В последнее время вредоносы-шифровальщики стали, пожалуй, основным источником проблем с компьютерами и другими интеллектуальными устройствами. Число заражений велико и постоянно растет, и результат деятельности зловредов, увы, вполне осязаем. Так что задача предотвращения заражения или, если оно уже произошло, минимизации его последствий актуальна до чрезвычайности.

Что такое шифровальщик

Шифровальщики не являются последним достижением вирусописательской мысли. Первые их образцы увидели свет еще в середине 1990-х годов. Наибольшее распространение тогда получил зловред OneHalf, который, о чем и говорило его название, шифровал ровно половину файлов на диске. Впрочем, злоумышленники использовали не слишком сильные алгоритмы и общий для всех ключ, так что расшифровка данных обычно не составляла больших проблем. Хотя процесс восстановления содержимого на диске мог занимать сутки и даже больше.

В прошлом веке злоумышленники писали вирусы ради самоутверждения, как правило, не преследуя выраженных корыстных целей. А вот авторы шифровальщиков последнего времени требуют определённой выплаты за восстановление испорченных данных. Обычно в качестве выкупа используется криптовалюта биткоин, хотя не так давно злоумышленники хотели, чтобы за расшифровку им передавали реквизиты карт моментальной оплаты, популярных в западноевропейских странах. Некоторые зловреды уничтожали файлы, если выкуп не был получен в установленные сроки. В соответствии с данными как минимум четырех международных антивирусных лабораторий, по итогам первой половины 2016 года именно шифровальщики заняли около половины новых образцов вредоносного кода.

При этом нынешние вирусописатели более ленивы, чем их предшественники. Как отмечает аналитик из «Лаборатории Касперского» Сергей Ложкин, многие современные зловреды не содержат подсистему шифрования, используя в таковом качестве хорошо известные приложения с открытым кодом, например GNU GPG, которая запускается с помощью скрипта. Активируется данный скрипт при попадании на зараженную Web-страничку. Очень часто в роли контейнера для вредоносного кода выступают документы в форматах приложений Microsoft Office или PDF, которые, в свою очередь, попадают на компьютер через электронную почту либо на внешних накопителях. Применяются и исполняемые файлы, маскирующиеся под другие типы с использованием двойных расширений, скажем, .JPG.EXE. Именно таким образом действует очень опасный зловред Crysis.

Важно отметить, что шифровальщики существуют уже не для одной только Microsoft Windows, как это было со зловредами большинства других классов. Имеются вредоносы и для Unix-подобных систем, включая Linux и OS X/macOS. Целью вредоноса являются файлы данных, права доступа к которым есть и у непривилегированного пользователя, при этом GNU GPG в системе уже установлена. Специфика Unix-подобных систем состоит лишь в том, что заражение происходит исключительно при посещении скомпрометированных Web-сайтов; файлы документов в качестве контейнеров практически не применяются. Появились шифровальщики и для наиболее широко распространенной мобильной платформы Android. Эти вредоносы эксплуатируют многочисленные уязвимости как программной платформы, так и систем на чипе, на которых базируются устройства.

О профилактике

В настоящее время много говорят о том, что вирусописатели проигрывают авторам антивирусных средств. Так это или нет, но антивирус с последними обновлениями все равно необходимо устанавливать. Даже если речь идет о платформах, которые считаются неуязвимыми для вредоносного ПО, вроде Mac и Linux, а также о мобильных ОС. От новых зловредов антивирус вряд ли поможет, зато однозначно не даст совершить свое черное дело относительно старым вредоносам.

Однако более эффективным инструментом профилактики являются средства предотвращения фишинга. Ведь именно эту технологию чаще всего используют злоумышленники для того, чтобы заманить пользователя на зараженную страничку. Такого рода средства включаются во многие Web-браузеры, например Opera, российские «Яндекс.Браузер» и «Спутник».

От значительной массы потенциальных заражений может защитить блокировка вложений в электронные письма в формате исполняемых файлов. Это можно сделать как в клиентских приложениях, так и на уровне почтового сервера в компании. Необходимо также блокировать запуск любых исполняемых файлов из каталога с временными файлами. Соответствующие инструкции легко найти в Интернете.

Открывать вложенные файлы следует в альтернативных приложениях. Если документ офисного формата будет открыт, например, в LibreOffice.ORG, то заражения не произойдет, поскольку эксплойты, которыми пользуются вирусописатели, рассчитаны исключительно на Microsoft Office, причем только для Windows. С PDF-файлами, которые тоже часто используются в качестве контейнеров для распространения вредоносного ПО, все точно так же.

На мобильных платформах необходимо устанавливать обновления безопасности, как только они появляются. Надо блокировать установку приложений из сторонних источников. Впрочем, даже в официальный магазин приложений Google Play вредоносы периодически попадают, и за этим стоит пристально следить. Особенно если приложение занимает необычно много места или активирует явно ненужные для его работы функции. Особая бдительность требуется в том случае, если устройства базируются на чипах Qualcomm, таких как Samsung Galaxy S7 и S7 Edge, Sony Xperia Z Ultra, Google Nexus 5X, 6, 6P, HTC One M9, HTC 10, LG G4, G5, V10, Motorola Moto X, OnePlus One, 2, 3, BlackBerry Priv и еще целый ряд других.

Следует озаботиться и тем, чтобы организовать резервное копирование информации с локальных дисков ПК, в том числе портативных, и с мобильных устройств. При этом резервные копии должны храниться отдельно от устройства, где они были сделаны, так как шифровальщик может добраться до любых данных, которые хранятся локально и на подключенных по умолчанию сетевых дисках. Так что автоматического подключения сетевых каталогов желательно всячески избегать. Особенно если речь идет о таблицах баз данных, с которыми работают бизнес-приложения.

И наконец, необходимо повышать осведомленность сотрудников. Постоянно напоминать им, что нельзя открывать вложения в почтовых сообщениях от незнакомых адресатов, равно как и файлы на найденных где-то флешках. Что нужно избегать подключения к открытым беспроводным сетям, через которые очень часто распространяется вредоносное ПО, в том числе и шифровальщики. И так далее.

Если заражение все же произошло

Прежде всего о том, чего делать нельзя. Не стоит платить злоумышленникам. С большой долей вероятности, получив деньги, они просто перестанут отвечать. Есть и такие зловреды, которые уничтожают данные даже после внесения выкупа.

Меньше всего проблем будет у тех, кто регулярно, лучше ежедневно, делал резервные копии. Достаточно просто восстановить свои данные из последнего бэк­апа. Потери в этом случае будут минимальны.

Но даже если резервное копирование не делалось или делалось, но давно, то тоже не стоит опускать руки. Есть шанс восстановить данные из теневой копии. Это средство впервые появилось еще в Windows XP. Детальную инструкцию по восстановлению файлов с помощью таких инструментов можно найти, например, по адресу http://ab57.ru/recoverysh.html. Однако стоит иметь в виду, что некоторые шифровальщики удаляют теневые копии, так что рассчитывать на эту функцию можно не всегда.

Существует шанс, что файл удастся расшифровать. Соответствующий инструментарий и инструкции по его использованию можно найти на сайтах ведущих антивирусных компаний. И эти инструменты постоянно обновляются.

Шанс этот, однако, весьма невелик: по статистике компании DrWeb в среднем удается восстановить лишь 10% файлов. А потребоваться на это может несколько дней. Впрочем, есть и такие семейства шифровальщиков, после заражения которыми вероятность успешного восстановления очень высока (http://antifraud.drweb.ru/encryption_trojs/). При этом стоит иметь в виду, что существуют мошенники, берущие деньги за восстановление зашифрованных файлов. Но пользуются они все теми же инструментами, которые предлагаются антивирусными компаниями.