Лицензионные антивирусные программы
Доставка на e-mail в течение 5-и минут
Ваш город: Вудбридж
Звонки с 10:00 до 20:00
e-mail: mail@antivirus-shop24.ru
Москва (499) 704-65-05
С.-Петербург (812) 424-19-77
Казань (843) 258-74-77
Приобрести Оплата Доставка

Вирус зашифровал базы 1С, документы и фото и добавил расширение .EnCiPhErEd?

Эта статья призвана помочь всем тем, кто столкнулся с новой бедой ”хакерский взлом с целью вымогательства денег”. Эта беда все более и более набирает свои обороты.

Под прицелом как обычные домашние компьютеры и ноутбуки, так и что более страшно – корпоративные сервера.

Суть процесса заключается в том, что в одно прекрасное утро вы включаете компьютер и видите что все ваши важные файлы имеют не обычный вид, к ним приписывается в конце какое то новое расширение типа .EnCiPhErEd ( или .crypted  или .Encrypted или .STOP  .ARRESTED ...  и другие, их множество), а рядом лежит текстовый файл с названием РАСШИФРОВКА.txt или READ_ME_NOW!!!.txt или КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ.txt. Открываем этот файл а там вам послание, у всех оно бывает разным, но суть одна и та же – свяжитесь со мной и указан контактный е-mail. Приведем здесь текст одно из посланий:

Доброго времени суток!

Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, архивы, бакепы и прочие файлы) были слиты с жестких дисков и зашифрованы с помощью самых криптостойких алгоритмов.

Восстановить файлы можно только при помощи дешифратора и пароля который в свою очередь знаем только мы.

Подобрать его невозможно, переустановка операционной системы ничего не изменит.

Не один системный администратор в мире не решит эту проблему не зная пароля. (если есть сомнения - дерзайте)

Не советуем изменять файлы, но если решились, сделайте резервные копии.

Пишите нам на Email - xakep@bk.ru

Проясним еще раз, все файлы слиты и зашифрованы, напишите нам в течении трех дней, иначе все данные будут проданы конкурентам (файлы форматов exel, docx, и базы 1с тоже будут переданы) а они в свою очередь найдут им применение.

Письма с угрозами не к чему хорошему не приведут!

 

Дальше все просто, пишем им с вопросом: вы что совсем! Что вам нужно? Как правило, в течение часа приходит ответ: что такую то сумму нужно перечислить туда то и будет вам счастье.

 

Как попал к вам вирус? Если заражен домашний компьютер, то как правило либо это троян с сайта, чаще всего по статистике Лаборатории Касперского такие трояны сидят на сайте для взрослых, а так же на сайтах по скачиванию рефератов, курсовых . Либо еще более популярный вариант, на кануне к вам пришло письмо от незнакомого адресата. Одно из таких писем приходит от имени  СУДЕБНЫХ ПРИСТАВОВ или Арбитражного Суда. Мол ознакомьтесь, с постановлением, которое приложено к письму. Вы открывает вложение, а на самом деле запускаете вирус. Вот, пример такого письма содержащий троянскую программу:

Письмо от Арбитражного Суда с вирусом zlovreditel

 

Здесь вас должно насторожить:

1) Почему на e-mail? Любой суд отправляет уведомление только заказным письмом почтой России.

2) Почему обращение не по фамилии имени и отчеству?

3) Указано что возбуждено уголовное дело. Арбитражный суд заводит административные дела. Уголовными занимается Прокуратура.

 

Ясно, что составитель данного письма в следующий раз может быть поумнее и составить без письмо без ляпов, но стоит запомнить что судебные приставы, суды и прочие структуры уведомляют  только заказным бумажным письмом по фактическому адресу прописки.

 

Отличие вируса от трояна в том, что вирус сразу запускает шифрование у вас на компьютере. Троян же тихо ворует ваши пароли, в том числе от  соединения по RDP, а именно IP, логин и пароль от подключения к удаленному рабочему столу.

 

Третий вариант – перебираются IP адреса по стандартному порту RDP 3389 и если ответ положительный – далее идет перебор имен пользователей и пароля.

 

Передача такой инфы – счастье для хакера, ведь теперь у него есть доступ к серверу организации. А с организации можно попросить в 10 раз больше чем с домашнего пользователя.

 

И далее шифруется в первую очередь базы 1С, и попутно все документы компании. Кстати хакеры умудряются удалить бэкапы если находят их или останавливают теневое копирование.

 

Внимание! Как не платить хакерам и все расшифровать?

В настоящее время есть такие способы!

Один из таких способов – обратится за помощью аналитикам Dr.Web. Эти ребята помогли уже не одной сотни людей, попавших в беду.

Правила такие:

1. Прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/  зашифрованный doc/xls-файл в категорию Запрос на лечение, или лучше сюда https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 если вы подозреваете что у вас Trojan.Encoder.

Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте.

Внимание! Техподдержка отвечает только тем, кто купил любой лицензионный продукт Dr. Web. Нужно будет ввести серийный номер лицензии. Если вы этого еще не сделали, то можете купить сейчас с доставкой серийного номера на ваш e-mail по это ссылке http://antivirus-shop24.ru/catalog/drweb/antivirus-dr-web-dlya-doma/antivirus-drweb-8/.

 

Как не наступать на одни и те же грабли? Оградить себя на будущее?

Здесь речь пойдет для тех у кого есть сервер на базе Windows Server 2003/2008 или 2012 и сотрудники работают в терминальном режиме.

В первую очередь бэкапы должны делаться каждую ночь в автоматическом режиме, естественно на другую машину. Лучше если это сетевое хранилище, доступ к которому возможен только через WEB интерфейс. Это хранилище само имеет доступ к серверу и копирует к себе данные в авто режиме.

 

Во вторых измените уже стандартный порт RDP 3389 на другой, например 35654. То есть для подключения к серверу организации из дома, нужно будет в конце IP адреса добавить через двоеточие этот ваш порт, например 82.1.26.78:35654.

 

В третьих, установите более сложные пароли всем, и тем более администратору.  Должны быть и заглавные буквы и прописные и цифры и спец символы: например !,@,?,#

 

Ну и четвертое, самое важное – используйте VPN канал. Если такой возможности нет, то как минимум на вашем центральном фаерволе укажите список разрешенных адресов для подключения. Если подключаетесь из дома, заведите себе домой статичный IP адрес.

 

P.S. Если у вас нет желания во все это вникать. И вы хотели бы просто решить свою проблему, тогда можете обратится к нашим сертифицированным специалистам. Услуга является платной. Звоните Казань (843) 258-74-77,  Москва (499) 704-65-05, Санкт-Петербург (812) 424-19-77 с 10 до 19:00. 

Читайте также