Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.
Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.
Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.
Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.
Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:
1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.
При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!
4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.
Зашифрованные файлы выглядят следующим образом:
5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.
Примерное содержимое файла PAYCRYPT_GMAIL_COM
Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024
1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.
2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта «за урок»
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OSDATE CRYPTED: 2_.0_.2014 / 11:50.
Вот такие вот вежливые нынче кибер-преступники.
Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:
1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.
2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.
3. и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.
В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.
На неделе получил такое письмо
, адресовано не мне, но попадает именно в мой почтовый ящик. Случайность или умышленная отправка?
Сразу же, что приходит на ум, о кто то запарился
, сейчас я узнаю, чей то секрет
. В тексте письма узнаём, что есть ещё и фото. О крутяк! А вдруг, там баба голая .
И уже хочется поспешно скачать фото и посмотреть его. Очень сильно у людей связано чувство любопытства, ну нравиться нам — копаться в чужом белье? .
Но я, не я, потому пишу эту статью.
ОПРЕДЕЛИТЬ ПИСЬМО С ВИРУСОМ
Во первых, давайте перед скачиванием, попробуем проанализировать письмо и только после — принять решение, а вдруг, это письмо с вирусом
. Давайте попробуем, это определить
. Итак, шапка письма:
От кого:
Yana Panova
Кому:
[email protected]
Из неё мы ведем, что оно попала не по адресу, а это два варианта отправки:
- ошибка
- специально
Пока рано тут, что то определить
и переходим к тексту письма.
Тема:
Привет ты пропала куда-то?
Содержание письма:
Привет, как ты?
у нас всё нормалёк, мы даже с Пашей собрались поехать в Таиланд либо в Египет, ну и вот сейчас
обдумываем куда ехать.
И да кстати и фотка которую, обещала послать?
поздновато конечно, но всё же!
работы было многовато эти дни, сейчас уже меньше,
ну, а как у тебя дела кстати?
————————————————————————————
Yana Panova
Тут только одно понятно, что письмо реально предназначено не мне:
- обращение к женскому роду
- я не знаю Пашу, который собирается в Таиланд или Египет
Опускаемся ниже и идём к предложению, скачать ту самую фотку с названием IMG_1845.JPG.s.exe.
Проверка писем идёт доктором Веб – а это не антивирус, а пародия на него. Он вирусы пропускает, как к себе домой.
Название файла, похоже на название фотографий с фотоаппаратов IMG_1845.JPG , но разница есть, концовка другая. Ну, всяко бывает, может у неё фотик такой? Может, но файл с окончанием.exe , никак не может быть фотографией, это загрузочный файл приложения, потому как файлы фотографий.JPG.
Вот тут, уже ум, начинает думать по-другому и гасит интерес к скачиванию файла. Изначально в письме обман, будь это ошибочным письмом или специально посланным. А если это обман, да ещё и загрузочный файл, то как то, напрашивается вопрос! Что он загрузит?
Ну, кроме, как Трояна или другого вируса, у меня в голове нет, других мыслей, может я и ошибся с предположением, но лучше не рисковать. Раз не мне, значит не моё! И не смотрите, что там надпись, проверено вирусов нет, потому что:
- Загрузочные файлы — не могут проверить антивирусы! Ну не может, он этого сделать. Это всё равно, что врача просить СПИД вылечить.
Может кому не понятно, как я объяснил эту тему в статье, поэтому снял видео, мне кажется там, лучше рассказано и показано. Так, что думайте сами, стоит ли рисковать здоровьем вашего
Социальный инжиниринг остаётся, пожалуй, самым популярным способом заражения компьютеров. Ведь, вместо обхода сложных систем технической защиты, он эксплуатирует самое «слабое звено» - человеческую доверчивость. Более того, с каждым годом социальный инжиниринг становится всё изощрённее. Вместо неуклюжих писем, «попавших якобы не тому адресату», и «нигерийских принцесс» в ход идут намного более реальные, на первый взгляд инфоповоды. Например, сотрудники предприятий могут получить по e-mail «уведомление о налоговой проверке», «досудебную претензию» или просто «документы на подпись», - правда, со странным расширением. О том, как распознать письма с вирусами и не стать жертвой преступников, читайте в сегодняшнем выпуске TechnoDrive.
Приведём несколько реальных писем преступников, сохранив их стилистику:
«Здравствуйте! В нашей компании налоговая проверка. У нас с Вами нет договора и одной счет-фактуры. Огромнейшая просьба подписать, отксканировать и выслать нам сегодня. Документы в приложении - ссылка. С уважением, .....»
«Здравствуйте! При неоплате в установленные сроки суммы долга, будем вынужденны подать исковое требование в арбитражный суд. Оригинал претензии отправили на Ваш почтовый адрес, копия Претензия №4511 - ссылка. Прошу ознакомиться. По всем вопросам звонить: .....»
«Прошу бухгалтера ознакомится с отчётом по задолженности компании на 2 квартал 2015 года. Просим вовремя произвести оплату. Отчёт прикреплён или доступен тут - ссылка. C уважением, .....»
При этом письма обычно вложений не содержат - для прохождения антивирусной проверки на почтовом сервере. Вместо зловредов в приложениях, преступники размещают в тексте гиперссылки для скачивания вирусов. Причём на первый взгляд они могут выглядеть весьма правдоподобно, - равно как и адреса отправителей.
Открыть такую ссылку, чтобы убедиться в обмане, - огромный риск даже при сверхнадёжном антивирусе. Ведь во вложении может оказаться зловред, сигнатуры которого ещё не включёны в базы... Можно попробовать открыть не всю ссылку, а лишь главный домен, - который, скорее всего, окажется либо взломанным корпоративным сайтом (порой зарубежным), либо обычным файлообменником. Но и это довольно рискованно - особенно в первом случае. Более того, вредоносную ссылку злодеи могут спрятать за безобидным описанием (указав внутри тега ссылки текст http://nalog.ru, а сам линк спрятать в параметре href).
Как узнать реального отправителя письма?
Изучите служебную информацию в письме. В почтовой службе Gmail это можно сделать с помощью опции «Показать оригинал» в меню аккаунта, открыв соответствующее письмо.
В Mail.ru после открытия письма становится доступным пункт меню «Служебные заголовки».
А для Outlook Express аналогичная возможность появляется при просмотре письма через «Свойства» / «Подробно» / «Заголовки Интернета для данного сообщения». Если обобщить, служебные заголовки обычно доступны через свойства письма.
Что мы ищем?.. Словосочетания «Recieved: from», «client-ip» или «sender».
Внимание! В других строках, начинающихся с «From» или «Return-path» злоумышленники могут указать что угодно!
Когда вы нашли нужное словосочетание и увидели рядом IP, проверьте его с помощью сервиса Whois . Если владелец «айпишника» выглядит подозрительно, или вообще расположен на другом континенте, вас пытаются обмануть.
Пример: вряд ли стоит верить письму «от Федеральной службы судебных приставов», полученному с IP-адреса 41.211.159.19 (для иллюстрации использован случайный IP-адрес из Африки).
Другие признаки вредоносных e-mail’ов
Также заслуживает внимания текст письма, в котором зловещая ссылка может быть замаскирована безобидным описанием или картинкой. В первом случае - обращаем внимание на значение параметра href, а не текст находящийся между открывающим и закрывающим тегами a. В случае с картинкой ссылка будет находится в параметре src тега img.
Если вы не поняли написанное в предыдущих двух абзацах - не страшно. Ведь бухгалтеры и делопроизводители не должны разбираться в тонкостях HTML-вёрстки и структуре eml-файлов. Просто позовите системного администратора или квалифицированного ИТ-специалиста - и он поможет вам избежать заражения компьютера.
И, наконец, самый главный аргумент, который стоит учитывать при получении подобных писем. Налоговая служба напоминает, что для общения с юридическими лицами и индивидуальными предпринимателями она использует особый порядок электронного документооборота - посредством защищённых каналов связи и аккредитованных операторов. Таким образом, требования на уплату налогов, пеней, штрафов и сборов, различные справки, требования о предоставлении документов либо пояснений налоговыми органами посредством е-mail никогда не рассылаются .
Иными словами, получить на обычный e-mail официальное письмо от налоговой равносильно получению счёта за квартплату по SMS. Что же касается писем с «документами от партнёров», то факт их отправки лучше проверить, позвонив по известному вам (а не указанному в письме!) телефону. Это не займёт много времени, но позволит избежать множества неприятностей, подготовленных изощрёнными киберпреступниками.
Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!
|
В редакцию сайт пришли подозрительные письма, подписанные представителями двух крупнейших банков - Альфа-банка и банка «Открытие». И мы поняли, что обязаны о них рассказать
Письмо от имени «представителя» Альфа-банка гласило, к нему был прикреплен файл:
«Уважаемый(-ая), уведомляет вас о наличии просроченной задолженности. Меня зовут Богун Иван Владимирович, я представитель Альфа Банка. На ваше имя 22.05.2013 была оформлена рассрочка, через наш онлайн банкинг (https://alfabank.ru) на сумму 3 000 000 рублей. На данный момент задолженность не погашена. На 20.11.2016 ваш долг составляет 1 773 000 рублей с учетом пени (0.4%в сутки). и требование о погашении задолженности. В связи с этим, на ваше имя, Альфа Банка был составлен судебный иск.
Ознакомьтесь с документами дела.
С Уважением.
Альфа Банк»
Мы сохранили всю пунктуацию и орфографию оригинального письма, обратите на них внимание. Примечательно, что письмо пришло с адреса, на первый взгляд, напоминающего электронную почту банка - [email protected] . А теперь представьте, что подобное письмо получаете вы, и вы, действительно, являетесь клиентом банка и даже, возможно, у вас есть там кредит. Если не знать базовых правил безопасности в Интернете, нормальная реакция обычного человека - скорее скачать документы и разобраться, в чем же дело. А ведь именно это делать категорически нельзя!
Важно, что мошенники рассылают письма массово и от имени разных банков - уже сегодня мы получили схожее письмо якобы от банка «Открытие», в качестве приманки указывался долг по ипотечному кредиту.
А что банки?
Пресс-служба Альфа-банка попросила переслать им письмо и обещали отправить его в техническую службу на проверку, возможно, по результатам они смогут сказать, какая угроза для вашего компьютера кроется в подобных письмах.В пресс-службе банка «Открытия» поспешили заверить: указанная рассылка осуществлялась от лица третьих лиц, не имеющих отношения к банку. «Для информирования своих клиентов банк рассылает письма только с почтовых ящиков в доменах open.ru и openbank.ru. Кроме того, банк уведомляет своих клиентов о необходимости выполнить обязательства с помощью смс-сообщений на доверенный номер клиента», - указали в пресс-службе.
Представители банка советуют при получении подобного сообщения немедленно обратиться в контактный центр банка и сообщить об инциденте, не открывая вложения и содержащиеся в письме ссылки - они содержат компьютерный вирус.
3 признака письма-вируса
Подобные «письма счастья» и раньше рассылались пользователям, распознать их можно по нескольким признакам:1. Угроза в заголовке
«Уведомление от банка «Открытие», «Повестка в суд», и другие заявления, которые способны запугать человека еще до того, как он открыл письмо. Таким образом мошенники сбивают с толку.
2. Адрес отправителя - ошибка в названии компании или перепутанный почтовый ящик. Например, [email protected] (правильный ящик - [email protected])
3. Вложенный файл . Мошенники намеренно нагнетают обстановку, чтобы вы точно скачали себе письмо, раскрывающее подробности. Делать этого ни в коем случае нельзя - этот файл как раз и содержит вирус. Обратите внимание, в имя файла может входить надпись «.doc» или «.pdf», а дальше указано js или exe - таким образом вас пытаются запутать, представив файл в качестве документа.