обратно.
    Большинство программ используют при запуске комбинацию симметричного и асимметричного шифрования (кликните здесь, чтобы узнать больше про типы шифрования). Симметричное шифрование позволяет хакерам зашифровать файлы быстрее асимметричного. В свою очередь, асимметричное шифрование позволяет хакерам обойтись всего одним приватным ключом. В противном же случае хакерам пришлось бы вести базу данных уникальных симметричных ключей шифрования для всех своих жертв.

Координирующие серверы (C&C) позволяют копиям вируса обмениваться данными. Вирусы-шифровальщики используют симметричное и асимметричное шифрование для проведения компьютерной атаки следующим образом:

  • На сервере хакера с помощью любого из доступных алгоритмов асимметричного шифрования (например, RSA-256) создается пара из приватного и публичного ключей.
  • Хакеры надежно прячут приватный ключ, тогда как публичный встраивается в код вируса-вымогателя.
  • Вирус заражает новую систему и отправляет на координирующий сервер уникальный идентификатор системы или жертвы, а также прочие сведения.
  • Используя один из симметричных алгоритмов шифрования (например, AES), сервер генерирует и отправляет симметричный ключ, созданный специально для соответствующей системы. Симметричный ключ далее зашифровывается с помощью приватного ключа.
  • Вирус-вымогатель использует встроенный публичный ключ, чтобы расшифровать полученный симметричный ключ, и начинает шифровать все файлы жертвы подряд.

Теперь, когда вы знаете, как действуют вирусы-шифровальщики, давайте рассмотрим способы борьбы с ними.

Шаг 3: выбираем метод решения проблемы

Ранее мы рассказали вам методы относительно простого удаления вирусов первых двух категорий.

Увы, избавиться от вирусов-шифровальщиков гораздо сложнее. Во-первых, вам надо определить тип заразившего ваш компьютер вируса. Это может быть не самой простой задачей, ведь новые вирусы появляются чуть ли не каждый день. Впрочем, в большинстве случаев с этим можно справиться, если немного поискать в интернете.

Попробуйте сделать скриншоты сообщения с требованием выкупа, а затем проведите поиск по картинке — возможно, это позволит вам определить тип вируса-вымогателя. Кроме того, всегда можно искать по фразам из текста требования выкупа.

Подумайте, будете ли вы платить выкуп. Конечно, поощрять деньгами хакеров не стоит, однако если ваши данные слишком ценные или важные, чтобы вот так вот просто потерять к ним доступ, то почему бы и нет? Решайте сами, но не платите выкуп, если только это не является абсолютной необходимостью.

Но учтите, что для вас в этой ситуации нет никаких гарантий: вы можете заплатить выкуп, но так и не получить доступ к файлам!

Шаг 4: начинаем действовать

Если вы определили тип вируса-вымогателя, поразившего ваш компьютер, то поищите в сети способы его удаления. Код самого вируса стабильно неэффективен, если можно так выразиться: разработчик может забыть удалить ключ шифрования из программы, которая получает его и шифрует файлы.

И если вирус уже хорошо известен, и если в его коде нашлись уязвимости, то вы наверняка найдете множество руководств о том, как его удалить, на сайтах вроде nomoreransom.org.

Так как многие вирусы-вымогатели просто удаляют оригиналы файлов, зашифровав их копии, то вам может пригодиться программа для восстановления удаленных файлов. Когда вы удаляете файл, вы не удаляете его с диска физически (если только файл не оказывается перезаписан каким-то другим файлом). Как следствие, у вас есть все шансы восстановить свои важные файлы — например, с помощью специальных бесплатных программ.

Если ничего не помогло, то вам пора принимать важное решение: заплатить выкуп или потерять все свои данные. Впрочем, гарантий нет никаких. Любые решения на этот счет следует принимать исключительно на свой страх и риск.

К слову, если в требовании выкупа есть адрес электронной почты, то можно попробовать поторговаться с хакерами. Вы удивитесь, но довольно часто это срабатывает!

Если вы решили, что не будете платить выкуп, то дальше вам нужно будет удалить все данные с вашего компьютера. Да, вы ПОТЕРЯЕТЕ все ваши данные навсегда. Если же у вас есть резервная копия данных на внешнем жестком диске, НИ В КОЕМ СЛУЧАЕ не подключайте диск, пока вы полностью не отформатируете компьютер.

Лучший способ удаления вирусов-вымогателей следующий: нужно отформатировать жесткие диски вашего компьютера (хотя бы тот, где установлена ОС). Если идти на такие меры вы не готовы, то убедитесь, что вирус не поразил загрузочный сектор. Подробнее об этом можно узнать в интернете.

Затем вам нужно обновить ваш антивирус и провести полную глубокую проверку компьютера. Не повредит провести проверку еще и с помощью программы, созданной для поиска и удаления вредоносного ПО. Это позволит вам удалить вирус без следа.

Шаг 5: разбор полетов

Итак, вирус вы удалили. Теперь настало время оглянуться назад и подумать, как же так получилось, что ваш компьютер оказался заражен. Как говорится, лучшее лечение — это профилактика. В данном контексте это утверждение как никогда актуально. Пользователь должен надежно защитить свой компьютер, так, чтобы любой вирус обломал об него зубы.

Будьте бдительны и учитывайте следующее:

  1. Следите за тем, чтобы ваш антивирус использовал самые актуальные базы;
  2. Всегда проверяйте адреса сайтов, на которые вы заходите;
  3. Не запускайте на своем компьютере подозрительные программы. Кряки, кейгены и прочие подобные программы часто оказываются зараженными вирусами.
  4. Не позволяйте подозрительным сайтам запускать исполняемый контент в вашем браузере.
  5. Регулярно обновляйте вашу операционную систему. Вирусы-вымогатели нередко заражают компьютеры через уязвимости старых версий операционных систем, так и не исправленные разработчиками. Хакер, к примеру, может воспользоваться ошибкой в работе модуля Windows RDP, чтобы получить доступ к подключенному к сети компьютеру и запустить на нем вирус.
Помогло? Поделитесь с другими!
Поделиться в Facebook
0
Поделиться в Twitter
0
Поделитесь этим, если думаете, что Google еще не все про вас знает
0