И снова про шифрование файлов

03.11.2015

Прошло три неполных дня с момента, как мы рассказывали о троянце-шифровальщике Bat.Encoder, его методах распространения, приводили примеры, говорили о способах избежать проблем.
Все уведомленные лица почитали, согласились с необходимостью резервного копирования и… (внимание!) ничего не сделали!
Итак, очередной гвоздь программы: Trojan.Encoder.567, обновленная версия осеннего сезона 2015. В отличие от устаревших представителей вида, расшифровке на данный момент не поддается – крупные антивирусные вендоры уже некоторое время бьются над этой проблемой, но пока, увы, безуспешно.
Как все было у нашего клиента: вечер четверга, ничто не предвещает беды. Наш старый знакомый Вова сидит на рабочем месте и готовится к скорому уходу домой. Просматривает рабочую почту, все как всегда, но одно из сообщений привлекает его внимание.
Еще бы, адрес отправителя смутно напоминал что-то близкое и приятное (то ли следственный комитет, то ли налоговую), в самом сообщении были внушающие доверие фразы «В продолжение нашего разговора по телефону – высылаю…», да и вложение интересно называлось – «Судебное постановление по вашему делу…».
Помня предыдущий опыт, Владимир не стал отправлять письмо никому из коллег, а решил принять весь удар на себя и, задержав дыхание подобно водолазу (потому что по-другому открыть архив, запустить содержащийся внутри файл с именем «Судебное постановление по вашему делу DOC___8278978978979841463030560345746884681432548.scr» и подтвердить его запуск в диалоговом окне Windows не получилось – страшно!), приготовился читать текст постановления.
В следующие несколько минут ничего не произошло… Даже документ не открылся. Нервно выдохнув, Владимир подумал о недавнем свежеобновленном антивирусе, о жизни, о приближающемся вечере… Удалил письмо, почистил корзину и попытался забыть произошедшее, на несколько минут заставившее его покрыться липки потом от страха и дежавю.
Надо сказать, что ему это на удивление качественно удалось! Ибо потом, когда наши инженеры занимались расследованием инцидента, пользователь наотрез отказывался припомнить факт получения и открытия письма.
Но вернемся к тому роковому вечеру. Минут через десять после открытия вложения из письма (восстановлено по prefetch и времени создания файлов) рабочая станция начала становиться все менее и мене «отзывчивой». Владимир, уже поняв, во что снова вляпался, и предвкушая невеселые приключения, перезагрузил ПК и стал искать не открывающиеся файлы с новым расширением (скоро коллекционировать начнет).

Давайте ещё раз разберем ситуацию, и на ее примере попробуем сформулировать более универсальный свод рекомендаций:
1. Вы получаете каждый день массу писем. Часто вам приходят архивы с файлами с длинными именами. Причем, обратите внимание, с очень длинными именами, например: «Судебное постановление по вашему делу DOC___654397582650845643850236505675823965238348.scr».
Согласитесь, с ним явно что-то не так. Отсюда первый вывод: если вы получили письмо с вложением в виде архива, непонятным именем файла – не спешите его открывать. Позовите ответственного инженера. Нет такого – скачайте файл (не запуская!) и проверьте антивирусом. Не умеете – звоните нам по телефону +7-499-653-94-44. За вопрос и ответ на него денег не возьмем! 🙂
2. Случилось страшное – вы что-то скачали, запустили, поняли, что это нечто было совсем не офисным файлом – сразу перезагружайте компьютер. СРАЗУ! Кнопкой отключения питания!
Да, может повредиться загрузочная область Windows, да, может быть проблема с загрузкой ОС, но это восстанавливается грамотным инженером за 20 минут и автоматическими средствами Windows за 30-40 минут. Согласитесь – это лучше, чем БЕЗВОЗВРАТНО утерянные файлы.
3. Вы прозевали ответственный момент и файлы всё-таки были зашифрованы. Точнее, вы заметили, что начали появляться странные не открывающиеся файлы – см. предыдущий пункт.

Сейчас, прочитав все это (да, вот прямо сейчас), подумайте, сколько вы готовы заплатить за информацию на Вашем ПК (за информацию на сервере, если вы ответственны за него)? Больше 20.000 рублей?
1. Да. Тогда срочно идете в ближайший компьютерный магазин и покупаете NAS – коробочку с жесткими дисками, подключаемую в локальную сеть. Лучше всего NAS QNAP или Synologi (субъективно по нашему опыту, не реклама). У последнего, кстати, есть агент для установки в Windows и организации автоматического резервного копирования по расписанию.
2. Нет. Ничего страшного, есть варианты:
2.1. Нужно срочно понять где в локальной сети можно хранить резервные файлы. Это место должно отвечать следующим требованиям (как минимум):
2.1.1. Быть другим устройством, т.е. данные и их копия должны размещаться на разных ПК
2.1.2. Устройство должно быть доступно по сети в момент выполнения резервного копирования.
2.1.3. На устройстве, применяемом для резервного копирования, должно быть как минимум в 25 раз больше свободного места, чем занимают сохраняемые данные. Место будет распределено следующим образом: 7 ежедневных копий, 4 еженедельных, 12 ежемесячных + запас.
Не знаете о чем здесь вообще речь? Звоните по уже известному номеру +7-499-653-94-944 или пишите запрос оператору сайта https://itssupport.ru

3. Вообще нет. Ну, что поделать? Копить на дань злоумышленникам и верить в удачу.