Вирус-шифровальщик или вымогатель (ransomware) – это вредоносная программа, которая, попав на компьютер, атакует ключевые системные разделы, где находятся документы, таблицы, изображения, после чего шифрует все файлы этого типа, лишая владельца доступа к ним. За восстановление доступа предлагается заплатить в биткоинах.
По итогам мониторинга Роскачества популярность шифровальщиков стремительно растет. По данным специалистов по кибербезопасности из FortiGuard Labs за последние 12 месяцев количество вирусов-вымогателей увеличилось в десять раз — на 1000%. Преступники становятся более агрессивными, часто это непрофессиональные хакеры, взявшие программу-вымогатель в аренду.
В мае эксперты Group IB сообщали, что в РФ уже были зафиксированы атаки группы вымогателей OldGremlin, и ожидается волна атак шифровальщиков в СНГ до конца года.
Хотя сам механизм атаки известен с начала 2000-х, по-настоящему эпидемический размах распространение шифровальщиков приобрело в 2017 году, когда появившиеся один за другим три вируса-вымогателя, WannaCry, Petya и Bad Rabbit заразили в совокупности сотни тысяч компьютеров и стратегических объектов.
Поэтому важно помнить алгоритмы действий на два случая: как предостеречься от заражения шифровальщиком, и что делать, если оно все-таки произошло.
Рекомендации старшего специалиста по тестированию цифровых продуктов Роскачества Сергея Кузьменко
Меры профилактики:
1. Соблюдайте базовые антифишинговые правила. Не переходите по подозрительным ссылкам из писем и мессенджеров, не открывайте файлы, если не уверены в их отправителе.
2. Используйте антивирус как на компьютере, так и на телефоне, регулярно его обновляйте и проводите сканирование.
3. Не используйте чужие флэш-карты и съемные диски.
4. Регулярно делайте бэкап всех важных данных и храните его на внешних съемных дисках или в облаке.
5. Обновляйте программное обеспечение, в особенности ОС, так как некоторые вирусы распространяются автоматически, используя уязвимости в архитектуре системы.
6. В офисном пространстве следует применить также комплексные меры защиты, использовать межсетевые экраны и ограничивать административные права пользователей. Все это может обеспечить системный администратор, к которому следует обратиться.
Если шифровальщик атаковал:
1. Ни в коем случае не платите выкуп. У вас нет никаких гарантий, что данные будут возвращены. Нередко хакеры используют шифровальщики в сочетании с другой вредоносной нагрузкой, например, трояном, который может скопировать данные жертвы. В этом случае, даже если вы ему заплатите, хакер сможет потом шантажировать угрозой опубликовать данные в сети.
2. Отключите компьютер от сети (не выключайте и не перезагружайте его, это может в некоторых случаях сделать файлы нерасшифровываемыми), а лучше вообще отключите сеть в доме, чтобы пресечь распространение зловреда, если он является частью более сложной вирусной атаки.
3. Обратитесь к IT-специалистам. Им нужно будет определить тип шифровальщика (нередко это можно понять уже по сообщению, которое вирус выводит на экран) и подобрать программу-дешифратор. Для множества известных вирусов-вымогателей существуют программы, расшифровывающие данные.
Вероятность успеха, впрочем, не велика, гарантий восстановления системы никто не даст, и нужно морально подготовиться, что атака шифровальщика может в любом случае окончиться тем, что вы потеряете данные и придется начинать с нуля. Лучше всего соблюдайте профилактические меры, чтобы не допускать такой ситуации. Это так же важно, как иметь крепкую входную дверь и не класть под коврик ключи, чтобы грабитель не смог зайти к вам домой.
*