Свежая история о заражении очередным шифровальщиком.

13 февраля 2017 года (может число виновато?) поступил звонок из приемной подопечной компании, секретарь пожаловалась, что не открываются документы и изменился внешний вид рабочего стола. На вопрос, не было ли писем из налоговой, судебных приставов и прочих угрожающих писем с предложением перейти по ссылке для скачивания письма, ответили отрицательно (другого и не ожидал, кому охота сознаваться, что накосячил. ) Потом, при лечении компьютера, Касперский нашел файл с названием «Постановление.doc.exe», хотя постоянно инструктирую пользователей, что б не открывали письма с неизвестного адреса, без личного обращения и с предложением перейти по ссылке.

И вот результат:

Все документы и базы данных зашифрованы, тушите свет, занавес….

Сразу наглядный пример для любителей бесплатных антивирусов: в нижнем правом углу экрана (обведено белым кружком) ярлычок микрософтовского антивируса, как видите зеленый, ни каких угроз не заметил. Хотя за пару месяцев до инцидента, выписывал этой компании счет на Kaspersky Internet Security, денег пожалели….

Как показало дальнейшее расследование, Spora Ransomware довольно свежий и злобный шифровальщик, (подробная статья: https://xakep.ru/2017/01/12/spora-ransomware/) который не только шифрует файлы на всех доступных носителях и доступные по сети папки но и заражает их, т.е если была подключена флэшка, файлы на ней будут не только зашифрованы но и сама флэшка становится носителем инфекции. Как оказалось и в моем случае, пользователи быстренько скинули на флэшку нужные файлы и пытались открыть на другом компе, о последствиях не трудно догадаться.

Утилита с Касперского без труда обнаружила злодея:

На всякий случай поругалась на старый, добрый Амиадмин, видимо решила лучше перебдеть чем недобдеть.

Так как мне самому трудно оценить степень важности информации хранящейся на компьютере, перед началом всех манипуляций сделал клон жесткого диска.

После лечения и восстановления системы, в процессе были обнаружены еще четыре вируса, стало понятно, что информация безвозвратно утрачена. Шифровальщик удалил все старые версии файлов, удалили теневые копии, таким образом не оставил нам шансов.

Но поскольку у меня была полная копия жесткого диска до лечения, оставалась возможность заплатить вымогателям и попытаться получить дешифратор, как пишут на форумах пострадавшие, цена колеблется в среднем около 300-400$. Мои потерпевшие мужественно отказались платить вымогателям и взялись восстанавливать документы, благо никаких баз данных на компьютере не было.

Зато компьютер, на который унесли флэшку, (см. выше историю с флэшкой) оказался компьютером бухгалтера, на нем установлены программы бухучета по 3 предприятиям!

И так же как в первом случае стоял бесплатный Microsoft Essential.

Все доступные файлы были зашифрованы на компьютере и злосчастной флэшке. Причем другие компьютеры в пострадавшей организации имели установленный Касперский интернет секьюрити с жестко настроенными правилами безопасности, и не пострадали. Как показало следствие, зараженную флэшку подключали еще к одному компьютеру, но KIS сразу заблокировал вирус и удалил его с флэшки.

На рабочем столе лежал скрытый исполняемый файл вируса, как и в первом случае, утилита Касперского без труда вылечила систему, удалила зловред. Но самое главное, о чудо, сохранились теневые копии документов, так, что удалось восстановить все данные на жестком диске компьютера, в том числе бухгалтерские базы данных.

Что в итоге?

Бесплатный Microsoft Essential шифровальщика не обнаруживает, Касперский интернет секьюрити, по информации журнала «Хакер» обнаруживает его с конца января и успешно нейтрализует, компьютеры, защищенные KIS, не пострадали от шифровальщика.

Не существует панацеи от компьютерных вирусов (как и от гриппа), абсолютно безопасен только выключенный компьютер. Не бывает волшебных антивирусов, которые защитят от всех угро, так как вирус всегда появляется раньше, чем его начинают обнаруживать антивирусные средства.

Спасение в регулярном резервном копировании важной информации на другой носитель, который после выполнения копирования можно отключить и убрать в сейф.

Необходима разумная осмотрительность при работе в интернет и с электронной почтой, лицензионный антивирус с постоянным обновлением. Сталкивался с тем, что многие пользуются взломанным антивирусом NOD32, не понимаю, как можно надеяться, что тебя защитит антивирус который не в состоянии проконтролировать собственное здоровье.

Делайте резервные копии, смотрите что открываете в интернете, и да пребудет с вами здравый смысл и Касперский инернет секьюрити…

Февраль 2017

Писарченко Владимир

Itforbs.ru