Расширенный поиск

Российские интернет-пользователи продолжают вновь сталкиваться с вредоносными программами, блокирующими персональные компьютеры. Заразив ПК вирус зашифровывает личные данные и требует перечислить определенную сумму на указанный счет электронного кошелька.

В последнее время участились случаи заражения персональных компьютеров вирусом, получившим название Troldash. После попадания на ПК, вредоносная программа блокирует операционную систему и зашифровывает все файлы на жестком диске.

Digital Report связался с Алексеем Михайловым, представителем антивирусной компании «Доктор Веб» и попросил прокомментировать сложившуюся ситуацию.

DR: Известно ли вашим специалистам о вирусе Troldash?

— Этот троянец известен нашим специалистам как Trojan.Encoder.858 и был добавлен в вирусную базу Dr.Web еще в январе 2015 года.

DR: Кто обычно становится жертвами подобных вредоносных программ?

— Жертвами становятся, в основном, пользователи компьютеров, на которых не установлено антивирусное программное обеспечение, и которые пренебрегают элементарными мерами безопасности.

DR: Можете более подробно рассказать о принципе действия таких троянов?

— Обычно такие трояны распространяются следующими способами:

— через спам-рассылки, содержащие во вложении либо самого троянца, либо троянца-загрузчика, выполняющего скачивание и запуск энкодера. Вложение при этом может быть замаскировано под какие-нибудь важные документы, либо само письмо может быть отправлено якобы от имени потенциальных клиентов, судебных органов, почтовой службы, транспортной компании и т. д.;

— пользователь может загрузить его из Интернета под видом кодека, какой-нибудь полезной утилиты, игры, проигрывателя, программы для просмотра посетителей «ВКонтакте» и т. д.,

— злоумышленники могут загрузить и запустить троянца непосредственно на компьютере жертвы, если они имеют к ней нему несанкционированный доступ, например, если на ПК уже работает троянец-загрузчик или бэкдор.

Однако, как правило, в большинстве случаев пользователи запускают бэкдоры сами.

Работает оно в большинстве случаев так: после запуска и инициализации троянец генерирует по определенному алгоритму ключ шифрования или получает его с удаленного управляющего сервера, затем расшифровывает список расширений файлов, которые он будет шифровать (хранится либо внутри троянца, либо получается с удаленного сервера с конфигом), потом шифрует файлы (иногда разными алгоритмами и в несколько проходов) и, наконец, сохраняет на диск текстовый файл с перечислением действий для расшифровки файлов, либо меняет обои Рабочего стола на картинку с такой инструкцией.

DR: Насколько часто появляются новые разновидности таких вирусов в сети в целом и в рунете в частности?

— Насчет Рунета ответить сложно, но несколько модификаций в месяц обычно появляется. Летом меньше, осенью-зимой — чаще.

DR: Что следует предпринять пользователю, чтобы не заразить свой ПК таким вирусом, а если компьютер уже заблокирован, какие действия ему необходимо принять?

— В первую очередь пользователям не в коем случае не стоит запускать никаких файлов, скачанных с подозрительных сайтов или полученных от неизвестных отправителей по электронной почте.

Кроме того, они должны регулярно выполнять резервное копирование наиболее актуальной информации на внешние носители, и использовать современное антивирусное ПО, обеспечивающее защиту от троянцев-энкодеров.

DR: А как быть тем пользователям, чей компьютер уже заражен подобным трояном?

— Для начала им стоит обратиться с соответствующим заявлением в полицию и не переводить деньги на указанный злоумышленниками счет. Также нужно отметить, чтобы они ни в коем случае не пытались переустановить операционную систему, не удаляли никакие файлы на ПК, а также не пробовали восстановить зашифрованные файлы самостоятельно.

Кроме того, юзеры могут обратиться в техническую службу поддержки антивирусной компании. К примеру, на сайте «Доктор Веб» можно создать специальный тикет в категории «Запрос на лечение»(эта услуга бесплатна для лицензионных пользователей «Доктор Веб») и приложить к нему зашифрованный троянцем .DOC-файл. После чего, спустя некоторое время, с этим пользователем свяжется вирусный аналитик нашей компании.

Так, за 2014 год одни только пользователи «Лаборатории Касперского» столкнулись с более чем 7 миллионами попыток атак с использованием шифровальщиков или вымогателей. Сейчас эти вредоносные программы, как правило, распространяются с помощью спама или атак на системы удаленного управления.

Зачастую жертвами становятся компании – им проще заплатить, чем лишиться важной информации, такой как финансовые данные, данные о клиентах и т.п. При этом как правило, в случае заражения корпоративного компьютера аппетиты злоумышленников возрастают в среднем в 5 раз по сравнению с расценками для обычных пользователей. Мы знаем прецеденты, когда у организаций за расшифровку файлов требовали порядка 300 тысяч рублей. Оплату злоумышленники часто предпочитают получать в криптовалюте Bitcoin, которая может обеспечить им необходимую анонимность.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели