В последнее время значительно участились случаи заражения компьютеров вирусами-шифровальщиками с последующим вымогательством денежных средств за расшифровку информации. Буквально на прошлой неделе работа нескольких предприятий в Тайване была приостановлена на три дня из-за разновидности вируса WannaCry. Этот вирус-шифровальщик появился в мае прошлого года. Тогда атаки производились на компьютеры с операционной системой Windows в 74 странах, после чего они блокировались, а за возвращение доступа хакеры просили деньги. Не исключено, что и в этом сезоне атаки преступников будут продолжены. Как защитить себя и свою компанию, рассказывает руководитель отдела ИТ «УГМК—Телеком» Арсений Шустров.

Что происходит?

Всё начинается с отправки письма на электронный адрес компании. Такое письмо может быть специально адаптировано под сферу деятельности предприятия, чтобы повысить вероятность его прочтения. Письма могут выглядеть как письма клиентов, счета, письма из суда, налоговой, резюме и пр. Цель мошенников одна — сделать так, чтобы человек запустил файл, который находится в письме (например, график, таблицу, текстовый документ) или перешёл по ссылке и скачал вирус, ничего не подозревая. Бизнес-процессы невозможны без использования приходящих извне файлов, поэтому зачастую сотрудники открывают и загружают новые документы, не задумываясь.

Вирусы-шифровальщики при попадании в компьютер шифруют файлы на жестком диске, на съемных носителях (флэшки, USB-диски) и на подключенных сетевых дисках. Работает шифровальщик так: вирус стирает всю информацию в файлах, оказавшихся под его атакой, и помещает вместо неё зашифрованную копию. Большие файлы вирус будет шифровать дольше, поэтому есть вероятность, что вы заметите проблему раньше. Последние версии этих вирусов используют стойкие алгоритмы шифрования, без знания ключа расшифровать информацию практически невозможно.

Как распознать вредоносное письмо?

1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, счёт или резюме.
2. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:».
3. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик).
4. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.
5. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятность, что его ПК взломали или заразили вирусом.

Что делать, если заражение уже произошло?

Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит», открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!

Если шифрование уже состоялось, ни в коем случае не пытайтесь самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком. В обоих случаях нужно немедленно сообщить о происшествии в отдел ИТ вашего предприятия.

Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.