1. Крок 1: мінімізуйте збиток
2. Крок 2: визначте тип вірусу-здирника
3. Крок 3: вибираємо метод вирішення проблеми
4. Крок 4: починаємо діяти
5. Крок 5: розбір польотів

Останнім часом в новинах все частіше і частіше говорять про віруси-вимагачі. Дивно навіть, що так мало людей насправді знають, що це саме за віруси і що відбувається, коли вони завдають удар.

У цій статті ми розповімо вам, що потрібно зробити, щоб захиститися від цих вірусів, і що робити, якщо ваш комп'ютер все ж виявився заражений.

Віруси-вимагачі є особливий тип шкідливого програмного забезпечення, розроблений для вимагання грошей у жертв комп'ютерних атак. При цьому вірус ніби бере в заручники сам комп'ютер жертви. Більшість програм створено таким чином, що вони в змозі непомітно потрапити до електронної пошти і почати повільно зашифровувати призначені для користувача файли. Зашифрувавши все необхідне, віруси блокують пристрій і виводять на екран повідомлення з вимогою викупу. В якості мотивації користувачеві повідомляють про те, що якщо хакери не побачать грошей, то все-все дані на комп'ютері будуть стерті.

У будь-якої системи безпеки є свої слабкі місця, і шкідливе ПО намагається використовувати весь потенціал цих вразливостей. Тому, якщо вже ви опинитеся в числі постраждалих від вірусів-вимагачів, то ось що вам потрібно буде зробити:

Крок 1: мінімізуйте збиток

По-перше, ізолюйте заражену систему, особливо якщо вона підключена до вашої локальної мережі. Це може запобігти зараженню інших підключених до неї комп'ютерів.

Якщо ви - системний адміністратор, а ваші сервери виявилися заражені, то просто витягніть все Ethernet-кабелі з портів.

НЕ намагайтеся зробити резервну копію файлів на зовнішній жорсткий диск. Вам може здатися, що скинути на знімний носій файли, які поки ще не зашифровані, - це відмінна ідея. На жаль, за фактом це лише допоможе вірусу поширитися на інші комп'ютери. Вірус цілком може скопіювати свої власні файли на будь-який сторонній носій інформації, який ви підключаєте до зараженого пристрою.

Вірно і зворотне: якщо заражений знімний носій інформації підключити до незаражених пристрою, то вірус може заразити ще і цю систему. Може статися й так, що ви лише повторно заразите комп'ютер після того, як усіма правдами і неправдами позбудетеся від вірусу-здирника. Коротше кажучи, зараженого комп'ютера покладено суворий карантин.

Крок 2: визначте тип вірусу-здирника

Є різні типи вірусів-вимагачів, і деякі з них представляють собою значно більшу небезпеку, ніж інші. Залежно від типу і особливостей вірусної атаки ви можете використовувати різні способи боротьби з вірусом. Найчастіше зустрічаються віруси наступних типів:

1. фальшивий антивірус
   Фальшивий антивірус намагаються обдурити користувача і змусити повірити, що з його комп'ютером сталося щось страшне і майже що непоправне.
   «Майже що непоправне» означає, що ситуацію можна буде виправити, купивши якусь іншу «спеціальну» програму. При цьому з комп'ютером щось, як правило, все в порядку, а от покупка додаткового ПЗ якраз-таки і заражає комп'ютер.
   Зазвичай такі віруси дають про себе знати, показуючи спливаюче вікно з повідомленням про знайдені проблеми (наприклад, вірус, повільної роботи системи або проблеми з реєстром ОС), які терміново-терміново необхідно виправити. Повідомлення набрано великим жирним шрифтом, вікно показується по центру екрану - в загальному, паніка наганяється старанно. Також «в ​​комплект» може входити посилання-клікбейт, яка перенаправляє користувача на сайт з шкідливим ПЗ навіть у тому випадку, якщо спливаюче віконце просто закрили. Ось приклад такого повідомлення:
   Можливо, саме фальшивий антивірус найпростіше видалити. Просто закрийте вкладку браузера, щоб прибрати спливаюче вікно. Якщо ж спливаючі вікна з'являються поза браузера (наприклад, на вашому робочому столі), що вам потрібно запустити «Диспетчер завдань» і знайти фальшивий антивірус. Потім ви зможете просто видалити його. Якщо цим проблема не вирішиться, запустіть антивірусну перевірку.
2. Скрінлокі
   Віруси цієї категорії просто блокують вам доступ до комп'ютера, поки ви не заплатите викуп. Як правило, скрінлокі виводять на екран повідомлення від імені місцевих правоохоронних органів про те, що з цього комп'ютера нібито був завантажений нелегальним контент. Є й такі віруси, які просто-напросто змінюють зображення робочого столу на якусь порнографічну картинку, яку не можна змінити - тут наголос робиться на спроби присоромити жертву атаки і змусити її тим самим платити гроші. Більш просунуті програми протягом кількох днів збирають на користувача свого роду досьє, а потім показують йому індивідуалізоване повідомлення, в яке куди як простіше повірити. приклад:
   Якщо ви підчепили щось в цьому дусі, то першим справу треба знайти шкідливий процес через «Диспетчер завдань». Для цього натисніть CTRL + ALT + DEL і в вікні знайдіть процес вірусу, який потрібно буде закрити.
   Коли ви видалите вірус, не завадить провести повну антивірусну перевірку вашого пристрою, щоб видалити вірус повністю. Якщо ж ці способи не допомогли, вам доведеться відновлювати операційну систему з резервної копії. Бажано, зрозуміло, щоб ця копія була зроблена до моменту зараження комп'ютера.
3. Віруси-шифрувальники
   Це остання і найнебезпечніша категорія вірусів-вимагачів. Віруси-шифрувальники зашифровують ваші файли, змушуючи вас тим самим піти на поводу у хакерів і заплатити викуп, щоб розшифрувати їх назад. Як правило, такі віруси непомітно вторгаються в комп'ютер жертви і починають непомітно шифрувати всі файли поспіль.
   Коли вірус закінчить зашифровувати файли, користувач побачить повідомлення з вимогою викупу. В даний час для хакерів немає ніяких складнощів в тому, щоб збирати гроші зі своїх жертв: криптовалюта є не тільки надійним, але і, що найголовніше, абсолютно анонімним способом оплати. Ось, наприклад, що побачили жертви вірусу-здирника Wannacry:
   Варто чітко уявляти собі, як саме працює шифрування файлів - це дозволить вам зрозуміти, як можна буде розшифрувати їх назад.
   Більшість програм використовують при запуску комбінацію симетричного і асиметричного шифрування (клікніть тут , Щоб дізнатися більше про типи шифрування). Симетричне шифрування дозволяє хакерам зашифрувати файли швидше асиметричного. У свою чергу, асиметричне шифрування дозволяє хакерам обійтися всього одним приватним ключем. В іншому ж випадку хакерам довелося б вести базу даних унікальних симетричних ключів шифрування для всіх своїх жертв.

Координуючі сервери (C & C) дозволяють копій вірусу обмінюватися даними. Віруси-шифрувальники використовують симетричне і асиметричне шифрування для проведення комп'ютерної атаки наступним чином:

• На сервері хакера за допомогою будь-якого з доступних алгоритмів асиметричного шифрування (наприклад, RSA-256) створюється пара з приватного і публічного ключів.
• Хакери надійно ховають приватний ключ, тоді як публічний вбудовується в код вірусу-здирника.
• Вірус заражає нову систему і відправляє на координуючий сервер унікальний ідентифікатор системи або жертви, а також інші відомості.
• Використовуючи один з симетричних алгоритмів шифрування (наприклад, AES), сервер генерує і відправляє симетричний ключ, створений спеціально для відповідної системи. Симетричний ключ далі зашифрована за допомогою приватного ключа.
• Вірус-вимагач використовує вбудований публічний ключ, щоб розшифрувати отриманий симетричний ключ, і починає шифрувати всі файли жертви поспіль.

Тепер, коли ви знаєте, як діють віруси-шифрувальники, давайте розглянемо способи боротьби з ними.

Крок 3: вибираємо метод вирішення проблеми

Раніше ми розповіли вам методи щодо простого видалення вірусів перших двох категорій.

На жаль, позбутися від вірусів-шифрувальників набагато складніше. По-перше, вам треба визначити тип заразив ваш комп'ютер вірусу. Це може бути не найпростішим завданням, адже нові віруси з'являються мало не щодня. Втім, в більшості випадків з цим можна впоратися, якщо трохи пошукати в інтернеті.

Спробуйте зробити скріншоти повідомлення з вимогою викупу, а потім проведіть пошук по картинці - можливо, це дозволить вам визначити тип вірусу-здирника. Крім того, завжди можна шукати по фразам з тексту вимоги викупу.

Подумайте, чи будете ви платити викуп . Звичайно, заохочувати грошима хакерів не варто, однак якщо ваші дані занадто цінні або важливі, щоб ось так от просто втратити до них доступ, то чому б і ні? Вирішуйте самі, але не платите викуп, якщо тільки це не є абсолютною необхідністю.

Але врахуйте, що для вас в цій ситуації немає ніяких гарантій: ви можете заплатити викуп, але так і не отримати доступ до файлів!

Крок 4: починаємо діяти

Якщо ви визначили тип вірусу-здирника, який влучив у ваш комп'ютер, то пошукайте в мережі способи його видалення. Код самого вірусу стабільно неефективний, якщо можна так висловитися: розробник може забути видалити ключ шифрування з програми, яка отримує його і шифрує файли.

І якщо вірус вже добре відомий, і якщо в його коді знайшлися уразливості, то ви напевно знайдете безліч посібників про те, як його видалити, на сайтах на кшталт nomoreransom.org .

Так як багато вірусів-вимагачі просто видаляють оригінали файлів, зашифрувавши їх копії, то вам може стати в нагоді програма для відновлення видалених файлів. Коли ви видаляєте файл, ви не видаляєте його з диска фізично (якщо тільки файл не виявляється перезаписан якимось іншим файлом). Як наслідок, у вас є всі шанси відновити свої важливі файли - наприклад, за допомогою спеціальних безкоштовних програм.

Якщо нічого не допомогло, то вам пора приймати важливе рішення: заплатити викуп або втратити всі свої дані. Втім, гарантій немає ніяких. Будь-які рішення з цього приводу слід приймати виключно на свій страх і ризик.

До слова, якщо у вимозі викупу є адреса електронної пошти, то можна спробувати поторгуватися з хакерами. Ви здивуєтеся, але досить часто це спрацьовує!

Якщо ви вирішили, що не будете платити викуп, то далі вам потрібно буде видалити всі дані з вашого комп'ютера. Так, ви втратите всі ваші дані назавжди. Якщо ж у вас є резервна копія даних на зовнішньому жорсткому диску, НІ В ЯКОМУ РАЗІ, не намагайтеся підключати диск, поки ви повністю не отформатіруете комп'ютер.

Кращий спосіб видалення вірусів-вимагачів наступний: потрібно відформатувати жорсткі диски вашого комп'ютера (хоча б той, де встановлена ОС). Якщо йти на такі заходи ви не готові, то переконаєтеся, що вірус не вразив завантажувальний сектор. Детальніше про це можна дізнатися в інтернеті.

Потім вам потрібно оновити ваш антивірус і провести повну глибоку перевірку комп'ютера. Чи не зашкодить провести перевірку ще й за допомогою програми, створеної для пошуку і видалення шкідливого ПЗ. Це дозволить вам видалити вірус без сліду.

Крок 5: розбір польотів

Отже, вірус ви видалили. Тепер настав час озирнутися назад і подумати, як же так вийшло, що ваш комп'ютер виявився заражений. Як то кажуть, краще лікування - це профілактика. В даному контексті це твердження як ніколи актуально. Користувач повинен надійно захистити свій комп'ютер, так, щоб будь-який вірус обламав про нього зуби.

Будьте пильні і пам'ятайте про наступне:

1. Слідкуйте за тим, щоб ваш антивірус використав найактуальніші бази;
2. Завжди перевіряйте адреси сайтів, на які ви заходите;
3. Не заводьте на своєму комп'ютері підозрілі програми. Кряки, кейгени та інші подібні програми часто виявляються зараженими вірусами.
4. Не дозволяйте підозрілим сайтам запускати виконуваний контент в вашому браузері.
5. Регулярно оновлюйте вашу операційну систему. Віруси-вимагачі нерідко заражають комп'ютери через уразливості старих версій операційних систем, так і не виправлені розробниками. Хакер, наприклад, може скористатися помилкою в роботі модуля Windows RDP, щоб отримати доступ до підключеного до мережі комп'ютера і запустити на ньому вірус.