«Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов запустили совместный проект для борьбы с
программами-шифровальщиками (ramsomware) под названием No More
Ransom.
No More Ransom – портал, на котором пользователи могут получить информацию о шифровальщиках,
узнать, как защитить свою информацию, и что делать, если она уже оказалась
зашифрована злоумышленниками.
Портал состоит из нескольких разделов. Первый, «Криптошериф», дает возможность
проверить, можно ли расшифровать поврежденные вирусом файлы. Для этого
пользователям предлагают загрузить пару файлов и текст записки с
вымогательством (такие сообщения, с информацией о том, куда пересылать деньги,
обязательный элемент ransomware). Если нужный «ключ»
доступен, специалисты по кибербезопасности перешлют его пользователю.
Те посетители, которые уже знают тип вируса, могут скачать нужный
дешифратор самостоятельно. На сегодняшний день на сайте доступны четыре инструмента
для дешифровки, подходящие для нескольких широко распространенных вирусов.
Кроме того, на портале представлена информация о шифровальщиках и советы о
том, как защититься от него и предотвратить заражение.
Заражение вирусом-шифратором чаще всего происходит через спам-письмо с
вложением. Как правило, эти вложения носят совершенно невинные названия, вроде «Резюме».
Реже вирус распространяется инфекционным путем, от одного устройства к другому.
Если на компьютер установлен антивирус со свежими базами, вирус удаётся
распознать и удалить, а файлы – расшифровать, подбирая пароли к методам шифрования, используемым в конкретном вирусе.
Однако некоторые вирусы-шифровальщики работают
значительно более «надежно»: одни, как Trojan.Encoder.102, требуют дешифровки
длиной в недели, а то и месяцы, другие же (Trojan.Encoder.283) корректно расшифровать
и вовсе невозможно.
Многие платят выкуп в надежде вернуть доступ к файлам, что отчасти объясняет популярность шифраторов в среде киберпреступников: это попросту выгодно. Тем не менее, значительная доля шифраторов не предусматривает отправку пользователю ключа для дешифровки, даже если он перевел им требуемую сумму. «Повторяю: оплата выкупа не гарантирует восстановления доступа к файлам», — подчеркивает Артем Баранов.
Пользователи, как правило, не делают защиту от шифровальщиков своим приоритетом, их больше беспокоит утечка паролей или других конфиденциальных данных. За последние два года количество жертв таких вирусов увеличилось в 5,5 раз, подсчитали аналитики «Лаборатории Касперского».
Инициатива по созданию портала хороша, но ничего революционного в ней нет, считает генеральный директор компании Zecurion Алексей Раевский. «Наличие утилит для расшифровки не гарантирует, что можно будет расшифровать данные в приемлемое время, поэтому не надо думать, что это будет какая-то панацея, — рассуждает он. — Но любой информационный ресурс на эту тему и любой повод поговорить о проблеме, возможно, увеличат число задумавшихся, и, возможно, принявших превентивные меры, а следовательно, уменьшит количество жертв».
Идея «Лаборатории Касперского» и Европола очень важна, так как портал станет единой точкой для решения проблем с шифрованием файлов на машинах пользователей, добавил ведущий консультант по информбезопасности системного интегратора «Инфосистемы Джет» Андрей Попов. «Может, она сейчас не включает все проблемы, но, тем не менее, это одна из первых попыток как-то объединить усилия по борьбе с вирусами-шифровальщиками», — отметил Попов. Если актуальность этого ресурса не упадет, то перечень инструментов и технологий использования борьбы с шифровальщиками будет только расти, прогнозирует эксперт.
Как же предотвратить заражение и спасти свои данные в том случае, если оно уже состоялось? Так как шифровальщики попадают на заражаемые устройства примерно так же, как и другие зловредные программы, общие рекомендации остаются те же, что и в случае с любыми вирусами.
Не стоит открывать письма от подозрительных отправителей, не посещать непроверенные веб-сайты (если очень надо, то хотя бы делать это с виртуальной машины, не имеющей доступа к файловой системе реальной машины или к файловым серверам в локальной сети). Рекаомендуется регулярно обновлять браузер, плагины (flash,pdf, java, silverlight и др.), иметь установленное защитное решение (антивирус) со всеми активированными модулями и обновленными базами. Это очень простые советы, но их соблюдение практически наверняка защищает от заражения.
Дополнительно против шифровальщиков огромное значение имеет своевременный бэкап и регулярное резервное копирование ценных данных, подчеркивают эксперты. Важно, чтобы резервные копии хранились на носителях, недоступных для записи все время, кроме момента непосредственно создания резервной копии. Если бэкап будет доступен для записи всегда, то троянец просто зашифрует его.
Несмотря на предупреждения аналитиков о том, что перечислять деньги вымогателям нельзя, иногда это самый разумный выбор для пользователя, считает Андрей Попов.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.