Атаки вірусів-вимагачів: загальний огляд та способи захисту
- Крок 1: мінімізуйте збиток
- Крок 2: визначте тип вірусу-здирника
- Крок 3: вибираємо метод вирішення проблеми
- Крок 4: починаємо діяти
- Крок 5: розбір польотів
Останнім часом в новинах все частіше і частіше говорять про віруси-вимагачі. Дивно навіть, що так мало людей насправді знають, що це саме за віруси і що відбувається, коли вони завдають удар.
У цій статті ми розповімо вам, що потрібно зробити, щоб захиститися від цих вірусів, і що робити, якщо ваш комп'ютер все ж виявився заражений.
Віруси-вимагачі є особливий тип шкідливого програмного забезпечення, розроблений для вимагання грошей у жертв комп'ютерних атак. При цьому вірус ніби бере в заручники сам комп'ютер жертви. Більшість програм створено таким чином, що вони в змозі непомітно потрапити до електронної пошти і почати повільно зашифровувати призначені для користувача файли. Зашифрувавши все необхідне, віруси блокують пристрій і виводять на екран повідомлення з вимогою викупу. В якості мотивації користувачеві повідомляють про те, що якщо хакери не побачать грошей, то все-все дані на комп'ютері будуть стерті.
У будь-якої системи безпеки є свої слабкі місця, і шкідливе ПО намагається використовувати весь потенціал цих вразливостей. Тому, якщо вже ви опинитеся в числі постраждалих від вірусів-вимагачів, то ось що вам потрібно буде зробити:
Крок 1: мінімізуйте збиток
По-перше, ізолюйте заражену систему, особливо якщо вона підключена до вашої локальної мережі. Це може запобігти зараженню інших підключених до неї комп'ютерів.
Якщо ви - системний адміністратор, а ваші сервери виявилися заражені, то просто витягніть все Ethernet-кабелі з портів.
НЕ намагайтеся зробити резервну копію файлів на зовнішній жорсткий диск. Вам може здатися, що скинути на знімний носій файли, які поки ще не зашифровані, - це відмінна ідея. На жаль, за фактом це лише допоможе вірусу поширитися на інші комп'ютери. Вірус цілком може скопіювати свої власні файли на будь-який сторонній носій інформації, який ви підключаєте до зараженого пристрою.
Вірно і зворотне: якщо заражений знімний носій інформації підключити до незаражених пристрою, то вірус може заразити ще і цю систему. Може статися й так, що ви лише повторно заразите комп'ютер після того, як усіма правдами і неправдами позбудетеся від вірусу-здирника. Коротше кажучи, зараженого комп'ютера покладено суворий карантин.
Крок 2: визначте тип вірусу-здирника
Є різні типи вірусів-вимагачів, і деякі з них представляють собою значно більшу небезпеку, ніж інші. Залежно від типу і особливостей вірусної атаки ви можете використовувати різні способи боротьби з вірусом. Найчастіше зустрічаються віруси наступних типів:
- фальшивий антивірус
Фальшивий антивірус намагаються обдурити користувача і змусити повірити, що з його комп'ютером сталося щось страшне і майже що непоправне.
«Майже що непоправне» означає, що ситуацію можна буде виправити, купивши якусь іншу «спеціальну» програму. При цьому з комп'ютером щось, як правило, все в порядку, а от покупка додаткового ПЗ якраз-таки і заражає комп'ютер.
Зазвичай такі віруси дають про себе знати, показуючи спливаюче вікно з повідомленням про знайдені проблеми (наприклад, вірус, повільної роботи системи або проблеми з реєстром ОС), які терміново-терміново необхідно виправити. Повідомлення набрано великим жирним шрифтом, вікно показується по центру екрану - в загальному, паніка наганяється старанно. Також «в комплект» може входити посилання-клікбейт, яка перенаправляє користувача на сайт з шкідливим ПЗ навіть у тому випадку, якщо спливаюче віконце просто закрили. Ось приклад такого повідомлення:
Можливо, саме фальшивий антивірус найпростіше видалити. Просто закрийте вкладку браузера, щоб прибрати спливаюче вікно. Якщо ж спливаючі вікна з'являються поза браузера (наприклад, на вашому робочому столі), що вам потрібно запустити «Диспетчер завдань» і знайти фальшивий антивірус. Потім ви зможете просто видалити його. Якщо цим проблема не вирішиться, запустіть антивірусну перевірку. - Скрінлокі
Віруси цієї категорії просто блокують вам доступ до комп'ютера, поки ви не заплатите викуп. Як правило, скрінлокі виводять на екран повідомлення від імені місцевих правоохоронних органів про те, що з цього комп'ютера нібито був завантажений нелегальним контент. Є й такі віруси, які просто-напросто змінюють зображення робочого столу на якусь порнографічну картинку, яку не можна змінити - тут наголос робиться на спроби присоромити жертву атаки і змусити її тим самим платити гроші. Більш просунуті програми протягом кількох днів збирають на користувача свого роду досьє, а потім показують йому індивідуалізоване повідомлення, в яке куди як простіше повірити. приклад:
Якщо ви підчепили щось в цьому дусі, то першим справу треба знайти шкідливий процес через «Диспетчер завдань». Для цього натисніть CTRL + ALT + DEL і в вікні знайдіть процес вірусу, який потрібно буде закрити.
Коли ви видалите вірус, не завадить провести повну антивірусну перевірку вашого пристрою, щоб видалити вірус повністю. Якщо ж ці способи не допомогли, вам доведеться відновлювати операційну систему з резервної копії. Бажано, зрозуміло, щоб ця копія була зроблена до моменту зараження комп'ютера. - Віруси-шифрувальники
Це остання і найнебезпечніша категорія вірусів-вимагачів. Віруси-шифрувальники зашифровують ваші файли, змушуючи вас тим самим піти на поводу у хакерів і заплатити викуп, щоб розшифрувати їх назад. Як правило, такі віруси непомітно вторгаються в комп'ютер жертви і починають непомітно шифрувати всі файли поспіль.
Коли вірус закінчить зашифровувати файли, користувач побачить повідомлення з вимогою викупу. В даний час для хакерів немає ніяких складнощів в тому, щоб збирати гроші зі своїх жертв: криптовалюта є не тільки надійним, але і, що найголовніше, абсолютно анонімним способом оплати. Ось, наприклад, що побачили жертви вірусу-здирника Wannacry:
Варто чітко уявляти собі, як саме працює шифрування файлів - це дозволить вам зрозуміти, як можна буде розшифрувати їх назад.
Більшість програм використовують при запуску комбінацію симетричного і асиметричного шифрування (клікніть тут , Щоб дізнатися більше про типи шифрування). Симетричне шифрування дозволяє хакерам зашифрувати файли швидше асиметричного. У свою чергу, асиметричне шифрування дозволяє хакерам обійтися всього одним приватним ключем. В іншому ж випадку хакерам довелося б вести базу даних унікальних симетричних ключів шифрування для всіх своїх жертв.
Координуючі сервери (C & C) дозволяють копій вірусу обмінюватися даними. Віруси-шифрувальники використовують симетричне і асиметричне шифрування для проведення комп'ютерної атаки наступним чином:
- На сервері хакера за допомогою будь-якого з доступних алгоритмів асиметричного шифрування (наприклад, RSA-256) створюється пара з приватного і публічного ключів.
- Хакери надійно ховають приватний ключ, тоді як публічний вбудовується в код вірусу-здирника.
- Вірус заражає нову систему і відправляє на координуючий сервер унікальний ідентифікатор системи або жертви, а також інші відомості.
- Використовуючи один з симетричних алгоритмів шифрування (наприклад, AES), сервер генерує і відправляє симетричний ключ, створений спеціально для відповідної системи. Симетричний ключ далі зашифрована за допомогою приватного ключа.
- Вірус-вимагач використовує вбудований публічний ключ, щоб розшифрувати отриманий симетричний ключ, і починає шифрувати всі файли жертви поспіль.
Тепер, коли ви знаєте, як діють віруси-шифрувальники, давайте розглянемо способи боротьби з ними.
Крок 3: вибираємо метод вирішення проблеми
Раніше ми розповіли вам методи щодо простого видалення вірусів перших двох категорій.
На жаль, позбутися від вірусів-шифрувальників набагато складніше. По-перше, вам треба визначити тип заразив ваш комп'ютер вірусу. Це може бути не найпростішим завданням, адже нові віруси з'являються мало не щодня. Втім, в більшості випадків з цим можна впоратися, якщо трохи пошукати в інтернеті.
Спробуйте зробити скріншоти повідомлення з вимогою викупу, а потім проведіть пошук по картинці - можливо, це дозволить вам визначити тип вірусу-здирника. Крім того, завжди можна шукати по фразам з тексту вимоги викупу.
Подумайте, чи будете ви платити викуп . Звичайно, заохочувати грошима хакерів не варто, однак якщо ваші дані занадто цінні або важливі, щоб ось так от просто втратити до них доступ, то чому б і ні? Вирішуйте самі, але не платите викуп, якщо тільки це не є абсолютною необхідністю.
Але врахуйте, що для вас в цій ситуації немає ніяких гарантій: ви можете заплатити викуп, але так і не отримати доступ до файлів!
Крок 4: починаємо діяти
Якщо ви визначили тип вірусу-здирника, який влучив у ваш комп'ютер, то пошукайте в мережі способи його видалення. Код самого вірусу стабільно неефективний, якщо можна так висловитися: розробник може забути видалити ключ шифрування з програми, яка отримує його і шифрує файли.
І якщо вірус вже добре відомий, і якщо в його коді знайшлися уразливості, то ви напевно знайдете безліч посібників про те, як його видалити, на сайтах на кшталт nomoreransom.org .
Так як багато вірусів-вимагачі просто видаляють оригінали файлів, зашифрувавши їх копії, то вам може стати в нагоді програма для відновлення видалених файлів. Коли ви видаляєте файл, ви не видаляєте його з диска фізично (якщо тільки файл не виявляється перезаписан якимось іншим файлом). Як наслідок, у вас є всі шанси відновити свої важливі файли - наприклад, за допомогою спеціальних безкоштовних програм.
Якщо нічого не допомогло, то вам пора приймати важливе рішення: заплатити викуп або втратити всі свої дані. Втім, гарантій немає ніяких. Будь-які рішення з цього приводу слід приймати виключно на свій страх і ризик.
До слова, якщо у вимозі викупу є адреса електронної пошти, то можна спробувати поторгуватися з хакерами. Ви здивуєтеся, але досить часто це спрацьовує!
Якщо ви вирішили, що не будете платити викуп, то далі вам потрібно буде видалити всі дані з вашого комп'ютера. Так, ви втратите всі ваші дані назавжди. Якщо ж у вас є резервна копія даних на зовнішньому жорсткому диску, НІ В ЯКОМУ РАЗІ, не намагайтеся підключати диск, поки ви повністю не отформатіруете комп'ютер.
Кращий спосіб видалення вірусів-вимагачів наступний: потрібно відформатувати жорсткі диски вашого комп'ютера (хоча б той, де встановлена ОС). Якщо йти на такі заходи ви не готові, то переконаєтеся, що вірус не вразив завантажувальний сектор. Детальніше про це можна дізнатися в інтернеті.
Потім вам потрібно оновити ваш антивірус і провести повну глибоку перевірку комп'ютера. Чи не зашкодить провести перевірку ще й за допомогою програми, створеної для пошуку і видалення шкідливого ПЗ. Це дозволить вам видалити вірус без сліду.
Крок 5: розбір польотів
Отже, вірус ви видалили. Тепер настав час озирнутися назад і подумати, як же так вийшло, що ваш комп'ютер виявився заражений. Як то кажуть, краще лікування - це профілактика. В даному контексті це твердження як ніколи актуально. Користувач повинен надійно захистити свій комп'ютер, так, щоб будь-який вірус обламав про нього зуби.
Будьте пильні і пам'ятайте про наступне:
- Слідкуйте за тим, щоб ваш антивірус використав найактуальніші бази;
- Завжди перевіряйте адреси сайтів, на які ви заходите;
- Не заводьте на своєму комп'ютері підозрілі програми. Кряки, кейгени та інші подібні програми часто виявляються зараженими вірусами.
- Не дозволяйте підозрілим сайтам запускати виконуваний контент в вашому браузері.
- Регулярно оновлюйте вашу операційну систему. Віруси-вимагачі нерідко заражають комп'ютери через уразливості старих версій операційних систем, так і не виправлені розробниками. Хакер, наприклад, може скористатися помилкою в роботі модуля Windows RDP, щоб отримати доступ до підключеного до мережі комп'ютера і запустити на ньому вірус.