ВИРУС CryptoWall — ПЛАТИ ИЛИ…?

  Автор:

Вирусы заражают наши компьютеры так же часто, как муравьи заползают на стол для пикника.

Вирус CryptoWall

Вирусы типа CryptoWall

Что же из себя представляет вирус CryptoWall?
Рано или поздно это может произойти с любым девайсом. Такова природа вредоносных программ, которыми под завязку «нашпигована» сеть интернет. Чем больше появляется различных веб-ресурсов, тем более возрастает опасность заражения вашего компьютера каким-нибудь вредоносным кодом. Суть таких «программ» сводится к простому правилу — плати или потеряешь все данные на своём компьютере.

Всё по существу данной проблемы.

Вот почему вирусы типа CryptoWall (и его предшественник, ныне не существующий CryptoLocker), представляют большую опасность для всех пользователей. Системы семейства Windows, как правило, плохо защищены, от подобного рода угроз. Ниже приведены ответы на некоторые общие вопросы, касающиеся этой проблемы, которые помогут пользователям лучше понять механизм работы этого вируса и улучшить способы защиты своих операционных систем от подобного рода атак.

Вирусы типа CryptoWall

Вирус CryptoWall

Так что же из себя представляет вирус CryptoWall?
Этот вредоносный код классифицируется как троян, который маскируется в системе и, казалось бы, не угрожает приложениям и файлам вашего компьютера. На самом деле этот вирус шифрует файлы операционной системы, с целью последующего вымогательства денег за ключ расшифровки. Вот почему CryptoWall и другие подобные вирусы ещё называют «вымогателями».

После заражения пользователю предлагаются инструменты, с помощью которых он сможет удалить вредоносный код и восстановить все свои файлы. Но для этого ему нужно заплатить определённую мошенниками сумму. После выплаты выкупа пользователь сможет загрузить и запустить приложение, которое очистит компьютер от инфекции и расшифрует зашифрованные файлы, вернув их обратно в рабочее состояние.

Вирус CryptoWall

Вирус CryptoWall

Наиболее типичное распространение вируса CryptoWall через электронную почту, в виде вложения и с заражённых веб-сайтов, содержащих материалы для скачивания с вредоносным кодом. Кроме того, CryptoWall связан с некоторыми сайтами объявлений, содержащими рекламные ссылки многих популярных веб-ресурсов, которые пользователи посещают ежедневно, обеспечивая тем самым дальнейшее распространение вредоносного кода.

Инфекционный процесс, как уже отмечалось ранее, является вполне стандартным для вируса. После заражения он начинает устанавливать сетевые соединения для случайных серверов. Затем происходит считывание всех загруженных данных о соединении, в том числе системной информации, включая ОС.

Вирус CryptoWall

Что же из себя представляет вирус CryptoWall

Далее, удалённый сервер будет генерировать случайные 2048-битный RSA пары ключей, связанные с компьютером. Вирус скопирует открытый ключ на компьютер и начнёт процесс копирования каждого файла в заранее определённый список поддерживаемых расширений. После создания копии она будет зашифрована с помощью открытого ключа, а исходный файл удалится с жёсткого диска компьютера. Этот процесс будет продолжатся до тех пор, пока все файлы, соответствующие поддерживаемым типам расширений, не будут скопированы в зашифрованном виде, в том числе, находящиеся на внешних накопителях и хранящиеся в облачных сервисах.

Вирус CryptoWall

Что же из себя представляет вирус CryptoWall

Наконец, когда процесс шифрования завершится, CryptoWall будет выполнять некоторые команды на местах, чтобы остановить службы теневого копирования томов (VSS), которые работают на всех современных версиях Windows. VSS — это сервис, который управляет резервным копированием и восстановлением данных на компьютере. Он также контролирует версии файлов и хранит историю их изменений. Это делается для того, чтобы в любой момент можно было сделать откат ОС к последней точке восстановления в случае непреднамеренного изменения или катастрофического события. Команда, запущенная вирусом, останавливает эту службу вообще, а также добавляет аргумент команды, чтобы очистить / удалить существующий кэш, что делает процесс восстановления файлов с помощью стандартных инструментов windows практически невыполнимым.

Есть два явных признака, которые указывают на то, что CryptoWall заразил компьютер.

1. При попытке открыть некоторые файлы, такие как .doc, .xls или .pdf, например, файлы запускаются в правильной программе, однако, данные могут быть искажены или неправильно отображается. Кроме того, сообщение об ошибке может сопровождаться при попытке открыть заражённые файлы.

2. Наиболее распространённым показателем будет появление трёх файлов в корне каждого каталога, содержащего данные, которые были зашифрованы с помощью CryptoWall.

  • DECRYPT_INSTRUCTION.txt
  • DECRYPT_INSTRUCTION.html
  • DECRYPT_INSTRUCTION.url

При нажатии на любой из этих файлов, которые являются следствием заражения, CryptoWall, путём пошаговой инструкции, приведёт конечного пользователя к действию, необходимому для осуществления выкупа.

HTML-файл будет на самом деле иметь надпись с указанием количества времени, оставшегося на выкуп и сколько денег запрашивается в качестве оплаты. Как правило, сумма выкупа начинается с 500 долларов США, а таймер обратного отсчёта даёт три дня на перечисление платежа. Когда таймер достигнет нуля надпись измениться. Новая запрашиваемая сумма удвоится до 1000 $ (USD) и срок выкупа увеличится до одной недели. Это означает, что если платёж не поступит за указанное время, то ключ дешифровки и дескрипт-приложение для ваших личных файлов будут автоматически стёрты с удалённого сервера, где они хранились, и вы лишитесь возможности пользоваться своими личными материалами.

Есть два пути решения этой проблемы.
Либо платить, либо не платить. С первым вариантом вроде бы всё ясно, хотя тут тоже есть сложности. Выкуп должен быть оплачен в Bitcoin. Это цифровая валюта, которая используется для оплаты товаров и услуг в сети интернет, аналогично доллару. К сожалению, из-за отсутствия регулирования и общих правил принятия, она используется значительно реже, чем американская валюта. Добавляет сложности то, что многие биржи ставят ограничения на максимальные суммы покупки Bitcoins. Данные ограничения напрямую связаны с действием вируса CryptoWall.

Отмена сделок и ограничения счетов — целенаправленная политика некоторых известных торговых площадок для пресечения использования своих услуг с целью оплаты выкупа мошенникам. Это может вызвать проблему в накоплении необходимой для выкупа суммы.

Если время и технологии не на вашей стороне, как альтернативный жизнеспособный вариант, можно воспользоваться услугами IT-специалиста с большим опытом работы в решении данных проблем. Возможно, он в состоянии будет помочь вам в процессе восстановления ваших данных без каких-либо потерь из-за неуплаты в установленный срок.

Не платить мошенникам — справедливый аргумент, особенно если сумма выкупа не соответствует ценности зашифрованной информации.

Самый эффективный метод в восстановлении ваших данных — использования резервного копирования. Для этого достаточно подключить диск с резервной копией к неинфицированному компьютеру и проверить файлы. Если вирус CryptoWall отсутствует, вам будет достаточно произвести восстановление системы, таким образом вылечив свой компьютер и восстановив ваши данные.

Если резервные копии — локальные или облачные — недоступны, то единственный шанс на восстановление данных будет лежать в VSS, с помощью которой можно попытаться восстановить предыдущие версии файлов или всю систему. Так как большая часть вируса CryptoWall автоматизирована, есть периоды, когда его команды не могут быть выполнены из-за проблем системных ресурсов. Хоть редко в таких случаях, но восстановление всё же может быть возможным, путём инициирования системы по дате и времени.
Заметим, что это исключение, а не правило. Но каждая ситуация должна обрабатываться на основе конкретного случая.

Кроме того, вы можете использовать shadow explorer, чтобы попытаться произвести восстановление. Если этот метод сработает — не забудьте очистить компьютер от любой инфекции, перед восстановлением всех ваших данных. Если система не будет очищена, CryptoWall снова попытается зашифровать файлы — и на этот раз, он может добиться успеха в остановке VSS и очистке кэша.

Есть несколько шагов, которые вы можете предпринять, чтобы защитить ваш компьютер. Прежде всего, необходимо иметь активное антивирусное приложение, с последними файлами описаний вирусов. Не будет лишним сканер вредоносных программ, предпочтительно с активными возможностями сканирования и обновлённым последними файлами определений.

Чтобы полностью избавиться от вируса "CryptoWall" нужно проверит весь компьютер. Компьютер нуждается в скором и немедленном лечении, здесь на помощь нам придёт замечательная бесплатная утилита Norman Malware Cleaner 2.06.01 [21.10.2012] и удалить этот вирус "CryptoWall". Ссылка на сайт где можно скачать утилиту Norman Malware Cleaner 2.06.01 [21.10.2012]

От защиты компьютера перейдём к одной из самых больших проблем — резервному копированию. Созданные резервные копии должны быть сохранены как в локальных хранилищах, так и в облаке. Даже когда сама система находится под угрозой, вы можете рассчитывать на возможность восстановить ваши данные, в случае необходимости.

Другие элементы защиты включают в себя безопасные методы пользования интернетом. Не посещайте сомнительные сайты, не нажимайте на ссылки, найденные в электронной почте и, конечно, никогда не сообщайте свои персональные данные в чатах, форумах, социальных сетях.

Наконец, стоит рассмотреть возможность включения политики ограниченного использования программ, если вы системный администратор на корпоративной сети или с помощью доступных приложений, таких как CryptoPrevent, блокировать многие направления, которые CryptoWall использует, чтобы закрепиться на вашем компьютере.

Вирусы, независимо от того, атакуют они ваши файлы или осуществляют кражу банковских данных, всегда доставляют неприятности. Поэтому общество будет продолжать борьбу с ними. Хотя в случае заражения можно сделать не так много, для исправления ситуации, но можно сделать гораздо больше, чтобы не допустить вирус на ваш компьютер.

Как говорил Бенджамин Джозеф Франклин:
«унция профилактики стоит фунта лечения».

Удачной вам защиты!

Интересная статья? Поделитесь ею пожалуйста с другими:
Похожие записи:
Оставьте свой комментарий:

Оставьте свой комментарий или вопрос

на Блоге
в Вконтакте
в Фейсбук