Darth_QWE
мозгов уж немало сквозь пальцы мои утекло...
А начну я, пожалуй, с того, как приятно окунуться снова в мир компьютеров, программ и глюков. За весь период своего первого декретного отпуска я действительно скучала по всему этому механическому миру, где все должно быть четко и логично, но чаще всего бывает «работает и ладно, а как — не важно». И соскучилась по пользователям, резко нуждающимся в помощи и благодарными за решение их «большой» проблемы в пару кликов мыши. Орущие, кричащие и наглые не в счет.

Самым неприятным в моей работе была и остается дорога до неё. Пешком ходить интереснее и веселее, только сейчас некогда. А по утрам уж и подавно, так что стою я в автобусе каждое утро либо в заторе, либо в пробке. В тот день, с которого началось моё знакомство с вирусом трояном-шифровальщиком, я застряла в пробке. Из-за достаточно быстрого потепления, талые воды массово вылились на проезжую часть в узком перешейке улицы Советской, создав получасовой затор на дороге. Так что прибыла я на работу с опозданием и только собралась попить чаю, прибегает девушка из бухгалтерии с новостью, что доблестный Nod32 обнаружил на двух компьютерах троян. Отправилась я разбираться. Ну, вирус как вирус, все вроде бы найдено и удалено. Остались только подозрительные файлы с расширением.better_call_saul. Впрограмме 1С говорят что-то не то. Главный бухгалтер уже связалась с фирмой, сопровождающей данный программный продукт. И вот тут началось: оказалось, эта зараза зашифровывает все файлы на компьютере пользователя, базы 1С, через подключенные сетевые диски попадает на сервер и зашифровывает файлы уже там, на сервере. Первое, что мы сделали — отключили всех клиентов, подняли бекапы и стали проверять сервер на наличие вредоносных программ.

А теперь немного теории. Расскажу все своими словами, как я понимаю механизм работы данногозловреда. Появились трояны-шифровальщики аж в 2013 году, но сравнительно недавно массово попали в Россию. Как и сменили тип шифрования с простого на «защищенный RSA». Грубо говоря, стандартное шифрование с открытым ключом и максимально длинным сложным. Перерыв несколько статей по данному типу заражения, я сделала вывод, что данные зашифровываются с одним закрытым ключом, а уникальный подбирается только для последнего то ли 1 байта, то ли 10 байт, или только этот хвост шифруется, а большая часть файла остается неизменной. Не помню уже точно, а сейчас лень искать. За счет этого механизма как раз и достигается высокая скорость шифрования. Но без знания последнего сам файл восстановить в первоначальном виде невозможно, картинки будут повреждены, видео не воспроизведется, а документы перестанут распознаваться. И зашифровываются все возможные файлы, кроме стандартных и системных.

Подхватить этот вирус проще всего в электронной почте. Приходит, казалось бы, совершенно обычное письмо с вложением. Во вложении архив, внутри скрипт, который пользователь ненамеренно запускает. Далее по анонимной системе Torскачивается либо сам вирус-шифровальщик, либо закрытый ключ для шифрования файлов, либо, если доступ к этой сети закрыт, подбирается ключ из уже вшитых в сам скрипт. И начинается «веселье», то есть шифрование. Когда работа завершена, то создаются файлы от Readme1.txt до Readme10.txt, в которых разъясняется способ связи со злоумышленниками. Может также смениться картинка на рабочем столе. Сам вирус, как мне показалось, особо не скрывается, сидит себе во временных папках системы и зашифровывает новые файлы, попадающие на компьютер.

Обнаружить и удалить его, как мне показалось, не очень сложно. Вся проблема в том, что на компьютере остается все зашифрованным, с этим уже придется помучиться.

Кстати, забыла еще упомянуть о путях распространения. Про письма-то я писала выше, сама открывала такие, из любопытства, правда. И названия-то адекватные, типа: «Платежное поручение. Срочно», «Документы для ознакомления», «Договора на правку» и т. д. Я архив-то открыла, смотрю, там нечто с расширением.wcf (встречала также и.exe, и.pif), и закрыла. Хорошо, что мышь не страдает двойным кликом, а то бы запустила случайно.

В статьях также писали, что может прийти с макросами в документе, может попасться на баннере в сайте, в общем, где угодно. Но массово он ходит по электронной почте. Увеличиваем бдительность, друзья.

Резюмируя все вышенаписанное, хочу отметить, что на работе мы отделались, так сказать, легким испугом. Бэкапы успешно распаковались, файлы и базы восстановились, через пару дней пользователи уже спокойно работали на своих компьютерах. На сервер вирус не проник, только два клиента остались зараженными. Для большей уверенности я даже обратилась на форум, посвященный борьбе со всякого рода зловредами и помощи пострадавшим. Разъяснений мне давать не стали, но подтвердили, что опасных программ на сервере нет. Вздохнула я с облегчением.

Приближалась пятница, 1-е апреля. В нашей семье есть особая примета — в этот день ничего хорошего точно не жди. Вечером звонит хорошая знакомая и сообщает, что файлы перестали открываться и в названии у всех.better_call_saul. Язык мой длинный, расстроила человека с ходу. А она дама эмоциональная, и новость о потере данных восприняла тяжело. Договорились, что в воскресение я приеду, а до тех пор попросила её компьютер не включать. Ну, и с вечера воскресения началась упорная борьба с вирусом. Первым шагом я просканировала компьютер на вредоносы и почистила его немного. Там стоитнеизвестная мнеWindows 10 и горячо нелюбимый антивирус KasperskyInternetSecurity с очень старыми базами. Первой трудностью было заставить этого монстра работать, но в сравнении со всем остальным это вышло маленькой неприятностью, легкой досадой, так сказать. Ну, и, может быть, если бы он регулярно обновлялся, то вирус не смог бы так разгуляться. Может быть…

Далее мне проще все будет изложить по пунктам.

Надежда № 1: Копии и теневые копии.

Неудачно, так как архивация не была настроена, а последние сохраненные изменения датировались 01.04.2016 г., то есть днем заражения, и были уже зашифрованы. Когда вирус еще только начинал распространяться, эта уязвимость в нем была. С тех пор его код был доработан.

Надежда № 2: Лаборатория Касперского.

Я написала в техподдержку лаборатории Касперского. На их официальном сайте довольно много различных утилит для расшифровки файлов после атак вируса-шифровальщика. К сожалению, в нашем случае вирус был класифицирован как Trojan. Encoder. Shade.xi (support.kaspersky.ru/12015?_ga=1.194732399.3569...). Вот такой ответ я получила:

«Благодарим за присланные данные. По зашифрованным файлам выполнена проверка. К сожалению, шифровальщик использует криптографически стойкие алгоритмы шифрования и расшифровка данных без приватного ключа, который хранится у злоумышленников, увы невозможна. В связи с этим запрос будет закрыт. Благодарим за понимание.»

Надежда № 3: NOD32 и Dr. Web.

К сожалению, никаких резельтатов данные запросы также не принесли. Цитирую ответы:

NOD32: «К сожалению, на данный момент мы не можем подобрать дешифратор для Вашего случая. Файлы зашифрованы с помощью Win32/Filecoder. ED, расшифровка без знания ключа шифрования, который хранится у злоумышленников, может занять неопределённое время.

Мы рекомендуем Вам создать резервную копию зашифрованных файлов на случай, если в дальнейшем нам всё же удастся подобрать дешифратор (если это произойдёт, мы свяжемся с Вами), а также ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:

www.esetnod32.ru/support/knowledge_base/solutio...

Dr. Web: «Зашифровано одним из вариантов Trojan. Encoder.858

К сожалению, расшифровка нашими силами невозможна.

Восстановление данных — только из резервных копий, если велось резервное копирование.

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.

Общая рекомендация: обратитесь с заявлением в территориальное управление „К“ МВД РФ;

по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: legal.drweb.com/templates

Чтобы заражение больше не повторилось, рекомендуем использовать продукт комплексной антивирусной защиты Dr. Web Security Space products.drweb.ru/win/security_space/?lng=ru, включающий компонент „Превентивная защита“. Технологии Превентивной защиты помогут значительно снизить риск заражения троянцами-шифровальщиками в будущем. А с помощью компонента „Защита от потери данных“, даже если шифровальщик снова проникнет на Ваш компьютер, Вы сможете самостоятельно восстановить поврежденные файлы без обращения в службу технической поддержки „Доктор Веб“.»

Кстати, заметила, что практически все советы от антивирусных компаний одинаковы: регулярно делайте бэкапы (резервное копирование данных). Советуют использовать сменные носители, облака, а также воспользоваться хранилищами самих антивирусных продуктов. От себя добавлю, что неплохо бы следить за тем, как регулярно обновляется Ваш антивирус. Потому что сбои в данной программе напрямую говорят о возможном заражении компьютера.

Выход: расшифровка за деньги.

Ну, и так как особо вариантов у меня не оставалось, я обратилась за помощью в компании, занимающиеся восстановлением и расшифровкой файлов. Профессионально и за весьма неплохие денежки. Таких фирм много, найти их несложно, Яндекс. Директ тут же начинает предлагять варианты, стоит только начать искать информацию по шифровальщиком. Можно, конечно, и поторговаться, цену сбить, но все равно она остается достаточно высокой. А вот расшифровка длилась те же два-три часа, за которые файлы зашифровались. Выхода просто другого не было, а информация очень и очень важная.

Так что здесь можно смелозащитывать победу вирусу. 1:1, ничья, так сказать.

И вот после всей этой истории я задумалась: а как часто мы вообще делаем бэкапы у себя на домашних компьютерах? Насколько ценная информация там хранится? И, случись бы такое со мной, готова была бы я заплатить большую сумму за расшифровку? Ответы я до сих пор не нашла. И не знаю, найду ли когда-нибудь.

Мои советы по защите от вирусов:

1. AdBlock в браузере
2. Антивирус на компьютере
3. Бэкапы важных данных
4. Голова на плечах

Последний пункт самый важный, потому что только он может дать 100% защиту. И не бойтесь проверять почту или ходить в Интернет, это также безопасно, как гулять по оживленным улицам города. Просто нужно быть внимательным, и не подхватите заразу. Так что всем удачи в киберпространстве.


Вопрос: А как часто Вы делаете бэкапы дома?
1. Раз в год 
2  (50%)
2. Раз в месяц 
0  (0%)
3. Раз в неделю 
0  (0%)
4. Каждый день 
0  (0%)
5. Никогда 
1  (25%)
6. Не храню никакой ценной информации 
0  (0%)
7. Могу легко восстановить и без бэкапа 
1  (25%)
Всего: 4
Всего проголосовало: 3

@темы: Рабочие будни. Хронология., VirusWars, голосование