Антивирусная правДА!TM

8 августа 2023

О троянах-вымогателях, или, как их еще называют, шифровальщиках, мы уже рассказывали на страницах «Антивирусной правды». Этот вид вредоносных программ справедливо считается одним из самых опасных — совокупный материальный ущерб от действий шифровальщиков за последний десяток лет едва ли поддается подсчетам. При этом речь идет не только о деньгах, отданных злоумышленникам в качестве выкупа. Затраты на восстановление после инцидентов, упущенная прибыль, потерянное время и, конечно же, уничтоженная информация, ценность которой в принципе может не иметь денежного выражения, — вот настоящие последствия таких атак.

Если вы следите за новостями и тенденциями в сфере информационной безопасности, то у вас может сложиться впечатление, что в последние годы атаки с использованием троянов-шифровальщиков угрожают лишь крупным корпорациям и государственных учреждениям. Действительно, каждый год мы можем наблюдать десятки подобных случаев, которые освещаются различными ресурсами, посвященными компьютерной тематике. Мотивы киберпреступников понятны: успешно атакуя большие компании, можно рассчитывать на соответствующие «гонорары». Перспектива уничтожения или, хуже того, обнародования чувствительной информации несет серьезную угрозу всему предприятию, поэтому некоторые жертвы готовы идти на сделку, чем и пользуются вымогатели.

К сожалению, все это вовсе не означает, что простые пользователи и домашние системы и сети перестали быть мишенью шифровальщиков. В интернете по-прежнему находится огромное количество различных модификаций троянов этого семейства, которые часто распространяются в составе почтовых вложений или маскируются под полезные программы. Небольшие компании, которые не уделяют должного внимания информационной безопасности и соответствующей подготовке своих сотрудников, также находятся в зоне риска. Атака необязательно должна быть целевой, чтобы нанести серьезный урон бизнес-процессам.

Мы часто говорим о том, что угрозу всегда проще и дешевле предупредить, чем разбираться с последствиями произошедшего инцидента. Сценарии и исходы атак вымогателей лишь доказывают это утверждение. О том, как минимизировать риски заражения трояном-шифровальщиком, мы тезисно разбирали в одном из прошлых выпусков. Сегодня же поговорим о том, что делать, если данные на вашем компьютере уже оказались зашифрованы.

Для начала напомним, как в большинстве случаев функционирует обычный троян-вымогатель. Запустившись, он начинает процесс шифрования файлов на компьютере согласно своей программе. Эта программа, во-первых, определяет, какие именно файлы должны быть зашифрованы. Чаще всего это изображения, документы, архивы, файлы баз данных, резервные копии и другая пользовательская информация. Как правило, в коде трояна определен список расширений и даже названий файлов, подлежащих шифрованию. Во-вторых, шифрование файлов осуществляется по определенному алгоритму с помощью ключа шифрования. Обычно троян шифрует все файлы указанных расширений, к которым может получить доступ. Некоторые модификации вымогателей также пытаются получить доступ к сетевым дискам или другим подключенным к компьютеру устройствам. Таким образом троян может зашифровать файлы в том числе на внешних дисках и сетевых хранилищах. Процесс шифрования — не одномоментный, то есть если принудительно выключить компьютер при работе программы, часть файлов останется нетронутой. Время работы шифровальщика будет зависеть от количества обрабатываемых файлов, быстродействия компьютера и алгоритма работы самого трояна. После того, как файлы будут зашифрованы, вредоносная программа создает на рабочем столе так называемую «записку о выкупе» (англ. ransom note) — текстовый файл с объяснением произошедшего, требованиями и контактами злоумышленника.

Большинство шифровальщиков добавляют в название измененного файла свое расширение, по которому в том числе можно попытаться определить экземпляр трояна. Стоит сказать, что зашифрованные файлы — это не просто измененные данные. Чаще всего в процессе работы вредоносная программа создает временный зашифрованный файл на основе «чистого», затем этим временным файлом перезаписывает оригинал. Такой подход технически усложняет возможность восстановления информации без дешифровки.

Если так случилось, что файлы оказались зашифрованы трояном, то самым правильным и простым решением проблемы был бы запуск антивирусного сканера для нейтрализации угрозы с последующим восстановлением данных из актуальной резервной копии. Но суровая правда жизни состоит в том, что резервные копии есть далеко не у всех. Если зашифрованные данные представляют большую ценность, то у пользователя может появиться соблазн заплатить злоумышленнику выкуп, чтобы вернуть свои файлы. Зачастую киберпреступники в своих записках обещают не только восстановить данные, но и поделиться «тайными» знаниями о том, как защитить свой ПК от подобных атак в будущем — в общем, всячески склоняют пользователя к сделке.

Специалисты по информационной безопасности настоятельно рекомендуют не поддаваться на вымогательство злоумышленников. Оплата поощряет дальнейшую преступную деятельность и стимулирует вирусописателей разрабатывать новые версии вредоносного ПО. Кроме того, нет никаких гарантий, что после оплаты оператор шифровальщика выйдет на связь и пришлет ключ дешифровки. Примечательно, что создатели троянов не всегда имеют возможность расшифровать данные, зашифрованные их же программой. Наконец, компьютер может быть заражен старым экземпляром шифровальщика, оператор которого по каким-либо причинам отошел от дел. Но можно ли что-то сделать самостоятельно?

На самом деле дальнейший исход инцидента во многом будет зависеть от удачи. Если компьютер заражен шифровальщиком, ключ дешифровки которого есть в открытом доступе, то можно считать, что пользователь отделался легким испугом. Плохая новость состоит в том, что вероятность такого события весьма мала — в мире существуют тысячи модификаций троянов-вымогателей, и современные их версии используют криптостойкие алгоритмы шифрования и ключи, уникальные для каждой копии вредоносной программы. Восстановление файлов из теневых копий ОС Windows также возможно далеко не всегда — эффективные шифровальщики способны удалять служебные файлы, необходимые для восстановления данных штатными средствами.

Итак, как же быть, если файлы оказались зашифрованы? Прежде всего, следует изолировать компьютер, если он является частью сети. После этого мы рекомендуем обратиться в техническую поддержку «Доктор Веб», воспользовавшись специальной формой на нашем сайте. Вам потребуется сохранить образец зашифрованного файла и записку о выкупе на отдельный носитель (о том, как сделать это правильно, речь пойдет ниже), после чего инфицированный компьютер лучше на время отключить. Все дальнейшие действия, в том числе обращение в техническую поддержку, следует совершать на другом устройстве. Помните, что попытки изменить или удалить поврежденные или временные файлы, а также запуск каких-либо программ восстановления и другие самостоятельные действия в зараженной системе могут привести к тому, что данные не получится восстановить даже специальной утилитой с нужным ключом. Поэтому важно дождаться вердикта специалистов о технической возможности восстановления, прежде чем предпринимать какие-либо дальнейшие шаги, в том числе лечить систему с помощью антивирусной программы.

Параллельно с этим мы рекомендуем написать заявление в полицию по факту несанкционированного доступа к вашему компьютеру, распространения вредоносных программ и вымогательства. Если киберпреступники по всему миру вместо получения ожидаемого выкупа будут чувствовать лишь пристальный взор правоохранительных органов, едва ли это будет мотивировать их и дальше заниматься столь бесполезной и опасной деятельностью — цифровым вымогательством. Но помните, что в случае открытия дела вас могут попросить передать зараженное устройство для проведения экспертизы, которая займет некоторое время. И даже если такой шаг не поможет вам здесь и сейчас, обращения граждан все-таки будут являться движущей силой, направленной против злоумышленников. А это аргумент в пользу того, что в будущем подобных инцидентов станет меньше.

Если же вы хотите попробовать самостоятельно решить проблему, то в интернете существует ряд специальных сервисов, которые на основе анализа образца зашифрованного файла и записки о выкупе определяют модификацию трояна. После того, как станет известно, какой именно шифровальщик побывал на вашем компьютере, вы можете поискать в интернете ключи дешифровки и инструкции по восстановлению файлов. Напомним, что все действия по расследованию инцидента вам следует выполнять на стороннем устройстве. При этом соблюдайте меры предосторожности при переносе образцов файлов на съемный носитель. Чтобы уменьшить риски, включите на зараженном устройстве отображение скрытых и системных файлов. Затем перенесите на отформатированную «флешку» нужные данные — образцы зашифрованных файлов и текстовый документ с запиской о выкупе. При этом убедитесь, что никаких лишних файлов на съемном диске не появилось. Стоит отметить, что трояны-шифровальщики обычно не распространяются через съемные накопители, но дополнительная осторожность в этом вопросе не повредит. А вот если вы подключите к зараженному устройству накопитель с данными, то велик риск того, что имеющиеся на нем файлы также будут зашифрованы. Поэтому мы рекомендуем в качестве безопасной среды использовать наш продукт Dr.Web LiveDisk, о возможностях которого мы рассказывали в этой статье. С его помощью можно перенести нужные данные, при этом вредоносная программа не сможет работать в его окружении.

Следуя такому же принципу, вы можете скопировать все зашифрованные файлы на отдельный чистый носитель, чтобы расшифровать их в будущем, когда ключ дешифровки будет найден. Вероятность такого события может стремиться к нулю, но исключать ее нельзя — в особенности если утраченные файлы имели для вас особую ценность.

Как видите, успешная атака трояна-шифровальщика, задействующего криптостойкие алгоритмы, оставляет не слишком много путей вернуть свои файлы. Вирусописатели продолжают совершенствовать свои творения и, как правило, тестируют свежие сборки вредоносных программ на обнаружение антивирусами. Это значит, что риск заражения присутствует всегда, особенно в случае халатного отношения к цифровой безопасности. При этом использование комплексной антивирусной защиты и соблюдение несложных правил вкупе с регулярным созданием резервных копий сводит практически на нет все усилия цифровых вымогателей.