Вирус-шифровальщик: способы восстановления и защиты

Вирус-шифровальщик (Trojan.Encoder) – это вредоносная программа, которая шифрует файлы на компьютере по особому криптостойкому алгоритму, делая их нечитаемыми. Внешне это выглядит как смена расширения – вместо привычных *.doc, *.jpeg, *.mp3 и и других форматов все файлы вдруг начинают заканчиваться на *.better_call_saul, *.breaking_bad, *.da_vinci_code и т.д.

Пользователю предлагается купить у злоумышленника ключ, с помощью которого можно расшифровать файлы. Ключ привязан к конкретному компьютеру. Сумма, вымогаемая создателем вируса, может достигать нескольких тысяч долларов. Причем никаких гарантий у пользователя нет: он может просто не получить свой ключ для расшифровки после оплаты.

Существует огромное количество модификаций шифровальщика, каждая из которых работает по своему алгоритму. Подбор ключа расшифровки может занять годы, причем вероятность успешной расшифровки всех файлов – крайне низка. По статистике Dr.Web, отдельные троянцы вообще не поддаются расшифровке.

Как проникает

В 90% случаев пользователи запускают шифровальщики самостоятельно. Чаще всего заражение происходит при открытии файлов, полученных по электронной почте. Причем название файла может быть вполне безобидным – «Резюме», «Договор оказания услуг», «Исковое требование» и др. В некоторых случаях файлы упаковываются в архивы *.zip, *.rar или *.7z, чтобы обойти проверку антивирусной программы.

Используются основные принципы социальной инженерии – для сотрудников разных отделов рассылаются письма с разными темами и названиями файлов. К примеру, менеджер отдела поставок с высокой степенью вероятности откроет письмо с темой «Договор поставки» и прилагающийся к нему файл «Договор.docx».

Еще один способ проникновения вируса – скачивание пользователем программ и документов из непроверенных источников. Вместо популярного проигрывателя или программы для обмена сообщениями он может установить вредоносный файл, после запуска которого все содержимое компьютера будет зашифрованы. Вот краткий список потенциально опасных расширений файлов, которые могут содержать вирус: *.exe, *.bat, *.cmd, *.js, *.scr, *.wbs, *.hta, *.com.

Что происходит

Рассмотрим, как происходит шифрование файлов. Первое, что делает вирус – добавляет себя в автозагрузку и прописывается в реестре. Сразу после этого он сканирует все локальные и сетевые диски, формируя список файлов, и начинает их шифровать. Обычно процесс выглядит так:

1. Вирус создает копию файла и шифрует её.
2. Из командной строки запускает утилиту администрирования теневых копий файлов и выполняет их полное удаление. Это делается для того, чтобы пользователь не мог восстановить файлы из теневой копии – истории изменений файла.
3. Зашифрованный файл получает новое расширение, а в папках пользователя или на рабочем столе создается документ, в котором мошенник предлагает купить инструкцию по расшифровке файлов.

Для запугивания пользователя используются различные психологические уловки. Может быть указан алгоритм шифрования, описана его сложность. Цель злоумышленника – заставить пользователя поверить в то, что его файлы безвозвратно потеряны и только выполнение требований позволит их восстановить.

Также встречаются вирусы с «таймером» – который предупреждает, что при неоплате через определенное время зашифрованные файлы будут удалены.

Связываться со злоумышленником не нужно. Шанс, что после перевода денег, пользователю будет выслан дешифратор, очень мал. Лишиться и файлов и денег – гораздо обиднее, чем лишиться одних только файлов.

Как восстановить данные

Попробовать расшифровать данные можно с помощью программ-дешифраторов, выпущенных антивирусными компаниями. Перед этим необходимо удалить вирус с помощью одной из утилит (чтобы после перезагрузки файлы не оказались зашифрованными снова):

1. Kaspersky Virus Removal Tool
2. Web CureIt!
3. Malwarebytes Anti-malware

Некоторые шифровальщики самоуничтожаются после кодирования файлов. В этом случае утилита ничего не найдет, и пользователь может приступить к расшифровке. Способы, которые могут помочь:

1. Точки восстановления системы. Сработает, если все данные хранятся на одном локальном диске (т.к. обычно точка восстановления делает резервную копию только системного диска C:). На компьютере должна быть включено восстановление системы, иначе точек просто не будет найдено.
2. Бесплатные дешифраторы от ведущих антивирусных компаний. Они поддерживают не все виды вируса, но попробовать восстановить данные с их помощью можно. Для этого нужно определить модификацию Trojan.Encoder и скачать с сайта Лаборатории Касперского соответствующую утилиту. Например, можно попробовать расшифровать файлы с помощью RakhniDecryptor или ShadeDecryptor.
3. Служба поддержки антивирусной компании тоже может помочь. Для этого нужно связаться с ней и отправить образец зашифрованного файла. Специалисты попробуют расшифровать его, и в случае успеха предоставят утилиту для расшифровки всех остальных файлов. Этот вариант обычно занимает очень длительное время.

Чего не следует делать:

1. Менять расширение у закодированных файлов – это не поможет.
2. Переводить деньги злоумышленнику – он не отправит ключ расшифровки.
3. Пользоваться зараженным компьютером – все файлы, которые вы сохраните, будут также зашифрованы.
4. Переустанавливать систему – это крайняя мера, т.к. все файлы будут утеряны.
5. Выполнять какие-либо действия с оригиналами файлов. Все эксперименты – только с копиями.

Как избежать заражения Trojan.Encoder

Предотвратить заражение гораздо проще, чем пытаться восстановить зашифрованные файлы. Ниже сформулированы основные правила профилактики:

1. Делайте резервные копии.
2. Своевременно обновляйте операционную систему и антивирусную программу.
3. Не открывайте вложения в электронных письмах от неизвестных лиц. При необходимости – используйте специальные «песочницы», которые сейчас есть практически во всех антивирусных программах.
4. Включите отображение расширений файлов в настройках системы. Это позволит увидеть настоящее расширение, если мошенник пытается замаскировать файл как мультимедиа или текстовый документ (пример – «Резюме.doc.exe» или «КП.pdf.scr»). Держитесь подальше от опасных расширений.

Еще один эффективный способ избежать потери данных – хранить их в защищенных дата-центрах. Сервера KeepingIT защищены от всех видов подобных угроз. Они оснащены современными системами безопасности и постоянно резервируются.