Так ли опасны вирусы шифровальщики? Немного про wncry и не только

Чем принципиально отличаются шифровальщики от других зловредов

Задача шифровальщика-шантаж, поэтому он «берет в заложники» файлы. Шифрует, удаляет оригинал и требует выкуп. Обычно он не нарушает работу системы, затрагивает только ползовательские данные (уникальные), а не системные файлы, которые можно легко скопировать с установочного диска. Максимум, что он делает-прописывается в автозагрузку и другие места, откуда может запускаться в случае перезапуска системы

Нужно ли удалять его или требуется заплатить?

Удаление шифровальщика не поможет вернуть вам файлы, так как без него ключ для расшифровки останется неизвестным. В некоторых случаях все жертвы оказываются зашифрованы одним ключом. Можно иногда поискать по форумам и найти подходящий. Иногда вариантов несколько, но все равно они повторяются. В самом печальном случае пароль у всех свой

Я уж лучше заплачу, данные ценнее

Платить не стоит, так как вы поддерживаете порочную практику, ведь шантажисты никогда не отстают с первого раза, а только хотят больше. Кроме того, пожалуй, самое важное, никаких гарантий нет, вас попросту могут кинуть. Несмотря на то, что некоторые вымогатели действительно присылают пароль, уже были случаи, когда пароль не присылался, да и сам шифровальщик не имел функционала по декодированию. Но даже если вам достались честные вымогатели, пароль вы можете не получить по независящим от них причинам: если хостер выключит управляющий сервер в связи с жалобами, данные о ключах будут утрачены и вам ничем не помогут, впрочем, деньги тоже вряд ли вернут.

Как защититься?

Распространенное мнение, что обновленный антивирус спасает от любых проблем, в очередной раз не работает: на момент атаки антивирусные компании еще не включили в базы зловреда, а его жизненный цикл закончится весьма скоро, так что практическая вероятность наткнуться на свежий шифровальщик, который будет пропущен антивирусом, приближается к 100%. Делайте бэкапы.

Какие бэкапы спасают?

Разумеется, они не должны быть доступны потенциальном зловреду, в противном случае у вас просто будет 2 копии зашифрованных файлов. Если вы решили использовать облака, то обратите внимание на поддержку версионности, так как при синхронизации оригинальные файлы так же могут быть удалены из облака после удаления с диска. При синхронизации можно (и нужно) настроить, чтобы удаление в облаке было неокончательным (например Google Drive и Dropbox перемещают в корзину, где файлы хранятся еще месяц). Так же если будет отредактирован исходный файл, то в Dropbox можно посмотреть его предыдущие версии. Существуют и другие сервисы, уверен, каждый выберет себе подходящий. Однако важно остановиться на правилах создания бэкапа.

Как делать бэкапы

Регулярно. Как часто? Зависит от того, как много изменений происходит. Разумеется, вас не устроит версия годовой давности. Месячная куда лучше, а недельная вообще хорошо. Однако если мы говорим об облачных хранилищах, возможна синхронизация в режиме реального времени. Сейчас у нас множество файлов, бесплатный лимит облаков обычно невелик, как же убраться и не платить? В первую очередь разделить файлы на свои и скачанные. Музыка, даже любимая, картинки с котиками из интернета, кино, даже с наградами — это мусор, неуникальный контент, который есть не только у вас и при различных усилиях может быть найден и скачан заново. А вот базы данных, файлы по работе или учебе, личные фото, сканы документов и прочее-уникальное. Если утратить их, другие копии найти не удастся. Их и нужно бэкапить, начать следует с наведения порядка. У многих есть несколько папок Новая папка и на рабочем столе, и в Моих документах, папки 1123 и так далее. Разложить файлы не так и сложно. После этого объем ценного резко сократится. Фото и видео вы можете бесплатно и в неограниченном количестве залить на Google Photo, музыку до 50 000 треков на Google Music, оставшиеся пару гигов текстовых и других файлов вы легко закинете в Google Drive, Dropbox и прочие облака

Чем примечателен wncry?

В первую очередь шумом, поднятым около него, еще бы, вирус использует технологии АНБ. Вот только есть несколько важных моментов, почему это не важно:

  • Вирус использует несколько стандартных путей распространения, включая электронную почту и взломанные сайты. То есть человек его сам скачает.
  • Та самая, особенная, методика проникновения осуществляется через взлом Windows Samba — службы сетевых ресурсов (папки, принтеры). Да, возможно эта служба дырява и может быть взломана, но использовать только этот путь совершенно нереально, так как 90% компьютеров находятся за роутера и сетевыми шлюзами, а все мобильные провайдеры и некоторые проводные дают абонентам серые (не внешние) IP адреса, дополняя все это еще собственным NAT’ом, что нередко является проблемой в работе и легитимных программ.
    Нельзя просто так взять и соединиться с компьютером, перед которым находится столько сетевого оборудования, если только изначально в его настройке не было это предусмотрено.
  • Если все же находятся люди с белыми IP, им требуется специально прописать в роутере DMZ или пробросить порт. Осуществить эту операцию сможет далеко не каждый пользователь, а те, что смогут, скорее всего понимаю, что они делают и зачем.
  • Даже белые IP у большинства абонентов являются динамическими и меняются минимум раз в сутки, так что проводить долговременный взлом затруднительно хотя бы по причине возможного переключения IP, особенно это касается тех, кто подключен напрямую с ПК (про роутер мы же уже говорили), такие люди зачастую выключают компьютер после пары-тройки часов использования, так что взлом становится еще труднее
  • Вот с корпоративными пользователями все одновременно и интереснее, и сложнее: и белый статический IP,  и круглосуточно включенное оборудование. Однако вопросами безопасности занимаются специально обученные люди и лишние порты наружу не торчат.

МВД разве не серьезная структура? А Сбербанк, Мегафон? Как их взломали

Больше всего доверчивого читателя новостей должно было заинтересовать, почему так много крупных корпоративных пользователей оказалось взломано, при этом крайне мало домашних? Секрет как раз в указанных выше причинах: заразить домашнего пользователя можно только через почту или сайт. И то не факт, так как многие почту проверяют через веб-интерфейс Gmail и аналогичных сервисов и вложения смотрят в них же, не скачивая. Корпоративные клиенты получают почту в почтовую программу, чаще всего это MS Outlook, существенной особенностью его является интеграция с MS Office и Windows, благодаря чему он умеет показывать вложенные файлы внутри себя, не запуская приложение, к которому они относятся. Если будет запущен офисный документ с макросом или иным скриптом, который скачает такой вирус, пользователь ничего не заметит, так как окно сохранения файла не появится. Зараженный таким образом один компьютер или принесенный из дома «больной» ноутбук при подключении к сети начнет сканировать все остальные, таким образом не имеющий внешнего IP экране сбербанка оказался заражен. Разумеется наивно предполагать, что у этих организаций торчат внутренние порты наружу, однако чем больше сотрудников, тем выше вероятность, что кто-то подцепит заразу.
Таким образом речь о целенаправленной атаке не идет, никакой атаки и нет. Это свободное распространение слегка модифицированного шифровальщика.

Странно тут другое, почему крупные компании в своей работе так привязаны к Outlook, Internet Explorer и Samba,  а не используют сторонние решения Thunderbird, Chrome и WebDav

Плюшки. Как восстановить данные

Этот способ может спасти в ряде случаев, однако могут быть шифровальщики, которые сделаны более качественно.

  • После того, как вы поняли, что заражены-отключите питание ПК (в этом случае лучше грубо, а не через завершение работы)
  • Перед выключением ни в коем случае не запускайте никаких программ, не скачивайте, не удаляйте, не записывайте никаких файлов
  • Загрузитесь с загрузочной флешки или диска, в случае Linux используйте testdisk/photorec, для Windows r-studio. Эти программы способны найти удаленные файлы, если они не были перезаписаны. Именно для упрощения жизни этим программам мы и выключили все так быстро. Восстанавливать файлы следует на другой диск (физически другой) или флешку. Записывая на исходный носитель вы можете перезаписать невосстановленные.

Практика показывает, что успешность и процент восстановленных файлов прямо пропорциональны свободному месту на диске и скорости выключения)

Добавить комментарий