Віруси шифратори (Filecoder)

Клацніть, щоб подивитися рекомендації для домашніх користувачів

УВАГА! Компанія ESET попереджає, що за останній час зафіксована підвищена активність і небезпека зараження корпоративної мережі шкідливою програмою, наслідками дій якої є:

1) Шифрування конфіденційної інформації і файлів, у тому числі бази даних , документів, зображень. Тип зашифрованих файлів залежить від конкретної модифікації шифратора. Процес шифрування виконується згідно із складними алгоритмами і в кожному випадку шифрування відбувається по певній закономірності. Таким чином, зашифровані дані складно відновити.

2) В деяких випадках, після виконання шкідливих дій шифратор автоматично віддаляється з комп'ютера, що затрудняє процедуру підбору дешифратора.

Після виконання шкідливих дій на екрані зараженого комп'ютера з'являється вікно з інформацією "Ваші файли зашифровані", а також вимоги вимагачів, які зараження вірусом, що пред'являються для зниження ризику, шифратором

  • Що робити, якщо зараження вже сталося
Приклад вірусу-шифратора

Як правило, перед зараженням, на електронну пошту користувача приходить лист з невідомої адреси з прикладеним до листа архівом (*.rar, *.zip, *.cab), документом зі вбудованими макросами (*.doc, *.docx), або скриптом (*.js). У темі листа говориться про щось важливе - інформації про заборгованість, стягненню боргу і тому подібне. У архів може бути вкладений два файли, наприклад, файли "порядок роботи з простроченою заборгованістю.doc" і "постанова суду.exe". Після запуску шкідливих файлів вірус починає виконувати шифрування файлів у фоновому режимі, що може бути не помічено користувачем. Вірус зашифровує файли різних типів, наприклад *.doc, *.jpg, *.pdf і частенько файли бази даних . До зашифрованих файлів додається довільне розширення. Після закінченні процесу шифрування, на екрані з'являється зображення з вимогою. З метою відвертання зараження цим видом загрози, необхідно переконатися в тому, що Ваша система відповідає вказаним нижче вимогам безпеки. За умови дотримання даних правил, вірогідність зараження шифратором буде мінімальна.

Вимоги безпеки, що пред'являються до серверів і робочих станцій для зниження ризику зараження шифратором (Filecoder)

1) Переконаєтеся в тому, що на даний момент на Вашому комп'ютері включені налаштування автоматичних оновлень операційної системи і встановлені усі критичні оновлення. Зловмисники можуть використати уразливість в протоколі видаленого робочого столу (RDP) для виконання шкідливих дій. Найбільш серйозна з цих уразливостей робить можливим видалене виконання коду, якщо зловмисник відправляє уразливій системі послідовність спеціально створених пакетів RDP. За умовчанням протокол видаленого робочого столу відключений в усіх операційних системах Windows. Системи, на яких не включений RDP, не схильні і дозволити підключення по RDP тільки в межах локальної мережі. Деякі з оновлень для усунення описаної вище уразливості можна викачати окремим пакетом по цьому посиланню.

2) Використайте антивірусні рішення зі вбудованим модулем брандмауера (ESET NOD32 Smart Security) для зниження вірогідності використання зловмисником уразливості в RDP навіть за умови відсутності необхідних оновлень операційної системи. Рекомендується включити розширену евристику для запуску виконуваних файлів (Додаткові налаштування (F5) - Комп'ютер - Захист від вірусів і шпигунських програм- Захист в режимі реального часу - Додаткові налаштування. Крім того, перевірте, будь ласка, чи включена служба ESET Live Grid (Додаткові налаштування (F5) - Службові програми - ESET Live Grid).

3) На поштовому сервері слід заборонити прийом і передачу виконуваних файлів *.exe, а також *.js, оскільки частенько шифратори розсилаються зловмисниками у вигляді вкладення в електронний лист з вигаданою яке може спонукати користувача відкрити шкідливе вкладення з листа від зловмисника і тим самим запустити шифратор.

4) Забороните виконання макросів в усіх застосуваннях, що входять до складу Microsoft Office, або аналогічному ПЗ сторонніх виробників. Макроси можуть містити команду для завантаження і виконання шкідливого коду, яка запускається при звичайному перегляді документу (наприклад, відкриття документу з назвою "Повідомлення про стягнення заборгованості.doc" з листа від зловмисників може привести до зараження системи навіть у тому випадку, якщо сервер не пропустив шкідливе вкладення з виконуваним файлом шифратора за умови, якщо Ви не відключили виконання макросів в налаштуванні офісних програм).

5) Регулярно здійснюйте Backup (резервне копіювання) важливої інформації, що зберігається на Вашому комп'ютері. Починаючи з ОС Windows Vista до складу операційних систем Windows входить служба захисту системи на усіх дисках, яка створює резервні копії файлів і тек під час архівації або створення точки відновлення системи. За умовчанням ця служба включена тільки для системного розділу. якщо Ви стали жертвою зловмисників і Ваші файли зашифровані, не поспішайте переказувати гроші на їх рахунок для підбору дешифратора. За умови, що Ви є нашим клієнтом, звернетеся в технічну підтримку, можливо, нам вдасться підібрати дешифратор для Вашого випадку або такий дешифратор вже є. Для цього необхідно додати в архів зразок шифратора і інших підозрілих файлів, якщо такі є, і відправити цей архів нам за допомогою спеціальної форми. Також вкладете в архів декілька зразків зашифрованих файлів. У коментарях вкажіть обставини, при яких сталося зараження, а також Ваші ліцензійні дані і контактний e, - mail для зворотного зв'язку.

Ви можете спробувати відновити оригінальну, не зашифровану версію файлів з тіньових копій, за умови, що ця функція була включена і якщо тіньові копії не були пошкоджені вірусом шифратором.

Детальніше про цю функцію Ви можете знайти інформацію по посиланнях:

Для Windows Vista

Для Windows

Також Ви можете використати безкоштовну утиліту Shadow Explorer для перегляду і редагування усіх наявних тіньових копій в системах Windows Vista/7/8.

Примітка: Для операційної системи Windows XP функція відновлення попередніх версій файлів недоступна.

Оскільки в протиправних діях зловмисників можуть бути присутніми ознаки злочинів, у разі зараження вірусом сімейства FileCoder ми рекомендуємо звернутися із заявою в поліцію.

При цьому, Ваш комп'ютер може бути вилучений на деякий час для проведення експертизи.

Для отримання додаткової інформації звернетеся в службу технічної підтримки ESET.

Скидка 50% от ESET на конкурентный переход

(2017-06-07)

50% скидка на домашние продукты при условии конкурентного перехода

Подробней

Скидка 50% на ESET Mobile Security

(2017-02-27)

С 28 Фераля по 05 марта 2017 года скидка 50% на ESET Mobile Security!

Подробней

Все акции

Сравнение Eset Endpoint vs Smart Security vs ESET Antivirus

(2017-04-27)

Сравнение функционала и подбор продуктов ESET для малого бизнеса

Подробней

С 8 марта!

(2016-03-04)

Подробней

Все новости

Купить ESET NOD32 в Украине, Киев. Все права защищены © 2009-2017