Crysis шифровальщик как работает
2. Что такое вымогатели (ransomware)?
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.
Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.
3. Сколько денег требуют в качестве выкупа?
4. Зашифрованные файлы можно восстановить без выкупа?
Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.
Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.
5. Как платят выкуп?
Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.
Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти — когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.
6. Как на мой компьютер могут попасть вымогатели?
Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.
Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).
Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.
Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.
7. Каких файлов стоит опасаться?
Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).
Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.
8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?
9. У меня Mac. Для них же нет вымогателей?
Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.
Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.
Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.
10. А я с телефона. Мне не страшно?
Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.
11. Что, даже для iPhone есть вымогатели?
12. Как можно понять, что подцепил вымогателя?
Шифровальщик непременно расскажет вам об этом сам. Вот так:
А блокировщики делают это как-нибудь так:
13. Какие бывают наиболее примечательные вымогатели?
14. Что делать, если я подцепил вымогателя?
От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.
С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.
Следующий этап — восстановление зашифрованных файлов.
Если есть резервная копия, то проще всего восстановить файлы из нее.
Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.
15. Почему не стоит платить выкуп?
Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.
Во-вторых, не стоит поддерживать преступный бизнес.
16. Я нашел нужный декриптор, но он не помогает
Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.
17. Если вовремя заметил угрозу, можно что-то сделать?
В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.
18. А если я делаю бэкапы, я в безопасности?
Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.
19. Антивируса достаточно, чтобы не заразиться?
Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.
В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.
20. Можно что-то настроить на компьютере, чтобы защититься надежнее?
а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.
б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.
Я тут у вас.
Описание вируса шифровальщика Crusis (Dharma)
За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.
Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю. Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный - 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.
Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.
Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.
На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:
Любопытно, что изменились права на директорию Рабочий стол. У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy, в которой был сам вирус - файл l20VHC_playload.exe.
Ответ на пост:"Транспортный налог"
У меня друг ветеран боевых действий (прошу не стебаться), человек честно выслужил положенное. Данное звание даёт человеку ряд льгот. Одна из них - освобождение от транспортного налога. Так вот он ТРИ года носил в нашу налоговую заверенные копии своего удостоверения ветерана боевых, чтобы ему перестали начислять транспортный налог на его жигу. И только на 4ый год. думаете налог не пришёл, херас там, налоговая подала на него в суд за неуплаченный налог за три года!
Судья мирового суда читая материалы дела сидела с видом Лаврова из знаменитого мема.
Введение
История будет от первого лица, так как пострадали от шифровальщика данные и инфраструктура, которой я управлял. Как не прискорбно в этом признаваться, но частично я сам виноват в том, что произошло, хотя знаком с шифровальщиками очень давно. В свое оправдание скажу, что данные потеряны не были, все было быстро восстановлено и расследовано по горячим следам. Но обо всем по порядку.
Нескучное утро началась с того, что в 9:15 системный администратор с одного удаленного объекта позвонил и сказал, что в сети шифровальщик, уже зашифрованы данные на сетевых дисках. Холодок пробежал по коже :) Он начал своими силами проверять источник заражения, а я своими. Конечно же, я сразу пошел на сервер, отключил сетевые диски и стал смотреть лог обращений к данным. Сетевые диски настроены на samba, обязательно включено логирование файловых операций. По логу сразу увидел источник заражения, учетную запись, от которой работал шифровальщик, и время начала шифрования.
Покупка квартиры
Как и множество наших сограждан – жил я на съемной квартире и не тужил.
За пять лет последнего съёма все вообще было замечтательно. Квартира – вот как для меня спроектирована. И хозяев я видел ажно два раза.
Разок на подписании договора и второй – при затоплении квартиры из за протечек на крыше. Актик для УК их пригласил подписывать.
Ну уведомили и пропали в туманной дали… Живу себе дальше… 1-е апреля - хозяева объявились вновь:
-Dizi17 мы, надумали! Купи квартиру сам! Все равно в ней живешь. И цена средняя по рынку.
-Да не вопрос, ток бабла у меня нет. Давайте ипотеку возьму?
-Да нам монопенесуально, бабло есть бабло. Бери ипотеку.
Ну ок, налоговая-банк-ипотека. Собрал бумаги, взял выписку о отсутствии задолженностей, принес в банк 2НДФЛ за пять лет…
Через неделю сбер мне одобрил нужную сумму.
-Квест выполнен, бабло добыто!
-Ну ты Dizi17 крут! Сейчас документы подготовим!
Апрель уже потихоньку к второй половине подходит. От хозяев не слуху не духу, ипотечное одобрение тоже на исходе… Я, попутно, мониторю сайты недвижимости. Ну так, любопытства для. И тут, с удивлением вижу свою хатку в объявах. Все огонь, все честно, цена та же, свободная продажа, подходит для ипотеки и вообще для чего угодно.
-Да вот так дядя Dizi17, эт наш, специально обученный риелтор накосячил. Но мы это исправим вот прям сча!
-Да? А нафига нам риелтор?
-Ну у нас риелтор специальный, высоко-анальный, мы без него не можем! Мы ему уже бабла заслали!
-Ну грузите хату силами риелтора в ДомКлик и звоните.
Проходит еще пару дней…
-ЗдГаствуйте Dizi17, это риелтор ваших квартирных хозяев. Приходите к нам договор подписывать.
-А вы в домклик квартиру загрузили?
-И все документы подготовили?
-Да. Вы что, в нашей компетенции сомневаетесь.
-Тогда ждем к 14-00.
Я, лезу в домклик, выбираю нужную квартиру и неспешно выдвигаюсь в офис к риелторам.
Думаю… А что мне нужно для подписание предварительного договора? Паспорт? Ок. Денег на аванс (задаток)? Тоже ок. Приехал.
Встречает меня тетенька риелтор:
-Дайте нам ваш паспорт для составления документов. А сами прочтите договор.
-А документы на квартиру? А условия сделки?
- Dizi17 вы что юрист?
-Ну вот и читайте договор.
Какая милота, думаю я… Логика то железная… Смотрю на договор. Маловато. Два экземпляра, каждый на одиноком листике А4…
Читаю… Договор между мной и агентством. На оказание консультационных услуг. Цена договора – скромненько. Всего 50 000 рублей. Зато про продажу квартиры там ни слова…
-Тетя риелтор, а что это значит?
-Как что, мы вас консультируем!
-Как найти квартиру, как подготовить документы, если квартиру найдете, то о ее особенностях.
-Э-эээ… Тут я даже подзавис на минутку…
-А ничего, что квартира найдена, документы готовит банк, хозяев я знаю дольше чем вы, и о особенностях квартиры я сам за 5 лет проживания - могу сагу написать? Так что давайте ка договорчик трёхсторонний, о продаже квартиры. И 50 000 рублей возьмёте хоть как задаток, хоть аванс?
- Dizi17, ты что самый умный? Подписывай что дали! Или вали отсюда нахрен.
Понимая, что дарить 50 000 рублей не очень приятной тете я не готов – ухожу. Благоразумно прихватив с собой не только свой паспорт, но и образец столь значимого договора…
Не прошло и часа, звонок арендодателей:
Ну ладно. Весна, обострения, неблагополучные отношения… Всякое бывает…
Следующее утро началось с очередного звонка риелтора:
-Это вновь риелтор ваших квартирных хозяев. Приходите к нам договор подписывать.
-Нет. Только на квартиру.
-А вы точно все документы подготовили?
Ну ок, прихожу. С недовольным лицом мне вручают папочку документов. Листаю, читаю, думаю о своем, о женском…
Адрес - тот, хозяин - тот, город - тоже тот. А вот, нестыковочка: В выписке квартира ДВУХ комнатная. Фигакс! Живу то я в студии. Ну ладно, ну 70 квадратов, но как я и люблю - студия. Даже балкона нет!
-Тетя риелтор, а что это значит?
-А фигня, там просто перепланировка не узаконена.
-А мы вам фальшивую бумажку с планами для оценщика дадим.
-Да? А банк потом меня нахлобучит за перепланировку в залоговом имуществе?
-Ну это уже не наша проблема.
Ок, время потрачено зря. Ухожу…
Что то не то.. Но… А… То! День сурка. Вновь, опять, звонок арендодателей:
-Не, не совсем. Но давайте вскладчину оплатим согласование и через пару недель оформим, как положено?
И, где то же в то же время звонят арендодатели:
-А может скидочку?
-Конский препуций тебе в пасть, а не скидочку!
-Дядя Dizi17, а фиг ли ты еще не съехал?
-Да у меня еще дофига времени оплачено.
-Да? А где договор?
Выдаю копию договора. Копию радостно забирает риелтор. Читает, улыбается, обращается ко мне:
- Dizi17, договорчик то старый! Его продлять надо было. Так что собрался и свалил. Пока полицию не вызвали!
-Ну что же вы документы так невнимательно читаете. Отвечаю я…
-Вот же все написано. Продление автоматически, при условии своевременной оплаты.
-Так расписок на оплату у тебя нет!
-Ну так вали из квартиры.
-Не-а. У меня выписки банковские есть. Квартиру организация снимает по безналу.
После этого, убедившись, что потенциального покупателя уже и след простыл – комиссия удаляется.
Следующие четыре месяца прошли у моих бывших арендодателей напряженно. Деньги за аренду поступать перестали. Неожиданно да? За то коммунальные платежи списывали исправно.
Мифический покупатель с толстой пачкой наличных и с полным презрением к документам тоже не нашелся. Редкие посетители на просмотр перемежались с не менее редкими любителями посуточной аренды.
При случайных встречах со мной – зачастившие в свою недвижимость собственники испепеляли меня гневными взорами…
В сентябре, цена на столь привлекательную недвижимость снизилась на 12%.
И тут, возникшие варианты экономии подвигли меня на хитрый ход.
Я взял в банке кредит. Просто кредит, без ипотеки.
А потом понадобилась помощь мамы. Ну обязаны же родители помогать своим великовозрастным детишкам? Обязаны. Вот и я так подумал. Благо фамилии у нас разные.
А я, ну что я… Просто пришел на заключительный акт. Который акт приема-передачи. Вид бывших владельцев был достоин кисти мастера. А слова, и целые идиомы в мой адрес заставляли руку тянуться за блокнотиком…
Сэкономленных денег хватило и на ремонт и на согласования перепланировок. Еще и на новоселье осталось.
Методы защиты от вируса-шифровальщика
Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про вирусы. Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне. Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.
Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.
Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.
Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.
Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.
Исторический юмор
Как вирус вымогатель Crusis (Dharma) шифрует файлы
Расскажу еще некоторые подробности о том, как шифровальщик поработал. Я не упомянул важную вещь. Данный компьютер был в домене. Шифрование файлов было выполнено от доменного пользователя. Вот тут возникает вопрос, откуда вирус его взял. На логах контроллеров доменов я не увидел информации и подборе пароля пользователя. Не было массы неудачных авторизаций. Либо использовалась какая-то уязвимость, либо я не знаю, что и думать. Использована учетная запись, которая никогда не логинилась в данную систему. Была авторизация по rdp от учетной записи доменного пользователя, а затем шифрование. На самой системе тоже не было видно следов перебора пользователей и паролей. Практически сразу был логин по rdp доменной учеткой. Нужно было подобрать, как минимум, не только пароль, но и имя.
К сожалению, на учетной записи был пароль 123456. Это была единственная учетная запись с таким паролем, которую пропустили админы на местах. Человеческий фактор. Это был руководитель и по какой-то причине целая череда системных администраторов знали про этот пароль, но не меняли его. Очевидно, в этом причина использования именно этой учетной записи. Но тем не менее, остается неизвестен механизм получения даже такого простого пароля и имени пользователя.
Зараженную шифровальщиком виртуальную машину я выключил и удалил, предварительно забрав образ диска. Из образа забрал сам вирус, чтобы посмотреть на его работу. Дальнейший рассказ будет уже на основе запуска вируса в виртуальной машине.
Еще небольшая подробность. Вирус просканировал всю локальную сеть и попутно зашифровал информацию на тех компьютерах, где были какие-то расшаренные папки с доступом для всех. Я первый раз видел такую модификацию шифровальщика. Это действительно страшная вещь. Такой вирус может просто парализовать работу всей организации. Допустим, по какой-то причине, у вас был доступ по сети к самим бэкапам. Или использовали какой-то ненадежный пароль для учетной записи. Может так получиться, что будет зашифровано все - и данные, и архивные копии. Я вообще теперь подумываю о хранении бэкапов не только в изолированной сетевой среде, но вообще на выключенном оборудовании, которое запускается только для того, чтобы сделать бэкап.
Главное не пить, а то не получится
Ответ на пост «Не подведи Рома. Живи»
Если кому интересно, Рома таки выжил! 3 месяца в реанимации, 23 операции, и врачам удалось его спасти! Молодец Рома. Ура докторам!
Кто не в курсе - 12ти летний парень при пожаре спасал двухлетнего брата, получил 50% ожогов, разбил окно, вылез через него с ребенком, передал брата подоспевшему соседу и только после этого потерял сознание.
Тест на сексуальность пройден
Иронично
Решил посмотреть тут Игру в кальмара, и т.к. смотрел на неофициальном сайте естественно было много рекламы от 1хбред, и вот вопрос. Ребята когда рекламу азартных игр и ставок впихивали в этот сериал знали о чем он? На мой взгляд отличная антиреклама получилась.
Что такое Ransomware
В нескольких словах: что такое трояны-вымогатели, почему о них надо знать и как от них защититься.
Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.
Что такое Ransomware?
Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.
По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).
Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.
Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.
Почему о вымогателях стоит знать и что в них страшного
Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.
К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.
Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.
Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.
Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.
Как расшифровать файлы?
Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.
Как защититься от вымогателей?
Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.
Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.
На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.
Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)
Вот пример типичного обращения с форума Касперского.
Там же ниже комментарий модератора.
А вот опыт одного из пользователей, который заплатил злоумышленникам и восстановил свои файлы.
Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя. Возникает только вопрос - как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.
Вирус Crusis (Dharma) - как расшифровать файлы и удалить вымогателя
Шутка над батей
Случай в офисе
У нас сегодня в офисе раздался хлопок. Как потом выяснилось, это подорвался пердак одного из наших логистов, который давно просил новый монитор, а сегодня при получении аванса обнаружил что его стоимость вычли из его зарплаты.
Бухгалтер (недоумевая) - А чего ты кричишь то? Будешь увольняться, заберешь себе.
Ответ на пост «Жадный таксист»
Помнится в 2000-е, когда не было никаких Уберов и Яндексов, и все ловили частников "от бордюра", останавливаю такси:
- Добрый вечер! До Марьино.
- Всегда езжу за 150.
- Да никто за 150 туда не поедет. Это стоит дороже. Я же вас не обманываю. Хотите поедем по счётчику, сами убедитесь.
- Ладно. Я опаздываю. Поехали по счётчику.
Приезжаем. На счётчике 90 руб.
Протягиваю купюру 100 руб. со словами:
- Спасибо! Сдачи не надо.
- Так вы же говорили 150.
- Ну, вы же сами сказали, что за 150 не поедете, что поедем по счётчику. Всего доброго!
Как расшифровать и восстановить файлы после вируса Crusis (Dharma)
Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:
- Инструмент теневых копий windows.
- Программы по восстановлению удаленных данных
Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool. Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.
После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.
Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого - ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.
Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.
Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.
Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.
Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов - восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.
Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.
Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.
Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:
- R.saver
- Starus File Recovery
- JPEG Recovery Pro
- Active File Recovery Professional
Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.
Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.
Видео c расшифровкой и восстановлением файлов
Здесь пример похожей модификации вируса, но видео полностью актуально и для combo.
Во славу Императору!
Удобство
Где скачать дешифратор Crusis (Dharma)
Прикрепляем 2 файла и вставляем содержимое информационного обращения шифровальщика и жмем Проверить.
Если вам повезет, получите какую-то информацию. В моем случае ничего не нашлось.
Искать где-то еще дешифраторы через поиск в интернете, я думаю, не стоит. Вряд ли они найдутся. Скорее всего это будет либо обычный развод с мусорным софтом в лучшем случае, либо новый вирус.
Важное дополнение. Если у вас установлена лицензионная версия какого-то антивируса, обязательно создайте запрос в ТП антивируса на тему расшифровки файлов. Иногда это действительно помогает. Я видел отзывы об успешной расшифровке силами поддержки антивируса.Сюрприз
Ответ на пост «Жадный таксист»
Приехал я в маленький городок в 3 часа ночи. Выхожу на привокзальную площадь - стоит таксист (куда же без него). Подхожу (т - таксист):
Я: за сколько туда-то?
Т: 200!
Я: давай за 150. (Я знаю что в городке днём поездки дороже 120 не бывает).
Т: за 150 не поеду.
Ну не поедешь и не надо, я закрыл дверь, достал телефон и вызвал Яндекс.Такси. Вызов принял тот же бомбила, только стоимость поездки была уже 120.
И не обманул, ведь. За 150 не поехал.
Вспоминается старый анекдот:
я таксиста обманул: деньги заплатил, а сам не поехал.
Действительно
Всем кто пострадал от шифровальщика CrySiS.
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.
А от vault есть что-нибудь?
Поймали на домашнем компьютере подобный (только расширение vault). Муж открыл архив, который прислали заказчики по работе. и полетело все к чертям! Все вордовские, экселевские файлы, абсолютно все фото за весь период существования цифрового фотоаппарата. Обидно до слез. Причем фото зашифровались даже на облаке. Перешли по ссылке, требовали 12 тысяч+увеличивалась стоимость каждую неделю. Платить соответственно не стали. Винду переустановили, фото скинули на жесткий, ждем когда кто-нибудь придумает как расшифровать.
Теперь научилась делать бэкапы и архивировать фото)
Пару москвичей продали в рабство в Дагестан — их похитили на трассе Дон, по которой они автостопом ехали в Крым
Водитель автобуса предложил их довезти прямо до места. Утром оказалось, что они в Дагестане, и вместе с остальными пассажирами проданы в рабство.
Пару купил местный фермер за 50 тысяч. Месяц они работали на него, потом смогли сбежать. Ребята вернулись в Москву и планируют добиться справедливости — заявления в полицию Дагестана результата не дали.
Как лечить компьютер и удалить вымогатель Crusis (Dharma)
Само тело вируса было продублировано в пуске в разделе Startup у всех пользователей и в windows/system32. Более внимательно я не смотрел, так как не вижу в этом смысла. После заражения шифровальщиком я настоятельно рекомендую переустановить систему. Это единственный способ гарантированно удалить вирус. Вы никогда не будете полностью уверены в том, что вирус удален, так как он мог использовать какие-то еще неопубликованные и неизвестные уязвимости для того, чтобы оставить закладку в системе. Через некоторое время через эту закладу вы можете получить какой-то новый вирус и все повторится по кругу.
Так что я рекомендую сразу же после обнаружения шифровальщика не заниматься лечением компьютера, а переустанавливать систему, сохранив оставшиеся данные. Возможно, вирус успел не все зашифровать. Эти рекомендации относятся к тем, кто не собирается пытаться восстановить файлы. Если у вас есть актуальные бэкапы, то просто переустанавливайте систему и восстанавливайте данные.
Ответ на пост «Я тут у вас. »
Читайте также: