16 февраля 2016г. появилась первая официальная информация о новой разновидности шифровальщика под условным названием LOCKY. Имя вируса соответствует расширению, которое присваивается зашифрованным файлам. В день заражению подвергается около 100 тысяч компьютеров и ноутбуков по всему миру. Вспышки эпидемии зафиксированы в США, Пакистане, России, Мали, Евросоюзе.
В этой статье мы расскажем:
[dt_list style=»1″ bullet_position=»middle» dividers=»false»][dt_list_item image=»»]что собой представляет вирус LOCKY[/dt_list_item][dt_list_item image=»»]какие типы документов шифрует LOCKY[/dt_list_item][dt_list_item image=»»]как защитить компьютер от атак шифровальщика [/dt_list_item][dt_list_item image=»»]как удалить LOCKY с компьютера [/dt_list_item][dt_list_item image=»»]как восстановить файлы LOCKY[/dt_list_item][/dt_list]
Что такое вирус-шифровальщик Locky?
Locky представляет собой шифратор, схожий по алгоритму действий с трояном Dridex Банковский вирус, получивший широкое распространение в 2014 г..
Шифратор распространяется посредством файлов Microsoft Word (как правило, по электронной почте). Открывая вложение с инвойсом, счетом-фактурой или иным привычным документом, вы обнаруживаете проблемы с кодировкой: письмо представляет собой хаотичный набор символов. При автоматической подгрузке макросов заражение начинается моментально; при отключенных макросах система запрашивает разрешение на их запуск для корректного отображения содержимого файла. Далее происходит фоновая установка и запуск исполняемого файла из папки Temp, после чего вся личная информация пользователя шифруется.
Пример заражения компьютера
вирусом LOCKY: на рабочий e-mail приходит первичная бухгалтерская документация от мнимого контрагента.
К письму прилагается файл с пояснительной информацией. Как только документ открыт и макросы запущены, начинается процесс шифрования данных. Зашифрованные файлы приобретают следующий вид: F67091F1D24A922B1A7FC27E19A9D9BC.locky ([уникальный_id][идентификатор].тип расширения)
Какие файлы шифрует LOCKY?
Шифрованию подвергаются все медиафайлы Фотографии, видеозаписи, аудиофайлы, документы, архивы, базы данных, приложения. Причем заражение касается не только жесткого диска, но и съемных носителей, а также сетевых дисков под ОС Windows, Linux, OS X.
Если вы обладаете биткоинами, кошелек также будет зашифрован.
Как защитить компьютер от шифратора LOCKY?
Общие советы по безопасности остаются прежними: следить за актуальностью баз данных антивирусного ПО, не подключать к устройству незнакомые внешние носители информации, запретить автоматический запуск файлов со съемных носителей, не скачивать файлы с незнакомых сайтов и не запускать подозрительные исполняемые файлы (с разрешением .exe)
Специалисты в сфере IT безопасности компании Sophos выработали ряд специальных рекомендаций, способствующих защите компьютера или ноутбука от вируса Locky и аналогичных шифровальщиков:
[dt_list style=»2″ bullet_position=»middle» dividers=»false»][dt_list_item image=»»]не запускайте макросы в документах MS Word, полученных по электронной почте[/dt_list_item][dt_list_item image=»»]не открывайте сомнительные вложения[/dt_list_item][dt_list_item image=»»]регулярно создавайте резервные копии системы, сохраняйте их на автономном носителе.[/dt_list_item][dt_list_item image=»»]своевременно устанавливайте обновления операционной системы, баз данных антивируса, приложений[/dt_list_item][dt_list_item image=»»]используйте учетные записи с ограниченными полномочиями (входите в учетную запись Administrator только если в этом действительно есть потребность)[/dt_list_item][dt_list_item image=»»]используйте инструмент для просмотра файлов от Microsoft[/dt_list_item][/dt_list]
Как удалить LOCKY с компьютера?
Ввиду того, что первая информация о вирусе появилась менее недели назад, достоверных данных о лечении и способах восстановления данных крайне мало.
Предположительно, заражение вирусом является однократным и не влечет для системных файлов каких-либо серьезных последствий. Помимо шифровки файлов, энкодер меняет фоновый рисунок рабочего стола на инструкцию по переводу денег, а также сохраняет в реестре Windows файл с данными HKCUSoftwareLocky.
Теневые копии, из которых могла бы быть восстановлена система, также удаляются.
Таким образом, если зашифрованные файлы не являются для вас ценными, вы можете отформатировать диск и заново установить операционную систему.
Как восстановить файлы LOCKY?
На данный момент единственным известным способом восстановить зашифрованные файлы является передача выкупа мошенникам.
Для этого злоумышленники размещают подробную инструкцию в качестве фонового рисунка рабочего стола. Перевод денег осуществляется через даркнет Даркнет (DarkNet) — частная сеть, соединения которой устанавливаются
Вероятность того, что вирус будет расшифрован, есть, но требуется определенное время для изучения алгоритма шифровальщика. Опыт трояна-энкодера VAULT показывает, что на это могут уйти годы.
Если ваш компьютер подвергся атаке шифратора Locky, но платить выкуп злоумышленникам вы не намерены, возможно следующее решение: обратиться к сотрудникам компьютерной помощи для изъятия жесткого диска и его замены на новый (пока ведущие специалисты в сфере IT безопасности не подберут алгоритм расшифровки данных).
Дата размещения: 20 февраля 2016г.
