+7 (499) 653-94-99
3

И снова про шифрование файлов

Прошло три неполных дня с момента, как мы рассказывали о троянце-шифровальщике Bat.Encoder, его методах распространения, приводили примеры, говорили о способах избежать проблем.


Все уведомленные лица почитали, согласились с необходимостью резервного копирования и… (внимание!) ничего не сделали!
Итак, очередной гвоздь программы: Trojan.Encoder.567, обновленная версия осеннего сезона 2015. В отличие от устаревших представителей вида, расшифровке на данный момент не поддается – крупные антивирусные вендоры уже некоторое время бьются над этой проблемой, но пока, увы, безуспешно.
Как все было у нашего клиента: вечер четверга, ничто не предвещает беды. Наш старый знакомый Вова сидит на рабочем месте и готовится к скорому уходу домой. Просматривает рабочую почту, все как всегда, но одно из сообщений привлекает его внимание.


Еще бы, адрес отправителя смутно напоминал что-то близкое и приятное (то ли следственный комитет, то ли налоговую), в самом сообщении были внушающие доверие фразы «В продолжение нашего разговора по телефону – высылаю…», да и вложение интересно называлось – «Судебное постановление по вашему делу…».
Помня предыдущий опыт, Владимир не стал отправлять письмо никому из коллег, а решил принять весь удар на себя и, задержав дыхание подобно водолазу (потому что по-другому открыть архив, запустить содержащийся внутри файл с именем «Судебное постановление по вашему делу DOC___8278978978979841463030560345746884681432548.scr» и подтвердить его запуск в диалоговом окне Windows не получилось – страшно!), приготовился читать текст постановления.


В следующие несколько минут ничего не произошло… Даже документ не открылся. Нервно выдохнув, Владимир подумал о недавнем свежеобновленном антивирусе, о жизни, о приближающемся вечере… Удалил письмо, почистил корзину и попытался забыть произошедшее, на несколько минут заставившее его покрыться липки потом от страха и дежавю.


Надо сказать, что ему это на удивление качественно удалось! Ибо потом, когда наши инженеры занимались расследованием инцидента, пользователь наотрез отказывался припомнить факт получения и открытия письма.


Но вернемся к тому роковому вечеру. Минут через десять после открытия вложения из письма (восстановлено по prefetch и времени создания файлов) рабочая станция начала становиться все менее и мене «отзывчивой». Владимир, уже поняв, во что снова вляпался, и предвкушая невеселые приключения, перезагрузил ПК и стал искать не открывающиеся файлы с новым расширением (скоро коллекционировать начнет).

Давайте ещё раз разберем ситуацию, и на ее примере попробуем сформулировать более универсальный свод рекомендаций:
1. Вы получаете каждый день массу писем. Часто вам приходят архивы с файлами с длинными именами. Причем, обратите внимание, с очень длинными именами, например: «Судебное постановление по вашему делу DOC___654397582650845643850236505675823965238348.scr».
Согласитесь, с ним явно что-то не так. Отсюда первый вывод: если вы получили письмо с вложением в виде архива, непонятным именем файла – не спешите его открывать. Позовите ответственного инженера. Нет такого – скачайте файл (не запуская!) и проверьте антивирусом. Не умеете – звоните нам по телефону +7 (499) 653-94-99. За вопрос и ответ на него денег не возьмем!

Читайте также
01 / 03