Новый вирус шифровальщик коронавирус
Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.
Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:
Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.
Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.
Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.
Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.
Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.
“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.
Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:
Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.
Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:
Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!
Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.
Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:
- Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
- Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
- Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.
- После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.
- Затем нужно принять лицензионное соглашение и выбрать варианты расшифровки. Вы можете изменить местоположение объектов и опционально сохранить зашифрованные версии.
- В конечном итоге появится сообщение об успешном восстановлении файлов.
Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.
Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.
Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.
Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.
Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.
Новички
По моему поймали новый шифровальщик по RDP. Шифрует файлы и ставит расширения .NcOv (кодовое название коронавирусов).
Прикладываю архив с исходным и зашифрованным файлом.
Пароль к архиву: 123
Консультанты
Старожилы
Новички
Похоже поймали новый шифровальщик по RDP. Шифрует файлы и ставит расширения .NcOv ( 2019-nCoV - кодовое название коронавируса).
Помогите расшифровать файлы.
Прикладываю результат AutoLogger и архив с исходным и зашифрованным файлом (пароль к архиву: 123)
Логи собирали на компьютере, ставшем источником шифрования?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Новички
Логи собирали на компьютере, ставшем источником шифрования?
Нет. Мы его пока изолировали так как любой записанный файл сразу шифруется
Тогда эти логи бесполезны. Равно как и по предоставленной паре файлов гадать, что за шифратор у Вас работает.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Новички
Тогда эти логи бесполезны. Равно как и по предоставленной паре файлов гадать, что за шифратор у Вас работает.
Ясно. Попробую собрать лог. А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?
Ёж птица гордая.
А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?
Сработает. Проблемную машину изолировали после или во время процесса шифрования?
Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019
Новички
А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?
Сработает. Проблемную машину изолировали после или во время процесса шифрования?
Во время. Вирус там еще жив - вставляя любую флешку она сразу шифруется
Пробуйте собрать логи Autologger в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Новички
Пробуйте собрать логи Autologger в безопасном режиме
У меня такой же вирус появился. Подскажите - что конкретно надо сделать?
Эксперты по кибербезопасности сообщили о вспышке нового вируса Troldesh. Зараженные письма приходят жертвам от лица известных компаний. “Троян” блокирует доступ к личным данным, а потом требует выкуп. С подробностями – корреспондент “Вестей FM” Андрей Хохлов .
В тексте присланного сообщения на почту хакеры представляются сотрудником крупного автодилера или авиаперевозчика и просят открыть прикреплённый файл. Якобы там находятся подробности заказа. Получатель его открывает и тем самым впускает вирус в свой компьютер. Тот ограничивает доступ к личной информации и требует выкуп, чтобы ее разблокировать.
Имя вируса-шифровальщика – Troldesh. По оценкам специалистов, в нынешнем году среди хакеров по популярности он чуть ли не на первом месте. Только в июне эксперты по кибербезопасности обнаружили более 1000 зараженных писем. Всего же во втором квартале 2019 их количество превысило 6000. А это в 2,5 раза больше, чем за весь 2018 год.
Вирус постоянно модифицируется и способен обходить антивирусы. Избавится от него невозможно, говорит эксперт по кибербезопасности Андрей Масалович.
МАСАЛОВИЧ: Ни ваш админ, ни даже фирма, которая занимается расшифровкой, скорее всего, ничего сделать не могут. Придётся все “снести” – систему переустановить, скачать файлы из резервного хранилища и начать жизнь с чистого листа.
Так, в марте этого года жертвами такой же рассылки стали около 50 крупных российских компаний. Тогда, как и сейчас, злоумышленники рассылали письма с “трояном” от имени крупных брендов – например, “Ашана” или “Магнита”. И также требовали выкуп за избавление от вируса. Но его платить не стоит, говорит эксперт по кибербезопасности. Все равно доступ к данным хакеры не откроют.
МАСАЛОВИЧ: Ни в коем случае выкуп платить не надо, потому что шансы на то, что откроют ваши данные, не выше 50%. Смиритесь. Если вы потеряли данные – это хороший урок.
Нужно быть внимательным при просмотре почты. Открыть письмо – это еще не значит заразиться, а вот предложение установить или разархивировать прикреплённый файл, так называемый attach, – должно насторожить.
И на всякий случай нужно придумать, где еще, кроме жесткого диска вашего компьютера, можно сберечь важную информацию, советует Андрей Масалович.
МАСАЛОВИЧ: Надо думать: а что будет, если шифровальщик на ваш компьютер все-таки забрел? То есть все данные надо хранить в резервном хранилище. Очень выручает “древний” способ – CD-R, компакт-диск. Важные данные просто храните на таких дисках. Не ведитесь на то, что текст или отправитель вам знаком и письмо – важное. Если в письме есть attach, то это уже повод заволноваться.
Исследования последней версии этого вируса показали: помимо того что он блокирует данные на вашем ПК, он способен от вашего имени рассылать спам и заходить на сайты рекламодателей. Тем самым искусственно повышать их посещаемость.
Stalin атакует компьютеры
Эксперты по кибербезопасности из китайской компании предупредили о новом вирусе StalinLocker. Он стирает все данные с жестких дисков зараженного компьютера, если пользователь не введет правильный пароль.
Позвонил в банк – лишился денег. Новый вирус помогает мошенникам обворовывать клиентов
Новый вирус способен воровать деньги при помощи звонков. Вредоносная программа под названием Fakebank перехватывает вызовы в банк и переадресовывает их мошенникам.
Мобильный фишинг: скачал приложение – лишился денег
Специалисты по кибербезопасности предупреждают россиян о фальшивых банковских приложениях, которые маскируются под официальные мобильные банки. За последние месяцы с их помощью у граждан украли около миллиарда рублей.
Похождения "Плохого кролика"
Вирусная атака на российские СМИ и банки не была целенаправленной, заявил глава Минкомсвязи Николай Никифоров. По последним данным, вирус BadRabbit поразил около 200 объектов, в основном - в России. Также пострадали Украина, Турция и Германия.
"Случайный герой" оказался в руках ФБР: за что арестовали хакера, остановившего вирус WannaCry
ФБР арестовало знаменитого хакера, который в мае остановил вирус WannaCry, буквально парализовавший миллионы компьютеров по всему миру. Британец Майкл Хатчинс был задержан в Лас-Вегасе, ФБР собирается предъявить ему обвинение, но по делу, не связанному с данным вирусом.
Уже во вторник он начал блокировать компьютеры российских ресурсов, заражая их через популярные сайты, в том числе СМИ. Пострадали "Интерфакс", который смог восстановиться только через сутки, а также Фонтанка.ру. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, сказали "Российской газете" в "Лаборатории Касперского". Там отметили, что большинство жертв атаки находятся в России, похожие атаки наблюдаются на Украине, в Турции и Германии, но в значительно меньшем количестве.
Шифровальщику не удалось получить доступ к ресурсам финансовых организаций или нарушить их работу, сообщил Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. Ранее СМИ сообщили, что вирус пытался обрушить банки из топ-20. Банк России подтвердил, что атаки были, однако фактов компрометации ресурсов он не обнаружил. ФинЦЕРТ разослал по банкам рекомендации о методах выявления рассылаемого по почте вируса и противодействия ему.
Успешная атака привела бы к остановке операционной деятельности банка, при этом финансовые данные клиентов от вируса-шифровальщика не пострадают, пояснили "РГ" вице-президент InfoWatch, гендиректор Attack Killer Рустэм Хайретдинов.
Банк России предупреждает, что хакеры продолжат распространять вредоносное ПО, в том числе предназначенное для скрытного шифрования файлов. "Как правило, злоумышленники присылают на e-mail письмо с вложенным вирусом, путем обмана или злоупотребления доверием они побуждают пользователя открыть вредоносный файл, после чего вредоносное ПО активируется", - сообщил ЦБ.
1000_t_310x206.jpg)
Но эксперты утверждают, что "Плохой кролик" действует более изощренно - через запуск вполне невинных на вид программ для просмотра видеороликов. Не случайно переносчиками BadRabbit стали ресурсы СМИ, где всегда есть видео. Для просмотра пользователям предлагается запустить фальшивый установщик Adobe Flash. Похожая схема была обнаружена в мае - уязвимость в популярных видеоплеерах позволяла киберпреступникам удаленно взламывать компьютеры пользователей.
Разработчики Bad Rabbit взяли на вооружение эту идею. Механизм вируса прост - Bad Rabbit делает невозможным доступ ко всем данным, которые находятся на зараженном им компьютере.
Злоумышленники требуют 0,05 биткоина (283 доллара, или 15 700 рублей по текущему курсу). Но вероятность того, что после уплаты денег произойдет расшифровка файлов, очень мала, уверяют эксперты. Пока неизвестно, возможно ли в принципе расшифровать пораженные "Плохим кроликом" файлы - как уплатив выкуп, так и используя какой-нибудь изъян в механизме шифрования зловреда. При атаке аналогичного вируса WannaCry в июне, в котором использовались приобретенные в даркнете элементы кибероружия, хакеры сами не знали способов расшифровки данных, хотя деньги требовали именно за это.
Наша реальность такова, что злоумышленники научились вводить мир в паническое состояние, отмечает Рустэм Хайретдинов. Вирусы-шифровальщики будут появляться вновь, отличаясь только названием, технологиями, способом заражения.
Между тем Банк России обеспокоен недоступностью публичного сервиса "Интерфакса" по раскрытию информации эмитентами и заявил, что намерен проработать механизмы для снижения вероятности возникновения подобных инцидентов в будущем.
Фото: ТАСС/Сергей Коньков
В России атаке вируса-шифровальщика подверглись компании "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International. Вирус-вымогатель также атаковал систему радиационного мониторинга Чернобыльской атомной электростанции. Кроме того, атака коснулась компьютеров правительства Украины, "Приватбанка" и операторов связи. Вирус блокирует компьютеры и требует выкуп 300 долларов в биткоинах.
В микроблоге в Twitter пресс-служба "Роснефти" рассказала о хакерской атаке на серверы компании. "На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами. По факту кибератаки компания обратилась в правоохранительные органы", – отмечается в сообщении.
По словам пресс-секретаря компании Михаила Леонтьева, "Роснефть" и ее дочерние сообщества работают в штатном режиме. После атаки компания перешла на резервную систему управления производственными процессами, так что добыча и подготовка нефти не остановлены. Атаке подверглась также система банка Home Credit.
По словам исполнительного директора AGIMA Евгения Лобанова , на самом деле атака была проведена двумя вирусами-шифровальщиками: Petya и Misha.
"Они работают в связке. "Петя" не заражает без "Миши". Он может заражать, но вчерашняя атака была двумя вирусами: сначала Petya, потом Misha. "Петя" переписывает boot-девайс (откуда идет загрузка компьютера), а Миша – шифрует файлы по определенному алгоритму, – пояснил специалист. – Petya шифрует загрузочный сектор диска (MBR) и заменяет его своим собственным, Misha шифрует уже все файлы на диске (не всегда)".
Он отметил, что вирус-шифровальщик WannaCry, который атаковал крупные мировые компании в мае этого года, не похож на "Петю", это новая версия.
Евгений Лобанов подчеркнул, что атака сильнее ударила по Украине, чем по России.
"Мы больше подвержены атакам, чем другие страны Запада. От этой версии вируса мы будем защищены, но от его доработок – нет. У нас интернет небезопасен, на Украине еще менее. В основном, были подвержены атаке транспортные компании, банки, мобильные операторы (Vodafone, Київстар) и медицинские компании, тот же Фарммаг, автозаправки Shell – все очень крупные трансконтинентальные компании", – рассказал он в беседе с m24.ru.
Исполнительный директор AGIMA отметил, что пока нет никаких фактов, которые указывали бы на географическое положение распространителя вируса. По его мнению, вирус предположительно появилась именно в России. К сожалению, прямых доказательств этого нет.
"Есть предположение, что это наши хакеры, поскольку первая модификация появилась в России, а сам вирус, что ни для кого не секрет, был назван в честь Петра Порошенко. Это была разработка русских хакеров, но кто дальше ее изменял – сложно сказать. Понятно, что находясь даже в России, легко заиметь компьютер с геолокацией в США, например", – пояснил эксперт.
"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер. Если перезагрузитесь, то больше никогда не войдете в систему"
Он также дал несколько рекомендаций в случае, если компьютер уже подвергся атаке вируса-шифровальщика.
"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер, потому что вирус Petya подменяет MBR – первый загрузочный сектор, из которого грузится операционная системе. Если перезагрузитесь, то больше никогда не войдете в систему. Это отрубаете отходные пути, даже если появится "таблетка" вернуть данные уже будет невозможно. Далее, нужно сразу отключиться от интернета, чтобы компьютер не выходил в сеть. Сейчас уже выпущен официальный патч от Microsoft, он обеспечивает 98 процентов гарантии безопасности. К сожалению пока не 100 процентов. Определенную модификацию вируса (их три штуки) он пока обходит", – рекомендовал Лобанов. – Однако, если вы все-таки перезагрузились и увидели начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD (операционная система, загружающаяся со сменного носителя – m24.ru) или USB-диска даст доступ к файлам".
Кроме того, эксперт также рассказал, почему чаще всего атакам подвергаются пользователи Microsoft, а не MacOSX (операционная система Apple – m24.ru) и Unix-систем.
"Тут правильнее говорить не только о MacOSX, но и о всех unix-системах (принцип одинаковый). Вирус распространяется только на компьютеры, без мобильных устройств. Атаке подвержена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003", – сказал эксперт.
Он добавил, что существуют сообщества, определяющие уязвимости, которым подвержены операционные системы и сервисы, у этих сообществ есть определенный номер в этой системе учета уязвимости.
"MacOSХ и Unix таким вирусам глобально не подвергаются, потому что многие крупные корпорации используют инфраструктуру Microsoft. MacOSX не подвержена, поскольку не так распространена в госструктурах. Под нее меньше вирусов, их не выгодно делать, потому что сегмент атаки будет меньше, чем, если атаковать Microsoft", – заключил специалист.
"Число атакованных пользователей достигло двух тысяч"
В пресс-службе Лаборатории Касперского , эксперты которой продолжают расследование последней волны заражений, рассказали, что "этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода".
В Лаборатории уверены, что в данном случае речь идет о новом семействе вредоносного программного обеспечения с существенно отличающейся от Petya функциональностью. В Лаборатории Касперского назвали новый шифровальщик ExPetr.
"По данным Лаборатории Касперского, число атакованных пользователей достигло двух тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран. На данный момент наши эксперты предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance", – рассказали в пресс-службе.
Эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные. В Лаборатории также дали рекомендации для всех организаций, чтобы избежать атаки вируса в будущем.
"Мы рекомендуем организациям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010, а также убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы, даже если они были зашифрованы вредоносным ПО", – посоветовали эксперты Лаборатории Касперского.
Своим корпоративным клиентам Лаборатория также рекомендует убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network, в качестве дополнительной меры рекомендуется использовать компонент "Контроль активности программ", чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием "perfc.dat" и т.д.
"Если вы не используете продукты "Лаборатории Касперского", рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС (операционной системы – m24.ru) Windows", – рекомендовали в Лаборатории.
Распространение вируса удалось приостановить случайно и временно: если хакеры изменят всего несколько строчек кода, вредоносное ПО вновь начнет работать. Ущерб от программы оценивают в миллиард долларов. После лингвокриминалистического анализа эксперты установили, что WannaCry создали выходцы из Китая или Сингапура.
Читайте также: