Компьютерный вирус вымогатель. Проявление вируса, удаление вируса

Компьютерный вирус или просто вирус это вредоносная программа, которая попадает на компьютер извне (сети интернет, любой другой сети, к которой подключен компьютер, либо непосредственно пользователем при подключении внешних носителей информации: дисков, флэшек, других устройств: мобильного телефона, фотоаппарата и пр.). При открывании файла, в котором находится программный код вируса, она запускается сразу или с задержкой и наносит вред компьютеру (повреждение программ и данных) и/или пользователю (принуждение к выполнению сомнительных операций).

Вирус-вымогатель относится к семейству вредоносных программ, которые затрудняют работу операционной системы или вовсе блокируют её работу. Он требует под различными предлогами в неявном/явном виде с помощью SMS-сообщения или номера Вашего мобильного телефона перечисления денег, чтобы Ваш компьютер заработал. Как правило, он проникает на Ваш компьютер при просмотре зараженных сайтов, используя уязвимости используемого Вами браузера. Очень важно вовремя его идентифицировать и обезвредить.

ПРОЯВЛЕНИЕ ВИРУСА

Врага надо знать в лицо. Вирусы-вымогатели имеют три разновидности.
Одни не дают полный доступ к операционной системе или вовсе блокирует её работу:
Баннер подобного содержания может появиться даже если Вы не посещали сайты порнографического или сомнительного содержания.
Вам могут порекомендовать отправить SMS-сообщение на короткий номер.

В любом случае, указана сумма или нет, Вы можете лишиться денег, намного превышающих в сообщении.
Другие вирусы-вымогатели не дают полного доступа к веб-сайтам, нарушают работу браузера.

Или


Будьте внимательны, подобные баннеры могут появиться в других социальных сетях и браузерах.
Третьи вирусы-вымогатели могут шифровать файлы на компьютере. Эти вирусы, пожалуй, самые страшные. Они препятствуют открытию зашифрованных файлов, в основном, типа txt, xls, doc, блокируют доступ к информации на рабочем столе.
Как правило, такие вредоносные программы относятся к работе вирусов типа Trojan.Winlock.6027хххх, Trojan-Ransom.Win32.хххххх и находятся в файлах типа zip, rar, exe, bat, com.

КАК ИЗБАВИТЬСЯ ОТ ВИРУСА

В этом разделе мы рассмотрим как избавиться от вируса, а точнее, как избавиться от вируса-вымогателя, как избавиться от баннера вымогателя.
Чтобы начать борьбу с вирусом-вымогателем, сначала надо определить его тип. Если это связано с отправкой SMS, то его программный код будет иметь расширение bat, например, вирус Trojan-Ransom.BAT.Agent.c. Он меняет в Windows файл Hosts, который располагается в папке Windows\System32\drivers\etc (Windows NT/2000/XP/Vista/7). Открываем файл Hosts с помощью текстового редактора, например Блокнота, и удаляем все строки, кроме 127.0.0.1 localhost.

После этого проводим полноценную проверку компьютера антивирусом, делаем перезагрузку. Проблема должна исчезнуть.
Сложнее с вирусами семейства Trojan-Ransom.Win32.Digitala. Баннер требует ввести код для разблокировки работы зараженного компьютера. Такие коды после введения исходных данных с баннера бесплатно выдают такие сервисы как
, .
Естественно для получения кода необходимо ввести исходные данные с баннера, используя другой исправный компьютер. Ещё можно попробовать позвонить в компанию, которой принадлежит короткий номер. Возможно, Вам дадут код разблокировки и еще вернут деньги, если вы всё-таки отправили SMS. Стоимость отправки SMS на короткие номера можно узнать по ссылке http://onservis.ru/stoimost-sms.html.
Если полученный код помог разблокировать компьютер, то необходимо обязательно сделать полноценную проверку компьютера с помощью антивирусной программы, не забыв предварительно обновить антивирусную базу.
Если полученный код не помог, то попробуйте бесплатно воспользоваться утилитой (продукт Лаборатории Касперского), или программой (продукт Dr.Web). Как работать с этими продуктами можно познакомиться на сайтах разработчиков.

Скачать выше названные продукты следует на внешний носитель (диск, флэшку). Для лечения от вируса необходимо отключиться от Интернета, перегрузить компьютер и запустить его в безопасном режиме (быстро нажать кнопку F8 после включения и выбрать в меню «Загрузка в безопасном режиме»). После этого с внешнего носителя запустить одну из выше названных программ и провести полноценную проверку компьютера. После проверки перезагрузить компьютер в обычном режиме.
Вирусы, блокирующие браузер, не блокируют работу всего компьютера, и находятся в браузере. Чаще это Trojan-Ransom.Win32.Hexzone или Trojan-Ransom.Win32.BHO. Процедура получения кода такая же как для вируса Trojan-Ransom.Win32.Digitala (см. выше).
Если не получилось то воспользуйтесь от Dr.Web, задав при записи опцию «Make disk bootable». Для запуска загрузочного диска необходимо задать в BIOS First Boot Device: .
LiveCD от Dr.Web предназначена для лечения и удаления вирусов и аварийного восстановления системы. Если и это не помогает, то посетите портал VirusInfo или воспользуйтесь набором бесплатных Программ с инструкциями, восстанавливающих WINDOWS (ссылка на скачивание ).
Вирусы-шифровальщики самые неприятные вирусы-вымогатели. Это вирусы Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. Для их лечения Лаборатория Dr.Web специально разработала бесплатные утилиты (), в частности, для лечения Trojan-Ransom.Win32.Encore.

1. Без антивирусной программы платной или бесплатной не обойтись. Пользуйтесь лицензионным антивирусным программным обеспечением.
2. Полномасштабную проверку компьютера на наличие вирусов проводите, как минимум, раз в неделю.
3. Если у вас есть сомнения, проверьте подозрительные файлы на вашем компьютере, каждый по отдельности еще раз. Можно с использованием онлайн-сканеров на сайтах разработчиков антивирусных программ.
4. Помните: наилучший антивирус это Ваша осторожность.
5. Очень нужные файлы дублируйте на внешних носителях информации (CD, DVD, жестком диске или флэшке).
6. Все съемные носители информации, сначала проверьте на наличие вирусов и только потом подключайте к компьютеру и начинайте с ними работать. Отключите автозапуск съемных носителей.
7. Любые программы и обновления к ним, контент и пр. загружайте с официальных сайтов или проверенных и надёжных источников.
8. Не открывайте сомнительные ссылки или электронные письма и файлы от незнакомцев.
9. Пароли и логины не храните в своём компьютере. Их следует записывать не на отдельных листах бумаги, а в тетради или блокноте. Можно хранить на внешних носителях информации (флэшке), причем логины отдельно от паролей. Как минимум 1 раз в месяц меняйте пароли.
10. При появлении баннеров вымогателей не давайте номер своего мобильного телефона, не отсылайте SMS на короткие номера.

Исследование, в котором определены главные киберугрозы 2017 года, провела компания Acronis, занимающаяся защитой и хранением данных в гибридных облаках.

Большинство участников опроса признались, что ничего не слышали о программах-вымогателях, но считают свои личные данные (документы, фотографии, видео, музыку) очень ценными. Их восстановление после атаки подобного вредоносного ПО может обойтись в приличную сумму - более 500 долларов.

Также выяснилось, что свыше четверти опрошенных никогда не делали резервных копий. А более 34% заявили, что уже теряли .

Программы-вымогатели работают просто. Они попадают на устройство (например, через электронную почту) и зашифровывают данные пользователя. После этого хакеры требуют выкуп.

Злоумышленники атакуют не только крупные компании или правительственные структуры, но и простых людей, ведь они тоже готовы платить.

Вот только один пример работы программы-вымогателя под названием Osiris. Этот троян легко обходит Windows Defender, атакует резервные копии данных и отказывается запускаться в виртуальной среде.

В начале года Osiris заразил компьютеры департамента полиции американского города Кокрелл Хилл. В итоге были утеряны данные криминальных дел (улики, фото, видеозаписи) за восемь последних лет. Защита не смогла предотвратить безвозвратную потерю информации.

Что нас ждёт в ближайшее время?

• Эпидемия программ-вымогателей будет разрастаться в геометрической прогрессии. В 2016 году хакеры заработали с их помощью около 1 миллиарда долларов, в 2017 году эта сумма может увеличиться в пять раз.
• Вырастет количество «штаммов» этого вредоносного ПО.
• Увеличится число распространителей программ-вымогателей. Один из принципов работы вируса - копирование модели SaaS (software as a service), для чего привлекается огромное количество мелких распространителей. Их единственная цель - заражать целевые компьютеры. Чтобы это делать, не нужно специальных технических знаний. Достаточно иметь свой компьютер и быть готовым преступить закон.
• Технологии распространения программ-вымогателей станут ещё более хитрыми. В конце 2016 года выяснилась одна из самых изобретательных на сегодняшний день схем распространения. Пользователю обещали дать бесплатный ключ расшифровки, если тот заразит вредоносным ПО двух других пользователей. Предполагается, что эта идея была взяла из известного фильма ужасов «Звонок».
• Наиболее распространённым видом атак останутся различные схемы . Но они будут ещё более персонализированными и эффективными. Взамен блокировщиков программы-вымогатели будут чаще применять шифрователи.
• Появятся новые методы давления на жертв. Технологии позволяют увеличивать размер выкупа и каждый час удалять файлы, пока пользователь не заплатит. По прогнозам, программы-вымогатели начнут угрожать распространением и публикацией конфиденциальных и компрометирующих данных, если жертва сразу не заплатит выкуп.
• Всё меньше поставщиков защитного ПО будут предлагать бесплатные дешифраторы. Разработчики программ-вымогателей научатся использовать самые надёжные схемы шифрования.
• Новые версии вредоносного ПО смогут работать в облаках и начнут атаковать, в том числе и облачные хранилища данных. Пользователям придётся искать облачных провайдеров, которые смогут защитить их данные от таких атак.

Что делать?

Правила по-прежнему просты:

1. Создавайте резервные копии ваших данных. Выбирайте ПО для резервного копирования с локальным и облачным хранилищем и активной защитой от программ-вымогателей.
2. Регулярно обновляйте операционную систему и программное обеспечение. Благодаря этому вы не пострадаете от уже известных уязвимостей.
3. Не читая, удаляйте подозрительные письма, ссылки и приложения. Вредоносное ПО проникает в систему, когда пользователь открывает заражённое приложение к письму или переходит по ссылке на вредоносный сайт.
4. Установите антивирусное ПО на компьютер, включите его автоматическое обновление.

Если вы следите за новостями из мира информационной безопасности, то наверняка слышали о множестве недавних атак с помощью программ-вымогателей. Всплеск подобных атак на компании и частных лиц не на шутку взволновал многих. И это логично, так как программы-вымогатели - опасная и неприятная угроза. К счастью, тщательно предпринимаемые меры предосторожности позволяют существенно уменьшить риск инфицирования или его воздействие в случае, если атака оказывается успешной.

ЧТО ТАКОЕ ПРОГРАММЫ-ВЫМОГАТЕЛИ?

Программы-вымогатели - это разновидность зловредного ПО, заражающего устройства, сети и ЦОДы. В результате ими становится невозможно пользоваться до тех пор, как пользователь или организация не заплатит выкуп. После этого блокировка снимается. Программы-вымогатели известны как минимум с 1989 года, когда появился троян “PC Cyborg”, шифровавший имена файлов на жестком диске и требовавший $189 за снятие блокировки. За прошедшее с той поры время атаки программ-вымогателей стали намного более изощренными, нацеленными и прибыльными.

Общий эффект от программ-вымогателей сложно оценить, поскольку многие компании просто соглашаются заплатить - подход, который работает далеко не всегда. Тем не менее, в отчете по кампании программы-вымогателя Cryptowall v3, подготовленном в октябре 2015 года организацией Cyber Threat Alliance, указано, что стоимость той единственной атаки составила $325 миллионов! ()

Программа-вымогатель, как правило, работает одним из следующих способов. Вымогатели-шифровальщики могут заражать операционную систему таким образом, что устройство больше не сможет загружаться. Другие вымогатели будут зашифровывать диски, наборы файлов или их имена. В некоторых версиях этого зловредного ПО встроен таймер, и через некоторое время начинается удаление файлов, длящееся до тех пор, как будет заплачен выкуп. Все версии программ-вымогателей требуют уплат выкупа для снятия блокировки, шифрования и т.д.

31 марта 2016 такие организации как U.S. Cyber Emergency Response Team и Canadian Cyber Incident Response Centre выпустили совместное предупреждение о программе-вымогателе, успевшей заразить системы в нескольких лечебных учреждениях (см. https://www.us-cert.gov/ncas/alerts/TA16-091A).

Согласно предупреждению, инфицированные пользователи получали сообщение, появлявшееся на устройстве и гласившее примерно следующее:

• “Ваш компьютер инфицирован вирусом. Нажмите здесь для решения проблемы.”
• “Ваш компьютер использовался для посещения сайтов с нелегальным контентом. Для разблокирования компьютера вы должны заплатить штраф в размере $100.”
• “Все файлы на вашем устройстве зашифрованы. Вы должны уплатить выкуп в течение 72 часов, для того, чтобы получить доступ к данным”

В некоторых случаях демонстрировались изображения унизительного или порнографического характера, чтобы мотивировать пользователей как можно быстрее очистить систему. И в любом случае устройство отключалось, критически важные данные становились недоступными, продуктивность нарушалась, а бизнес-процессы останавливались.

КАК ЗАРАЖАЮТСЯ КОМПЬЮТЕРЫ?

Программы-вымогатели попадают в устройства различными способами, но самым обычным является инфицированный файл, прикрепленный к email. К примеру, несколько дней назад я получил письмо, которое утверждало, что пришло от моего банка. В нем был правильный лого, ссылки на сайт банка, мое имя. В письме говорилось, что банк обнаружил подозрительную активность с моим счетом, и что мне нужно установить приложенный файл для того, чтобы подтвердить свою личность. Все очень походило на реальную проблему со счетом, но таковой не являлось. Это была фишинговая атака.

Выдало атаку то, разумеется, что никакой банк никогда не пришлет вам файл с просьбой установить его - особенно для того, чтобы подтвердить свою личность. И, разумеется, приложенный файл был заражен программой-вымогателем, который попал бы в мою систему, если бы я на него кликнул.

Но приложения к электронным письмам не являются единственным способом инфицирования. Фоновая загрузка является еще одним вариантом. Пользователь посещает зараженный сайт, и зловредное ПО загружается и устанавливается без ведома посетителя. Программы-вымогатели также распространяются через социальные сети, браузерные сервисы мгновенных сообщений и т.д. В последнее время уязвимые веб-серверы эксплуатировались как точки входа для получения доступа в сеть организаций.

КАК УБЕРЕЧЬСЯ?

Вот 10 вещей которые нужно делать для того, чтобы защитить себя и свою организацию от программ-вымогателей.

1. Разработайте план резервного копирования и восстановления. Регулярно делайте резервные копии системы и храните их в режиме офлайн на отдельном устройстве.
2. Используйте профессиональные инструменты обеспечения безопасности электронной почты и веб-серфинга для анализа приложений к письмам, посещаемых вебсайтов, а также файлов на предмет наличия зловредного ПО. Эти инструменты могут блокировать потенциально скомпрометированные рекламы, а также сайты, которые не связаны с бизнес-активностью. Эти инструменты должны включать функциональность «песочницы», благодаря которой новые или нераспознанные файлы могут быть выполнены и проанализированы в безопасной среде.
3. Обновляйте и устанавливайте «заплатки» для своих операционных систем, устройств и ПО.
4. Убедитесь в том, что антивирус на устройстве и в сети, а также приложения для борьбы со зловредным ПО используют новейшие обновления.
5. Везде где возможно используйте «белые списки» приложений, которые предотвращают загрузку и запуск неавторизованных приложений.
6. Разделите сеть на зоны безопасности таким образом, чтобы вирус из одной зоны не мог легко попасть в другую.
7. Установите и используйте разрешения и привилегии, так чтобы у минимального количества пользователей была возможность заразить критически важные для бизнеса приложения, данные или сервисы.
8. Установите и используйте политику безопасности BYOD, благодаря которой могут проверяться и блокироваться устройства, не соответствующие вашим стандартам безопасности (нет клиентского приложения, файлы антивируса устарели, ОС не хватает критически важных «заплаток» и т.д.).
9. Установите инструменты анализа, которые позволят определить: 1) откуда пришло заражение, 2) как долго вирус был в вашей системе, 3) удалось ли полностью устранить его с устройства, 4) все ли сделано для того, чтобы он не вернулся.
10. ОЧЕНЬ ВАЖНО: не рассчитывайте, что ваши сотрудники обеспечат безопасность. Безусловно, важно повышать уровень информированности ваших сотрудников, чтобы они перестали загружать файлы, открывать приложения к электронным письмам или ходить по непроверенным ссылкам. Но люди все равно останутся самым слабым звеном, и ваш план безопасности должен это учитывать.

И вот почему: для многих из ваших сотрудников открытие приложений к почте и поиск в интернете является частью работы. Поэтому им сложно поддерживать необходимый уровень скептицизма. Во-вторых, фишинговые атаки стали очень убедительными. Нацеленная фишинговая атака использует данные, доступные онлайн и профили в социальных сетях для индивидуализации подхода. В-третьих, это в природе человека - открывать неожиданные инвойсы и предупреждающие сообщения от своего банка. Наконец, одно за другим исследования утверждают, что по мнению пользователей безопасность - это чья угодно работа, только не их.

ЧТО ДЕЛАТЬ, ЕСЛИ ПРОИЗОШЛО ЗАРАЖЕНИЕ?

Будем надеяться, что у вас есть свежая резервная копия, и вы можете стереть всю информацию с устройства, загрузив чистую резервную копию. Есть еще несколько вещей, которые желательно учитывать или проделывать в такой ситуации:

1. Сообщите о преступлении

• Недолгий поиск в интернете приведет вас на сайт, где вы сможете сообщить о киберпреступлении в вашей стране или регионе.
• В Европе вы можете найти соответствующий сайт по этой ссылке. (https://www.europol.europa.eu/content/report-cybercrime)

2. Выкуп не дает никаких гарантий

Выплата выкупа не гарантирует, что зашифрованные файлы опять станут вам доступны. Она гарантирует лишь, что преступник получит деньги жертвы, и, в некоторых случаях - банковскую информацию. Кроме того, расшифровка файлов не означает, что зловредное ПО устранено с устройства.

3. Свяжитесь с экспертами

В штате многих вендоров операционных систем, ПО и приложений безопасности есть эксперты, которые могут порекомендовать действия в случае заражения устройства программой-вымогателем. Кроме того, есть независимые эксперты, которые могут вам помочь.

4. Имейте план B

Что вы будете делать, если ваши компьютерные системы или сеть станут недоступны? Есть ли у вас аварийный план на этот случай? Сможете ли вы обеспечить непрерывность работы, пусть и в ограниченном виде, пока будут идти работы по восстановлению? Вы знаете, сколько вашей организации будет стоить час простоя работы? Отражен ли этот показатель в вашем бюджете ИТ-безопасности? Эта информация должна быть обязательно отражена в вашей политике информационной безопасности.

ВЫВОДЫ

Киберпреступность - это целая отрасль с миллиардным оборотом. Как и большинство бизнесменов, киберпреступники очень мотивированы к тому, чтобы находить пути заработка. Они используют различные уловки, вымогательство, нападения, угрозы и т.д. для того, чтобы получить доступ к вашим критически важным данным и ресурсам.

Программы-вымогатели не являются чем-то новым. Но недавние «достижения» в их эффективности и средствах доставки стали одним из важнейших трендов в непрекращающемся поиске новых и неожиданных путей эксплуатации частных лиц и организаций, ведущих деятельность онлайн.

Сегодня в большей степени, чем когда-либо, безопасность перестала быть чем-то добавочным к вашему бизнесу. Это - неотъемлемая часть вашего бизнеса. Убедитесь в том, что вы сотрудничаете с экспертами, которые понимают: безопасность - это не просто какое-то устройство или приложение. Безопасность - это система интегрированных и взаимодействующих технологий, соединенных с эффективной политикой безопасности и сопровождаемая соблюдением принципов жизненного цикла в процессах подготовки, защиты, обнаружения, реагирования и обучения.

Решения в области безопасности должны обмениваться информацией об угрозах для эффективного обнаружения и реагирования на угрозы где угодно в вашей распределенной ИТ-среде. Эти решения должны быть бесшовно интегрированы в вашу сетевую среду, так чтобы защищать ее, как бы она ни развивалась или эволюционировала. Они должны быть способны динамически адаптироваться по мере обнаружения новых угроз. И они никогда не должны мешать основному бизнесу.

Исследование, в котором определены главные киберугрозы 2017 года, провела компания Acronis, занимающаяся защитой и хранением данных в гибридных облаках.

Большинство участников опроса признались, что ничего не слышали о программах-вымогателях, но считают свои личные данные (документы, фотографии, видео, музыку) очень ценными. Их восстановление после атаки подобного вредоносного ПО может обойтись в приличную сумму - более 500 долларов.

Также выяснилось, что свыше четверти опрошенных никогда не делали резервных копий. А более 34% заявили, что уже теряли .

Программы-вымогатели работают просто. Они попадают на устройство (например, через электронную почту) и зашифровывают данные пользователя. После этого хакеры требуют выкуп.

Злоумышленники атакуют не только крупные компании или правительственные структуры, но и простых людей, ведь они тоже готовы платить.

Вот только один пример работы программы-вымогателя под названием Osiris. Этот троян легко обходит Windows Defender, атакует резервные копии данных и отказывается запускаться в виртуальной среде.

В начале года Osiris заразил компьютеры департамента полиции американского города Кокрелл Хилл. В итоге были утеряны данные криминальных дел (улики, фото, видеозаписи) за восемь последних лет. Защита не смогла предотвратить безвозвратную потерю информации.

Что нас ждёт в ближайшее время?

• Эпидемия программ-вымогателей будет разрастаться в геометрической прогрессии. В 2016 году хакеры заработали с их помощью около 1 миллиарда долларов, в 2017 году эта сумма может увеличиться в пять раз.
• Вырастет количество «штаммов» этого вредоносного ПО.
• Увеличится число распространителей программ-вымогателей. Один из принципов работы вируса - копирование модели SaaS (software as a service), для чего привлекается огромное количество мелких распространителей. Их единственная цель - заражать целевые компьютеры. Чтобы это делать, не нужно специальных технических знаний. Достаточно иметь свой компьютер и быть готовым преступить закон.
• Технологии распространения программ-вымогателей станут ещё более хитрыми. В конце 2016 года выяснилась одна из самых изобретательных на сегодняшний день схем распространения. Пользователю обещали дать бесплатный ключ расшифровки, если тот заразит вредоносным ПО двух других пользователей. Предполагается, что эта идея была взяла из известного фильма ужасов «Звонок».
• Наиболее распространённым видом атак останутся различные схемы . Но они будут ещё более персонализированными и эффективными. Взамен блокировщиков программы-вымогатели будут чаще применять шифрователи.
• Появятся новые методы давления на жертв. Технологии позволяют увеличивать размер выкупа и каждый час удалять файлы, пока пользователь не заплатит. По прогнозам, программы-вымогатели начнут угрожать распространением и публикацией конфиденциальных и компрометирующих данных, если жертва сразу не заплатит выкуп.
• Всё меньше поставщиков защитного ПО будут предлагать бесплатные дешифраторы. Разработчики программ-вымогателей научатся использовать самые надёжные схемы шифрования.
• Новые версии вредоносного ПО смогут работать в облаках и начнут атаковать, в том числе и облачные хранилища данных. Пользователям придётся искать облачных провайдеров, которые смогут защитить их данные от таких атак.

Что делать?

Правила по-прежнему просты:

1. Создавайте резервные копии ваших данных. Выбирайте ПО для резервного копирования с локальным и облачным хранилищем и активной защитой от программ-вымогателей.
2. Регулярно обновляйте операционную систему и программное обеспечение. Благодаря этому вы не пострадаете от уже известных уязвимостей.
3. Не читая, удаляйте подозрительные письма, ссылки и приложения. Вредоносное ПО проникает в систему, когда пользователь открывает заражённое приложение к письму или переходит по ссылке на вредоносный сайт.
4. Установите антивирусное ПО на компьютер, включите его автоматическое обновление.

Или другой программы-вымогателя, Вы можете воспользоваться загрузочным диском или флешкой для полного удаления угрозы. В этой статье мы подробно разберем, как это сделать.