В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?
Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.
Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.
Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.
Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.
Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:
1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.
При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!
4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.
Зашифрованные файлы выглядят следующим образом:
5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.
Примерное содержимое файла PAYCRYPT_GMAIL_COM
Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024
1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.
2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта «за урок»
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OSDATE CRYPTED: 2_.0_.2014 / 11:50.
Вот такие вот вежливые нынче кибер-преступники.
Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:
1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.
2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.
3. и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.
В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.
Социальный инжиниринг остаётся, пожалуй, самым популярным способом заражения компьютеров. Ведь, вместо обхода сложных систем технической защиты, он эксплуатирует самое «слабое звено» - человеческую доверчивость. Более того, с каждым годом социальный инжиниринг становится всё изощрённее. Вместо неуклюжих писем, «попавших якобы не тому адресату», и «нигерийских принцесс» в ход идут намного более реальные, на первый взгляд инфоповоды. Например, сотрудники предприятий могут получить по e-mail «уведомление о налоговой проверке», «досудебную претензию» или просто «документы на подпись», - правда, со странным расширением. О том, как распознать письма с вирусами и не стать жертвой преступников, читайте в сегодняшнем выпуске TechnoDrive.
Приведём несколько реальных писем преступников, сохранив их стилистику:
«Здравствуйте! В нашей компании налоговая проверка. У нас с Вами нет договора и одной счет-фактуры. Огромнейшая просьба подписать, отксканировать и выслать нам сегодня. Документы в приложении - ссылка. С уважением, .....»
«Здравствуйте! При неоплате в установленные сроки суммы долга, будем вынужденны подать исковое требование в арбитражный суд. Оригинал претензии отправили на Ваш почтовый адрес, копия Претензия №4511 - ссылка. Прошу ознакомиться. По всем вопросам звонить: .....»
«Прошу бухгалтера ознакомится с отчётом по задолженности компании на 2 квартал 2015 года. Просим вовремя произвести оплату. Отчёт прикреплён или доступен тут - ссылка. C уважением, .....»
При этом письма обычно вложений не содержат - для прохождения антивирусной проверки на почтовом сервере. Вместо зловредов в приложениях, преступники размещают в тексте гиперссылки для скачивания вирусов. Причём на первый взгляд они могут выглядеть весьма правдоподобно, - равно как и адреса отправителей.
Открыть такую ссылку, чтобы убедиться в обмане, - огромный риск даже при сверхнадёжном антивирусе. Ведь во вложении может оказаться зловред, сигнатуры которого ещё не включёны в базы... Можно попробовать открыть не всю ссылку, а лишь главный домен, - который, скорее всего, окажется либо взломанным корпоративным сайтом (порой зарубежным), либо обычным файлообменником. Но и это довольно рискованно - особенно в первом случае. Более того, вредоносную ссылку злодеи могут спрятать за безобидным описанием (указав внутри тега ссылки текст http://nalog.ru, а сам линк спрятать в параметре href).
Как узнать реального отправителя письма?
Изучите служебную информацию в письме. В почтовой службе Gmail это можно сделать с помощью опции «Показать оригинал» в меню аккаунта, открыв соответствующее письмо.
В Mail.ru после открытия письма становится доступным пункт меню «Служебные заголовки».
А для Outlook Express аналогичная возможность появляется при просмотре письма через «Свойства» / «Подробно» / «Заголовки Интернета для данного сообщения». Если обобщить, служебные заголовки обычно доступны через свойства письма.
Что мы ищем?.. Словосочетания «Recieved: from», «client-ip» или «sender».
Внимание! В других строках, начинающихся с «From» или «Return-path» злоумышленники могут указать что угодно!
Когда вы нашли нужное словосочетание и увидели рядом IP, проверьте его с помощью сервиса Whois . Если владелец «айпишника» выглядит подозрительно, или вообще расположен на другом континенте, вас пытаются обмануть.
Пример: вряд ли стоит верить письму «от Федеральной службы судебных приставов», полученному с IP-адреса 41.211.159.19 (для иллюстрации использован случайный IP-адрес из Африки).
Другие признаки вредоносных e-mail’ов
Также заслуживает внимания текст письма, в котором зловещая ссылка может быть замаскирована безобидным описанием или картинкой. В первом случае - обращаем внимание на значение параметра href, а не текст находящийся между открывающим и закрывающим тегами a. В случае с картинкой ссылка будет находится в параметре src тега img.
Если вы не поняли написанное в предыдущих двух абзацах - не страшно. Ведь бухгалтеры и делопроизводители не должны разбираться в тонкостях HTML-вёрстки и структуре eml-файлов. Просто позовите системного администратора или квалифицированного ИТ-специалиста - и он поможет вам избежать заражения компьютера.
И, наконец, самый главный аргумент, который стоит учитывать при получении подобных писем. Налоговая служба напоминает, что для общения с юридическими лицами и индивидуальными предпринимателями она использует особый порядок электронного документооборота - посредством защищённых каналов связи и аккредитованных операторов. Таким образом, требования на уплату налогов, пеней, штрафов и сборов, различные справки, требования о предоставлении документов либо пояснений налоговыми органами посредством е-mail никогда не рассылаются .
Иными словами, получить на обычный e-mail официальное письмо от налоговой равносильно получению счёта за квартплату по SMS. Что же касается писем с «документами от партнёров», то факт их отправки лучше проверить, позвонив по известному вам (а не указанному в письме!) телефону. Это не займёт много времени, но позволит избежать множества неприятностей, подготовленных изощрёнными киберпреступниками.
Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!
|
Текст письма должен побудить вас открыть файл, или перейти по ссылке - злоумышленники сулят интимные фото (якобы девушка отправляла их своему партнеру, но ошиблась адресом), выигрыш в лотерее (но вы же не покупали билет), или делают вид, что продолжают какую-то переписку с вами.
Вид письма может отличаться в зависимости от того, частью какой вредоносной кампании он является:
Массовая рассылка. Такие письма конструируются в расчете на рассылку по миллионам адресов, поэтому выглядят максимально неперсонифицированно. Это значит, вы не увидите в поле «кому» вашего имени, там будет либо просто ваш адрес электронной посты, либо что-то нейтральное вроде «клиент». Очень часто текст письма искажен, буквы переставлены местами, или текст дан в виде картинки - это делается для преодоления спам-фильтров. Очевидно, такое письмо стоит сразу стереть.
Целевая атака. Письмо специально сконструировано для вас, причем автор предварительно соберет о вас максимум информации, чтобы письмо выглядело достоверно. Такого рода нападениям подвергаются не только серьезные организации, но и частные лица. К примеру, если ваша пара очень хочет получить доступ к вашей учетной записи в «ВКонтакте», чтобы ознакомиться с вашей перепиской, она может обратиться в один из нелегальных хакерских сервисов, которые проведут на вас целевую атаку и украдут учетные данные.
Если вам присылают файл, и вы заранее не договаривались об этом, стоит уточнить у отправителя по другому каналу связи, действительно ли он вам это отправлял. Если это по каким-то причинам невозможно, начните с того, что сохраните файл на диск, включите отображение известных расширений файлов (например для Windows 10 надо в меню открытой папки выбрать Вид -> Параметры -> Вид, найти в списке «скрывать расширения для зарегистрированных типов файлов» и снять галку).
В результате вы увидите истинное расширение файла, и список_литературы.docx явится вам в виде список_литературы.docx.exe. И это на самом деле не документ Microsoft Word, а исполняемый файл вредоносной программы. Помимо.exe могут быть опасны.bat,.cmd и.pdf-файлы. Хорошенько подумайте перед тем, как их запускать.
Если в письме не файл, а ссылка, также не спешите переходить по ней, а поместите поверх нее курсор мыши, чтобы увидеть реальное написание. Распространителям вредоносных программ редко удается заразить легитимные сайты, чаще они создают специальные страницы для заражения посетителей.
Адреса их выглядят либо беспорядочно, что выдает автоматическое генерирование (например, что-то вроде adsrgreger.ewtryytv.com), либо это может быть страница, похожая на известную (facebook.babddel.com это не адрес Фейсбука! Это поддомен непонятного babbdel.com).
Наконец, ссылка может быть укорочена через сервис goo.gl или подобный. Такую ссылку можно, не заходя по ней, расшифровать с помощью «разукорачивателя» адресов, вроде unshorten.it, и посмотреть, куда она на самом деле ведет.
Вы обнаружили в своем электронном ящике письмо от компании Visa о том, что ваша кредитная карта заблокирована и теперь вам придется подтвердить свои данные на сайте фирмы, чтобы ее активировать. Адрес отправителя содержит маркер «visa.com». Присутствует обращение к вам по имени. Следует ли выполнять указанные в сообщении действия или лучше сразу удалить письмо? CHIP расскажет, как распознать опасность.
Распознаем фишинговые письма
Сфальсифицированное сообщение распознается не только по отправителю - как раз эта информация легко подделывается злоумышленниками. Указанием на аутентичность адреса является сервер электронной почты , через который было отправлено письмо. Его вы найдете в исходном тексте сообщения, вызвав его, например, в Outlook через «Файл | Свойства».
В Gmail откройте письмо и нажмите на стрелку рядом с кнопкой для ответа. Здесь выберите «Показать оригинал». Сервер отправителя указан в строчке «Received». Его домен должен совпадать с доменом компании, от которой пришло письмо. Если есть отличия, то высок риск, что речь идет о фишинге. Такое письмо лучше всего удалить.
И все же проверка сервера тоже не всегда помогает . В частности, небольшие фирмы пользуются почтовыми серверами внешних поставщиков, и в этом случае домен не будет совпадать с корпоративным адресом. Однако злоумышленники, как правило, подделывают только крупные веб-сайты, поэтому подобная проверка является неплохим способом.
В особых случаях киберпреступники целенаправленно выбирают не самый крупный концерн. Чтобы вирус через письмо попал на ПК, они маскируют сообщения под уведомления от коллекторских компаний. Таким образом хакеры могут обойти обязательную проверку почтового сервера, поскольку просто подбирают имя компании под используемый адрес сервера. К письму прилагается вложение с долговым требованием, и зачастую этот файл несет в себе вирус.
Некоторые письма сопровождаются даже обращением к адресату по имени . Но не дайте себя обмануть: такая информация берется из стандартных баз данных с адресами, которые собираются, например, по следам различных лотерей и розыгрышей.
Искусные подделки
Киберпреступники с помощью поддельных электронных писем хотят добраться до ваших данных. Для этого мошенники используют «шапки», которые выглядят как настоящие, якобы правильные адреса отправителей и персональные обращения по имени.
Письма от друзей
Не всегда стоит безоговорочно доверять и письмам от известных вам отправителей, поскольку ваши знакомые также могут стать жертвой вирусной атаки. Существует два сценария : вы получаете электронное сообщение от друга, содержимое которого представляет собой сплошную рекламу, либо же текст письма вынуждает пройти по указанной рядом ссылке.
Не доверяйте слепо таким письмам! Как правило, их подлинность также получится проверить с помощью почтового сервера: домены должны совпадать с названием сервера отправителя. Поможет настройка сортировки антиспам-фильтра.
Зачастую в качестве спама классифицируются определенные элементы текста. Чтобы действовать наверняка, позвоните своему знакомому. Скорее всего, он будет вам благодарен за предупреждение о вирусе, который высылает подобные письма.
Отправитель запрашивает даже номер кредитной карты. Введенныеданные попадают напрямую в руки хакеров
Признаки подлинного письма
В свойствах письма вы найдете в том числе сервер (1) , имя которого должно подходить отправителю. В идеале также присутствует сигнатура (2) , которую проверяют современные почтовые клиенты.
Открытие бизнеса
Где можно и где нельзя работать после туберкулеза Где можно работать после
Форекс
Направления повышения эффективности использования собственного капитала На базе двигателя с плоским печатным якорем разработаны изделия для автомобильной промышленности
Банки
