Gist - комп’ютерна швидка допомога - Вірус-шифрувальник

комп

Антивіруси Вам не допоможуть.Багато популярних антивірусних програм, на жаль, пропускають цей вірус, як свідчать відвідувачі форумів: http://forum.kaspersky.com/index.php?showtopic=232546

Проблема в тому, що коли Ваш комп'ютер вже буде заражений, тоді лише антивірус може відреагувати, а може відреагувати через 1 або 3 дні. Але вам це вже не допоможе. Чому так відбувається? Все просто. Ті, хто створює цей тип вірусу та його модифікації, змінюють його, а антивірусним програмам потрібен час, щоб почати розпізнавати новий тип вірусу. І те, вони це роблять після того, коли хтось заразився і відіслав їм «тіло» вірусу для аналізу. А відіславши «тіло» вірусу вже нічого не залишається, крім, як відкласти заражений вінчестер в ящик і чекати, коли ключ RSA1024 зламають (а це може статися через ен. кількість років) або знайдуть вразливість в ньому. Другий варіант: відформатувати вінчестер та встановити нову систему. Адже дані втрачені!

Я думаю, Вам вже варто задуматися: чи варто ризикувати, яка ймовірність того, що Ваш комп'ютер не заразиться вірусом-шифрувальником?Так розглянемо докладніше даний вірус.

«Оповіданий – значить озброєний!»

Вірус-шифрувальник проникає на комп'ютер трьома способами:

1 - Через вкладення до листа. У листі може мати вигляд: «акт.doc. exe» або «Дякую лист.hta», «Ви бачите тільки акт.doc, а решта Вам не видно і Ви думаєте це файл Microsoft Word». Двічі, натиснувши, Ви запускаєте програму Акт.doc. exe, яка починає шифрувати файли на вашому комп'ютері.

2 - Через файл зламаної програми. Ви вирішили завантажити програму, за яку не бажаєте платити гроші,і тому в пошуковій системі набрали типу: «програма версія 2.0 зламана версія завантажити». Пошуковик видає Вам цілу купу посилань, Ви натискаєте на них і зрештою бачите картинку, в якій Ви дізнаєтесь про потрібну вам програму. Ви натискаєте кнопку на сайті "завантажити". Після того, як файл закачається на Ваш комп'ютер, Ви натискаєте на даний файл і очікуєте початку встановлення цієї програми. Все. Вірус запущено. Почалося шифрування ваших файлів.

3 - Через архів, що саморозпаковується. Можливе проникнення як через вкладення до письма, так і шляхом завантаження будь-яких невідомих програм або утиліт з неперевірених сайтів.

При попаданні на комп'ютер вірус шифрує всі файли.

Після того, коли всі файли упаковані, вірус може видати вікно з текстом типу:

Або в корені диска C Ви виявите файлЯК_РОЗШИФРОВАТИ_ФАЙЛИ.txt. Усередині цього файлу буде текст (наведено реальний приклад):

"Якщо Ви читаєте це повідомлення, значить Ваш комп'ютер був атакований найнебезпечнішим вірусом. Вся ваша інформація (документи, бази даних, бекапи та інші файли) на цьому комп'ютері була зашифрована за допомогою найкриптостійкішого алгоритму у світі RSA1024. Відновити файли можна тільки знаючи унікальний для вашого пк пароль і дешифратор. Підібрати його неможливо.Зміна ОС нічого не змінить.Жоден системний адміністратор у світі не вирішить цю проблему не знаючи коду. Не в жодному разі не змінюйте файли, інакше розблокувати їх навіть нам буде не під силу.

Середній час відповіді спеціаліста 2-10 годин.

До листа прикріпіть файл "ЯК_РОШИФРУВАТИ_ФАЙЛИ.txt", який знаходиться в папці C:\ЯК_РОШИФРУВАТИ_ФАЙЛИ.txt". Не змінюйте файл, інакше розшифрувати ваші файли ми не зможемо!

Листи з погрозами загрожуватимуть лише Вамта Вашим файлам! НЕ ЗАБУДЬТЕ: тільки ми можемо розшифрувати ваші файли!"

І вся проблема в тому, що якщо Ви навіть підете на переговори з здирниками, то немає жодної впевненості, що вони Вам надішлють програму-розшифрувальник.

Загалом, це можна порівняти з ситуацією з фантастичного оповідання, ніби у Вас є свій приватний будинок, але прийшов хтось, обніс цей будинок силовим полем і всередину цього будинку Ви вже не потрапите. Навіть якщо у Вас є супер-зброя – Ви тільки все зруйнуєте безповоротно. Якщо у Вас тільки немає пристрою, який вимкне це силове поле або, хоча б, зробить пролом у ньому.

Алгоритм шифрування (RSA1024) - RSA 1024 біт, який застосовує цей вірус, не зламується! Точніше, його можна зламати, але для цього треба буде взяти в оренду всі суперкомп'ютери, які є у світі (і невідомо, скільки десятиліть чи сторіч вони намагатимуться зламати цей ключ). І знову схоже на фантастику. Але математика така: щоб зламати RSA довжиною 768 біт, тобто. підібрати ключ методом перебору (так званий brute force) необхідно мати 1 000 000 USD і 1 рік обчислень. У 2008 році хтось заявляв, що ключ зламаний, але досі (2013) ніхто не надав доказів злому ключа.

Хто хоче ознайомитися з тим, чи можливо за допомогою повного перебору всіх варіанів зламати цей алгоритм, раджу почитати цю статтю: http://cybervlad.net/faq-cle/

"Лабораторія Касперського" раніше вже стикалася з іншими версіями вірусу Gpcode (див. статтю "Шантажист" http://www.viruslist.com/ru/analysis?pubid=188790045), і експертам компанії в усіх випадках вдавалося отримати секретний ключ шляхом детального криптографічного аналізу наявних даних.

Досі максимальна довжина ключа RSA, який вдалося «зламати»спеціалістам "Лабораторія Касперського", становила 660 байт. На вибір ключа такої довжини за допомогою машинного перебору потрібно близько 30 років роботи одного ПК з частотою процесора 2,2Ghz.

Тобто реальних шансів зламати цей ключ поки немає.

То що робити?

gist

По-друге, зберігати всі важливі вам файли у «хмарних сховищах».

По-третє, є припущення, що деякі з модифікацій даного вірусу використовують вбудовану в Windows службу Encrypting File System (EFS) - система шифрування даних, що реалізує шифрування на рівні файлів в операційних системах Windows, починаючи з Windows 2000 (докладніше: http:// ru.wikipedia.org/wiki/Шифрована_файлова_система). Має сенс спробувати відключити цю службу, може це зупинить хоча б деякі з модифікацій цього вірусу.

комп

По-четверте,встановлювати Linux.Чому Linux? Тому що віруси на Linux дуже рідкісне явище, яке є винятком. Linux набагато захищеніша, ніж інші операційні системи. І цей тип вірусу (який розглядається у цій статті) не поширюється на Linux.

Ніколи не зберігайте важливі дані на вінчестері та флешках!

Флешки можуть просто " померти " від цього, що людина витягнув її у той час, коли її записувалися чи зчитувалися дані.

Це також стосується надійності вінчестерів, вони ламаються, і відновлення даних на них коштує дуже дорого. Причини поломки: збій по живленню (не витримав блок живлення комп'ютера), перегрів (частіше зустрічається на ноутбуках), падіння або удар, або знос, або конструктивний шлюб. Наприклад: якщо у Вас є вінчестер на 1 терабайт і, не дай Боже, згорить контролер вінчестера (це невелика хустка, яка прикріплена довінчестеру), тоді для того щоб відновити дані з даного пристрою Вам доведеться викласти від 100 до 250 USD. Ви за ці гроші можете купити 1 або 2 такі ж вінчестери. Але інформація коштує дорожче!