КОМПЬЮТЕРНЫЙ ВИРУС-ШИФРОВАЛЬЩИК - ЛЕЧЕНИЯ НЕТ!

Повышенная вирусная опасность! Речь пойдет о так называемом вирусе вымогателе-шифровальщике под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”).

Антивирусы Вам не помогут. Многие популярные антивирусные программы, к сожалению, пропускают данный вирус, как свидетельствуют посетители форумов:
http://forum.kaspersky.com/index.php?showtopic=232546

Проблема в том, что когда Ваш компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Но Вам это уже не поможет. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусним программам необходимо время, чтобы начать распознавать новый тип вируса. И то, они это делают после того, когда уже кто-то заразился и отослал им «тело» вируса для анализа. А отославшему «тело» вируса уже ничего не остается, кроме, как отложить зараженный винчестер в ящик и ждать, когда ключ RSA1024 взломают (а это может случиться через эн...ное количество лет) или найдут уязвимость в нем. Второй вариант: отформатировать винчестер и установить новую систему. А данные ведь потеряны!

Я думаю, Вам уже стоит задуматься: стоит ли рисковать, какова вероятность того, что Ваш компьютер не заразится вирусом-шифровальщиком? Так рассмотрим по-подробнее данный вирус.

«Оповещен - значит вооружен!»

Вирус-шифровальщик проникает на компьютер 3-мя способами:

1 - Через вложение к письму.
В письме он может иметь вид: «акт.doc.....................exe» или «Благодарственное письмо.hta», «Вы видите только акт.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word». Дважды нажав, Вы запускаете программу Акт.doc.....................exe, которая начинает шифровать файлы на Вашем компьютере.

2 - Через файл взломанной программы.
Вы решили скачать программу, за которую не желаете платить деньги, и поэтому в поисковике набрали типа: «программа версия 2.0 взломанная версия скачать». Поисковик выдает Вам целую кучу ссылок, Вы нажимаете на них и в конце концов видите картинку, в которой Вы узнаете нужную вам программу. Вы нажимаете кнопку на сайте «скачать». После того, когда файл закачается на Ваш компьютер, Вы нажимаете на данный файл и ожидаете начала установки данной программы.
Все. Вирус запущен. Началось шифрование Ваших файлов.

3 - Через самораспаковывающийся архив.
Возможно проникновение как через вложение к письму, так и путем скачивания каких- либо неизвестных программ или утилит с непроверенных сайтов.

При попадании на компьютер данный вирус шифрует все файлы.

После того, когда все файлы упакованы, вирус может выдать окно с текстом типа:

«Все файлы на Вашем компьютере зашифрованы, желаете их расшифровать — пишите письмо по адресу ..... и мы вышлем Вам дальнейшие инструкции» или
«Заплатите 150USD на кошелек 2334344454 и перешлите нам на адрес ..... код и время транзакции. После этого мы вышлем Вам программу, которая распакует Ваши файлы».

Или в корне диска C Вы обнаружите файл КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. Внутри данного файла будет текст (приведён реальный пример):

"Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

Напишите нам письмо на адрес ..... чтобы узнать как получить дешифратор и пароль.

Среднее время ответа специалиста 2-10 часов.

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!"

И вся проблема в том, что если Вы даже пойдете на переговоровы с вымогателями, то нет никакой уверенности, что они Вам пришлют программу-расшифровщик.

Мне самому пришлось столкнуться с вирусом-шифровальщиком. У знакомого на компьютере стоял антивирус Avira (бесплатная версия), там же стояла 1С бухгалтерия. После того, как вирус «поработал» на данном компьютере, ничего не осталось. При запуске 1С выдавал ошибку на файл 1cv7.md. На диске D появилась папка 1С_Архив, а внутри десяток файлов с расширением zip, каждый файл по 5 Мб. Все графические файлы, файлы mp3, видео файлы не запускаются - все зашифрованы. При попытке отправить письмо вымогателю для выяснения требований - получили возврат письма с указанием того, что почтовый ящик более не существует.

В общем, это сравнимо с ситуацией из фантастического рассказа, как-будто у Вас есть свой частный дом, но пришел кто-то, обнес этот дом силовым полем и вовнутрь этого дома Вы уже не попадёте. Даже если у Вас есть супер-оружие - Вы только всё разрушите безвозвратно. Если у Вас только нет устройства, которое выключит это силовое поле или, хотя бы, сделает брешь в нем.

Алгоритм шифрования (RSA1024) — RSA 1024 бит, который применяет данный вирус, не взламывается! Точнее, его можно взломать, но для этого надо будет взять в аренду все суперкомпьютеры, которые есть в мире (и неизвестно, сколько десятилетий или столетий они будут пытаться взломать данный ключ). И опять похоже на фантастику. Но математика такова: чтобы взломать RSA длинной 768 бит, т.е. подобрать ключ методом перебора (так называемый brute force), необходимо иметь 1 000 000 USD и 1 год вычислений. В 2008 году кто-то заявлял, что ключ взломан, но до сих пор (2013 год) никто не предоставил доказательства взлома ключа.

Кто желает ознакомиться с тем, возможно ли с помощью полного перебора всех варианов взломать данный алгоритм, советую почитать данную статью: http://cybervlad.net/faq-cle/

С сайта http://virusinfo.info/showthread.php?t=24090:

"Лаборатория Касперского" ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист» http://www.viruslist.com/ru/analysis?pubid=188790045), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.

Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса."

То есть, реальных шансов взломать данный ключ пока нет.

Так что же делать?

Если у Вас на данный момент на жестком диске есть фотографии, видео или другие файлы, которые Вам важны, есть 4 варианта обезопасить себя (свои данные на компьютере) от действий данного вируса.

Во-первых, дублировать личные семейные архивы или другую важную для Вас информацию на компакт дисках. Поверьте, компакт диски стоят дешевле, чем, например, единственная копия свадебных фотографий или видео того, как впервые пошел Ваш ребёнок. Для бухгалтеров - сохранять документы и базы 1С или других бухгалтерских программ на компакт диски.

Во-вторых, хранить все важные вам файлы в «облачных хранилищах».

В-третьих, есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в операционках Windows, начиная с Windows 2000 (подробнее: http://ru.wikipedia.org/wiki/Шифрованная_файловая_система). Имеет смысл попробовать отключить данную службу, может это остановит хотя-бы некоторые из модификаций данного вируса.


В-четвертых, устанавливать Linux. Почему Linux? Потому, что вирусы на Linux очень редкое явление, которое скорее является исключением. Linux намного более защищена, чем другие операционные системы. И данный тип вируса (который рассматривается в данной статье) не распостраняется на Linux.

О вирусах на Linux:
http://otvety.google.ru/otvety/thread?tid=43ad65304b711d76
http://ubuntu-repository.blogspot.com/2011/02/linux.html
на украинском:
http://uk.wikipedia.org/wiki/Список_комп%27ютерних_вірусів_та_хробаків_під_Linux
на русском:
http://ru.wikipedia.org/wiki/Вредоносные_программы_для_Unix-подобных_систем

Подробнее читайте о Linux в разделе "Бесплатные программы", читать...


Никогда не храните важные данные на винчестере
и флешках!

Флешки могут элементарно "умереть" от того, что человек вытянул её в то время, когда на неё записывались или считывались данные.

Это также касается надежности винчестеров, они ломаются и восстановление данных на них стоит очень дорого. Причины поломки: сбой по питанию (не выдержал блок питания компьютера), перегрев (чаще встречается на ноутбуках), падение или удар, или просто износ, или конструктивный брак. Например: если у Вас есть винчестер на 1 терабайт и, не дай бог, сгорит контроллер винчестера (это небольшая платка, которая прикреплена к винчестеру), тогда для того, чтобы восстановить данные с данного устройства Вам придется выложить от 100 до 250 USD. Вы за эти деньги можете купить 1 или 2 таких же винчестера. Но информация стоит дороже!

 

Лучшие курсы обмена WebMoney