Напоминаем, что открывать файлы программ или скриптов пришедшие по почте нельзя, только документы. Особое внимание уделяйте архивам, даже от знакомых партнеров. Скрипт по почте или снова о шифровальщиках Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта. Как опознать: файлы получают дополнительное расширение (в порядке появления версий) uncrpt@gmail_com unstyx@gmail_com unblck@gmail_com paystyx@gmail_com Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей) Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят: 1. bat-файл, который и отвечает за процедуру шифрования 2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки) 3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику 4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа) Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные. После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
Тут как раз в первый рабочий день открыл одно письмо с претензией. Вообщем все файлы на компе были зашифрованы. Появилась надпись шантажистов: Если Вы хотите восстановить файлы, то нужно сделать то то и то то. Вообщем денег кроме всего прочего. Полез на просторы инет, смотреть какие у меня варианты в решении данной проблемы. Утешительного было мало. Совет везде давался один: не платить денег, т.к. не факт, что они уберут вирус и расшифруют. Знакомый программист убрал этот вирус, но многие файлы были потеряны. Вообщем соблюдайте осторожность.
САБУР, меня знакомый системщик тоже предупреждал про этих шифровальщиков. Защита от них единственная, делать резервные копии на DVD, туда пока еще вирусы не проникают. Вирусы шантажисты убирают, дают ключ. Но денег стоит. Если не будут давать ключ, им никто платить не станет
