Новый вирус - шифратор документов

Новый вирус - шифратор документов


Вчера, делая очередной обход клиентов, находящихся на обслуживании в нашей компании, натолкнулся на результат работы нового вируса, который закодировал все рабочие документы на компьютере клиента.

Меня попросили посмотреть в чем проблема и помочь устранить ее, у клиента было подозрение, что кто-то просто поменял дефолтное офисное приложение для открытия файлов и поэтому произошел такой сбой.

Новый вирус - шифратор документов

Основные симптомы — к названию файла добавился электронный почтовый адрес paycrypt@gmail.com. При попытке открыть офисный документ, появляется окно с предупреждением, что утрачен файл кодировки и необходимо выбрать из списка необходимый тип кодировки текста. При выборе любого из них, все равно открывается документ, с так называемыми в народе-кракозябрами.

Шифрование офисных документов на компьютере

Итог — вся информация, которая хранится в офисных документах, а также все файлы с расширением pdf были испорчены. Решил пойти по логическому пути и первое, что сделал — это установил нормальный антивирусник, так как на компьютере клиента стояла бесплатная защита в виде антивирусника AVIRA.

 В процессе сканирования было замечено резкое падение скорости работы компьютера, учитывая тот факт, что компьютер довольно современный, и работа антивирусника не должна сильно садить его ресурсы, понял, что полным ходом продолжаются активные  процессы «пожирания» оставшихся файлов на компьютере клиента.

Новый вирус - шифратор документов

Антивирусник нашел несколько файлов кукисов, ничего нужного нам он к сожалению не обнаружил. После более детального осмотра папок на компьютере обнаружил архив decode и текстовый документ KEY, содержимое которого дало точный ответ на все появившиеся вопросы. В документе было написано, что файлы закодированы и заблокированы «добрым человеком», а также дана подробная инструкция как произвести оплату и получить файл для запуска дешифратора, чтобы восстановить работоспособность файлов.

Отдельной строкой было обращение к сисадминам, с просьбой не тратить зря свое время и перевести 140 евро на хакерский счет. Ну как обычно начал активный поиск решения этой проблемы набрав в поисковике encrypt@gmail.com. После беглого осмотра содержимого выдачи, понял, что многие стали жертвами этого хакерского «захвата бизнеса». К сожалению даже на авторитетных компьютерных сайтах было высказано предположение, что подобрать код для расшифровки файлов мало вероятен и советовали заплатить злоумышленникам, чтобы продолжить работать. Более того я нашел довольно большое количество отзывов тех людей, которые уже прошли процесс восстановления своих файлов, заплатив озвученную сумму хакерским беспредельщикам.

Был вариант произвести откат системы на 2 дня назад, но к сожалению по умолчанию этот функционал был отключен на компьютере клиента, поэтому и этот вариант не прокатил. Просидев еще пол часа в интернете я так и не смог найти рабочего решения данной проблемы, большая часть специалистов твердили о невозможности раскодировать файлы и быть готовым к оплате декодера.

Честно говоря, я впервые стал свидетелем того, как вирус полностью парализует деятельность небольшой фирмы, в которой большая часть рабочей информации храниться в виде текстовых документов. Мы приняли решение и попробовали связаться со злоумышленниками, используя их контакты по электронной почте. Они ответили практически мгновенно и подняли сумму до 799 евро. Это уже было просто возмутительно. Я остался у клиента, за чашкой кофе мы решили, что платить хакерам это более чем преступление, и в итоге составили заявление в полицию. В понедельник клиент собирается отнести заявление в полицию. Я думаю это самое правильное решение, хотя многие писали на форумах, что делали оплату, как того требовали хакеры, что считаю неправильным, с точки зрения «развития» этого бизнеса.

Я решил поделиться этой информацией по нескольким причинам: во первых я до сих пор в шоке от деятельности ребят, которые в прямом смысле слова занимаются вымогательством, а во вторых хочу предостеречь наших читателей. Даже если несколько человек смогут обойти этот вирус, получив информацию, это уже будет для меня считаться полезным материалом, который смог помочь.

А, чуть не забыл. После длительных исследований источника заражения, а также сравнения с источниками поражения у других пользователей, которые отписывались на различных форумах — это архив, который приходит по почте, причем от доверенных контактов. То есть максимально снижен эффект настороженности, так как адресат, в письме которого находится архив с вирусом является знакомым человеком, с которым вы уже неоднократно вели переписку. Естественно это подставной адрес, но будьте внимательны. В архиве находится исполняющий файл, который имеет иконку текстового документа, но с расширением js, на что многие не обращают внимания и запускают исполняющий файл.

Будьте бдительны и не дайте злоумышленникам возможности повредить ваши ценные данные. На этом буду заканчивать.

Комментарии ()