16 марта 2015 г.

Шифрующий вирус

Коллеги, сейчас в сети блуждает жуткий вирус, который может легко испортить настроение любому пользователю. Пожалуйста, проведите профилактические работы.

Что видит пользователь:
1) Все файлы переименованы в виде: fpoakdwaopkdwildnldmna
2) Файлы не открываются
3) Вместо обоев на рабочем столе сообщение злоумышленника.

Как работает вирус:
1) Первая часть вируса устанавливается в браузер в виде расширения.
2) Вирус ждёт, пока кто-нибудь из коллег отправит вам письмо с архивом. Вы открываете письмо, Google пишет, что приложения проверены на вирусы и всё хорошо (оно действительно так).
3) Вирус подменяет саму ссылку на скачивание файла. И, когда вы на неё кликаете, вы скачиваете не отправленное вам приложение, а вредоносный архив.
4) Т.е. имя вредоносного архива полностью совпадает с именем присланного архива, вы без всяких сомнений открываете его.
5) В момент открытия архива срабатывает скрипт, который копирует вторую часть вируса в систему.
6) Вторая часть вируса шифрует файлы (ms office, 1c и т.п.). У файлов шифруется не только имя файла, но и содержание. На рабочий стол устанавливается заставка с эл. адресом хакера, для связи. Хакер просит за расшифровку 15 000 рублей.

Капля дёгтя:
Вирусные лаборатории Касперского и Dr. Web работают над вирусом, обещают, что скоро научатся его обезвреживать. Однако, лаборатории заявили, что расшифровывать файлы они НЕ БУДУТ. Учитывая, то что каждую неделю хакер выпускает НОВУЮ версию вируса - ждать лаборатории не вариант, надо защищать компьютеры.

Что делать?
1) Не забывать делать резервные копии файлов, представляющих для вас ценность. Google Drive вам в помощь (только не включайте автоматическую синхронизацию).
2) Заблокировать возможность установки расширений в Google Chrome (список разрешённых расширений устанавливаете вы сами).
3) Заблокировать адрес neighborhoodcomputers точка com на уровне браузера. Сам адрес опасности не представляет и блокировать его на уровне сети - нет смысла. Я до конца ещё не разобрался, но вероятно что вирус подменяет DNS (файл hosts) и обращение идёт не на сервер сайта, а на сервер злоумышленника.
4) Не открывайте ссылки в письмах от неизвестных вам отправителей.

Что делать, вирус уже попал на компьютер?
Ни в коем случает не сканируйте компьютер на вирусы, не удаляйте файлы, не чистите кэш! Без файла вируса расшифровать ваши файлы не получится!

В срочном порядке пишите мне, я свяжу вас со специалистом, который на данный момент занимается расшифровкой (7 версию он уже взломал, над 8 работает).
Моя почта - 1282524 на гмэйл.