Компьютерный вирус-шифровальщик - лечения нет!

Повышенная вирусная опасность! Речь пойдет о так называемом вирусе вымогателе-шифровальщике под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”).


Антивирусы Вам не помогут. Многие популярные антивирусные программы, к сожалению, пропускают данный вирус, как свидетельствуют посетители форумов:
http://forum.kaspersky.com/index.php?showtopic=232546


Проблема в том, что когда Ваш компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Но Вам это уже не поможет. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусним программам необходимо время, чтобы начать распознавать новый тип вируса. И то, они это делают после того, когда уже кто-то заразился и отослал им «тело» вируса для анализа. А отославшему «тело» вируса уже ничего не остается, кроме, как отложить зараженный винчестер в ящик и ждать, когда ключ RSA1024 взломают (а это может случиться через эн...ное количество лет) или найдут уязвимость в нем. Второй вариант: отформатировать винчестер и установить новую систему. А данные ведь потеряны!


Я думаю, Вам уже стоит задуматься: стоит ли рисковать, какова вероятность того, что Ваш компьютер не заразится вирусом-шифровальщиком? Так рассмотрим по-подробнее данный вирус.



«Оповещен - значит вооружен!»


Вирус-шифровальщик проникает на компьютер 3-мя способами:


1 - Через вложение к письму.
В письме он может иметь вид: «акт.doc.....................exe» или «Благодарственное письмо.hta», «Вы видите только акт.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word». Дважды нажав, Вы запускаете программу Акт.doc.....................exe, которая начинает шифровать файлы на Вашем компьютере.


2 - Через файл взломанной программы.
Вы решили скачать программу, за которую не желаете платить деньги, и поэтому в поисковике набрали типа: «программа версия 2.0 взломанная версия скачать». Поисковик выдает Вам целую кучу ссылок, Вы нажимаете на них и в конце концов видите картинку, в которой Вы узнаете нужную вам программу. Вы нажимаете кнопку на сайте «скачать». После того, когда файл закачается на Ваш компьютер, Вы нажимаете на данный файл и ожидаете начала установки данной программы.
Все. Вирус запущен. Началось шифрование Ваших файлов.


3 - Через самораспаковывающийся архив.
Возможно проникновение как через вложение к письму, так и путем скачивания каких- либо неизвестных программ или утилит с непроверенных сайтов.


При попадании на компьютер данный вирус шифрует все файлы.


После того, когда все файлы упакованы, вирус может выдать окно с текстом типа:


«Все файлы на Вашем компьютере зашифрованы, желаете их расшифровать — пишите письмо по адресу ..... и мы вышлем Вам дальнейшие инструкции» или

«Заплатите 150USD на кошелек 2334344454 и перешлите нам на адрес ..... код и время транзакции. После этого мы вышлем Вам программу, которая распакует Ваши файлы».


Или в корне диска C Вы обнаружите файл КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. Внутри данного файла будет текст (приведён реальный пример):


"Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

Напишите нам письмо на адрес ..... чтобы узнать как получить дешифратор и пароль.

Среднее время ответа специалиста 2-10 часов.

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!"


И вся проблема в том, что если Вы даже пойдете на переговоровы с вымогателями, то нет никакой уверенности, что они Вам пришлют программу-расшифровщик.


Мне самому пришлось столкнуться с вирусом-шифровальщиком. У знакомого на компьютере стоял антивирус Avira (бесплатная версия), там же стояла 1С бухгалтерия. После того, как вирус «поработал» на данном компьютере, ничего не осталось. При запуске 1С выдавал ошибку на файл 1cv7.md. На диске D появилась папка 1С_Архив, а внутри десяток файлов с расширением zip, каждый файл по 5 Мб. Все графические файлы, файлы mp3, видео файлы не запускаются - все зашифрованы. При попытке отправить письмо вымогателю для выяснения требований - получили возврат письма с указанием того, что почтовый ящик более не существует.


В общем, это сравнимо с ситуацией из фантастического рассказа, как-будто у Вас есть свой частный дом, но пришел кто-то, обнес этот дом силовым полем и вовнутрь этого дома Вы уже не попадёте. Даже если у Вас есть супер-оружие - Вы только всё разрушите безвозвратно. Если у Вас только нет устройства, которое выключит это силовое поле или, хотя бы, сделает брешь в нем.


Алгоритм шифрования (RSA1024) — RSA 1024 бит, который применяет данный вирус, не взламывается! Точнее, его можно взломать, но для этого надо будет взять в аренду все суперкомпьютеры, которые есть в мире (и неизвестно, сколько десятилетий или столетий они будут пытаться взломать данный ключ). И опять похоже на фантастику. Но математика такова: чтобы взломать RSA длинной 768 бит, т.е. подобрать ключ методом перебора (так называемый brute force), необходимо иметь 1 000 000 USD и 1 год вычислений. В 2008 году кто-то заявлял, что ключ взломан, но до сих пор (2013 год) никто не предоставил доказательства взлома ключа.


Кто желает ознакомиться с тем, возможно ли с помощью полного перебора всех варианов взломать данный алгоритм, советую почитать данную статью: http://cybervlad.net/faq-cle/


С сайта http://virusinfo.info/showthread.php?t=24090:


"Лаборатория Касперского" ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист» http://www.viruslist.com/ru/analysis?pubid=188790045), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.

Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса."


То есть, реальных шансов взломать данный ключ пока нет.



Так что же делать?


Если у Вас на данный момент на жестком диске есть фотографии, видео или другие файлы, которые Вам важны, есть 4 варианта обезопасить себя (свои данные на компьютере) от действий данного вируса.


Во-первых, дублировать личные семейные архивы или другую важную для Вас информацию на компакт дисках. Поверьте, компакт диски стоят дешевле, чем, например, единственная копия свадебных фотографий или видео того, как впервые пошел Ваш ребёнок. Для бухгалтеров - сохранять документы и базы 1С или других бухгалтерских программ на компакт диски.


Во-вторых, хранить все важные вам файлы в «облачных хранилищах».


В-третьих, есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в операционках Windows, начиная с Windows 2000 (подробнее: http://ru.wikipedia.org/wiki/Шифрованная_файловая_система). Имеет смысл попробовать отключить данную службу, может это остановит хотя-бы некоторые из модификаций данного вируса.


В-четвертых, устанавливать Linux. Почему Linux? Потому, что вирусы на Linux очень редкое явление, которое скорее является исключением. Linux намного более защищена, чем другие операционные системы. И данный тип вируса (который рассматривается в данной статье) не распостраняется на Linux.


О вирусах на Linux:
http://otvety.google.ru/otvety/thread?tid=43ad65304b711d76
http://ubuntu-repository.blogspot.com/2011/02/linux.html

на украинском:
http://uk.wikipedia.org/wiki/Список_комп%27ютерних_вірусів_та_хробаків_під_Linux

на русском:
http://ru.wikipedia.org/wiki/Вредоносные_программы_для_Unix-подобных_систем


Подробнее читайте о Linux в разделе "Бесплатные программы", читать...



Никогда не храните важные данные на винчестере
    и флешках!


Флешки могут элементарно "умереть" от того, что человек вытянул её в то время, когда на неё записывались или считывались данные.


Это также касается надежности винчестеров, они ломаются и восстановление данных на них стоит очень дорого. Причины поломки: сбой по питанию (не выдержал блок питания компьютера), перегрев (чаще встречается на ноутбуках), падение или удар, или просто износ, или конструктивный брак. Например: если у Вас есть винчестер на 1 терабайт и, не дай бог, сгорит контроллер винчестера (это небольшая платка, которая прикреплена к винчестеру), тогда для того, чтобы восстановить данные с данного устройства Вам придется выложить от 100 до 250 USD. Вы за эти деньги можете купить 1 или 2 таких же винчестера. Но информация стоит дороже!


Удачи!

Комментарии   

+2 # Альберт 20.08.2014 07:47
У меня вчера такое случилось, сначала рвал и метал, антивирь есед увидел вирус и изолировал, но он все равно успел все зашифровать. Сегодня нашел елементарное решение восстановил все 100%. Если у вас включено восстановление системы (по умолчанию на всех компах включено) просто берете кликаете правой кнопкой мышки на папку, в меню "восстановить прежнюю версию", нажимаем, выбираем самую свежую до происшествия и вуаля - ВСЕ! заходим в восстановленную папку и видим восстановленные файлы и поврежденные, поврежденные можно удалить, можно оставить на память. Но такое работает только с папками, отдельно с файлами не работает, вирус трет их историю.
Ответить | Ответить с цитатой | Цитировать
+4 # Администратор Gist 20.08.2014 12:12
Данный способ может подойти только для восстановления системных файлов, по которым создаются контрольные точки. Либо для некоторых небольших файлов (документов, картинок).

Нужно понимать, что если у Вас фотографий и видео на 50 Gb, а раздел диска 100 Gb, при этом у Вас показано свободным 40 Gb, то Вы не сможете восстановить фото и видео из этих 50 Gb. Только некоторые файлы. Причина кроется в том, что хранить 2 экземпляра одних и тех же данных система не будет.

Например, у Вас есть видео дня рождения. Оно занимает 16 Gb. Для того, чтобы хранить копию данного файла понадобится тех же 16 Gb.

В настройках восстановления системы задан максимальный объем, который может быть задействован для данной функции (обычно это 10% свободного места на диске). Т.е. если у Вас свободно 30 Gb, то восстановить Вы сможете максимум 3 Gb информации.
Ответить | Ответить с цитатой | Цитировать
+1 # Андрей 19.08.2015 09:59
А я, глупый-то? думал, что операция "восстановление виндовс" никогда не затрагивает документы пользователя!! :oops:
Видимо у Альберта какая-то супер версия.. :eek:
Ответить | Ответить с цитатой | Цитировать
+1 # Дмитрий 12.10.2015 08:29
Скорее всего имелась ввиду "Архивация", а не "Восстановление системы". И по-умолчанию после установки системы она включена, но не настроена. А в ненастроенном виде, что логично, она не работает.
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 16.07.2017 11:29
:D Сейчас выкупили этот недочет и вирусняки трут все и архивы и точки восстановление системы и теневое копирование тома тем самым оставляя вам только полный голяк , то что ты восстановил это вирусняк у тебя слабый попался так что ТОЛЬКО БЭКАПЫ на отдельном диске и никак больше , а остальное все пустая трата времени и нервов .
Ответить | Ответить с цитатой | Цитировать
-5 # Vovic43 02.02.2015 08:23
Я нашел только одно решение, написал и получил программу и дешифровал данные, и все удачно! А не Kaspersky, и dr.web помогать не хотят!
Ответить | Ответить с цитатой | Цитировать
+1 # Alek2012 06.02.2015 10:27
Vovic43, каким способом решил?
Ответить | Ответить с цитатой | Цитировать
+1 # Капитан Очевидность 17.03.2015 12:48
Что не ясно в посте. Оно тупо заплатил. ;-)
Ответить | Ответить с цитатой | Цитировать
+3 # NikbItkA 03.03.2015 15:44
Дешифровщик в студию! Думаю нам всем интересно было бы посмотреть :-)
Ответить | Ответить с цитатой | Цитировать
+1 # Pavel 26.03.2015 08:23
Цитирую Vovic43:
Я нашел только одно решение, написал и получил программу и дешифровал данные, и все удачно! А не Kaspersky, и dr.web помогать не хотят!

вы конечно извените, но вот именно из-за таких муда....... короче именно из-за таких как вы люди и страдают, если у вас настолько важные данные что нет денег купит болванку, что-бы записать туда всю инфу? пока такие как вы платите вымогателям вирусы подобного рода будут только совершенствоват ься, забирать нужно компы у таких как вы!!!!!!
Ответить | Ответить с цитатой | Цитировать
0 # КапитанОчевидность 17.03.2015 12:48
он тупо заплатил
Ответить | Ответить с цитатой | Цитировать
+1 # Аноним 16.05.2015 08:45
Линукс здесь не поможет, только бэкапы.
Ответить | Ответить с цитатой | Цитировать
0 # Максим 10.06.2015 18:28
Доброго времени суток! Поймал шифратор + банер во весь рабочий стол. Есть на примете утелиты удаляющие эту хрень? Что нибудь проще в обращении, сам с техникой на ВЫ. Спасибо
Ответить | Ответить с цитатой | Цитировать
+2 # забадаю 15.10.2015 12:05
у меня съёмный диск на 500 гигов почти всё вирус покрыл
мне пофиг на диск НО там у меня видео это память о ПАПЕ (умер недавно
как можно видео востановить ??????????????
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 16:48
Пробуй подключить диск к системнику и вставь в дисковод диск с системой Windows Live ( Виртуальная система называется ) , загрузи систему , зайди оттуда в этот диск ( всеравно чем , программой или с системы ) и вытащи все что не побито вирусом на флешку , только смотри не пропусти вирусы на флешку
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 16:54
К стати эти системы ( висячки ) очень полезны для отладки основной системы и работы в интернете :-* :-*
Ответить | Ответить с цитатой | Цитировать
0 # Николай 31.12.2015 12:33
На этом сайте вам помогут http://virusinfo.info/ вот еще и темы http://virusinfo.info/showthread.php?t=195204&p=1346643#post1346643
http://virusinfo.info/showthread.php?t=194830
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 13:26
:D Не парьтесь купите HDD и делайте архивы и пусть лежит до лучших времен это самый альтернативный способ , я сделал и пофигу ваши вирусы
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 13:38
8) Очень важно : При непонятной активности , зависание , торможение системы , полной нагрузке системы сразу нажимайте сброс на компе , у меня в ходе такой операции вирус не успел зашифровать все файлы , вовремя сбросил и при повторном включении вирус деактивировался , возможно это помогло при моей модификации вируса но можно запустить в безопасном режиме и попробовать обнаружить вирус , делитесь своими способами это полезно при дальнейшей борьбе с этой годостью
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 17:00
:roll: :roll: Ну думаю понятно , :eek: если удалось спасти хоть что нибудь , то можно подключать к другой системе и вытаскивать все что уцелело и больше не качайте что попало :oops:
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 17:03
Цитирую Аноним:
Линукс здесь не поможет, только бэкапы.
( ТОЛЬКО БЕКАПЫ ! )
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 17:14
;-) Если файлов не так много можете заархивировать и записать на Blu-ray 23,3 ГиБ (25 ГБ) диск :lol:
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 14.02.2016 17:20
:cry: :cry: Вот пример заражения https://www.youtube.com/watch?v=GVbUgCR6R6o
:eek: :eek:
Ответить | Ответить с цитатой | Цитировать
0 # Дима 13.04.2016 23:35
Мне со знакомого адреса пришло письмо с вложенным архивом. Убилось все на ноуте. Все, все файлы. Причем никто не просил денег за расшифровку, даже не предлагали писать. Попробовал сделать откат, и машина прекратила запускаться вообще, Ни в безопасном режиме, ни в обычном. Пришел сисадмин и переустановил систему. Вызвал коллегу, спеца по этим вирусам, тот сказал, что вся инфа восстановлению не подлежит вообще. И рассказал, что все его коллеги, которые с этой пакостью сталкивались, уверены, что пишут вирусы эти служащие Лаборатории Касперского, или других аналогичных контор. Клиентов себе создают. Не знаю, так или нет, но потерял я очень много дорогого для души. Предложили бы расшифровщик, купил бы за любую сумму.
Ответить | Ответить с цитатой | Цитировать
+1 # Администратор Gist 14.05.2017 14:30
WannaCry 2.0
Как защититься:
1. Ставим патч MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx от Microsoft.
2. Заходим на сайт http://porttest.net и тестируем порты 445 и 135. Они должны быть закрыты.
3. Обновляем базы антивируса и запускаем полную проверку на вирусы.

И главное, храним важные данные на DVD или на Blue-Ray дисках.
Ответить | Ответить с цитатой | Цитировать
0 # alex 02.07.2017 05:37
И главное, храним важные данные на DVD или на Blue-Ray дисках.
RE: не факт, а заодно і всі віруси! :cry:
Ответить | Ответить с цитатой | Цитировать
0 # Игорь 20.07.2017 16:35
alex волков , бояться в лес не ходить
ну че вы тогда здесь плачитесь если у вас не факт , а голова у вас зачем , есть в нее , или вы делаете архив после заражения , не тупите и не пишите херню
Ответить | Ответить с цитатой | Цитировать

Добавить комментарий


Защитный код
Обновить