Фон страницы - пейзаж селения на берегу озера


НЕ ОТКРЫВАЮТСЯ
ДОКУМЕНТЫ


Вирусы, которые шифруют пользовательские данные



Как это обычно начинается


Внимание! Вирус-шифровальщик также затрагивает файлы на подключенных к компьютеру внешних USB-дисках, флешках, сетевых дисках.


Как правило обращается клиент примерно с таким рассказом:

- Я получил по почте какое-то письмо и, не подумав, нажал в нем на ссылку, чтобы открыть вложенный файл. Примерно через 15 минут я стал замечать, что многие документы на моем ноутбуке изменили свое название и, более того, - перестали открываться. Я на всякий случай выключил ноутбук и позвонил вам.


И это он еще что-то слышал о подобных вирусах или даже сталкивался с ними ранее. Другие же начинают пытаться понять, почему файлы на компьютере изменили свои названия и почему же они не открываются как раньше. Или открываются, но вместо понятного содержимого в них - абракадабра из непонятных символов. И искать, куда делись "нормальные" файлы? Или просто пошли пить кофе. А тем временем вирус продолжает зашифровывать оставшиеся рабочие документы...



Что произошло

на самом деле



Документ с зашифрованным содержимым

Все очень просто - вы поймали так называемый вирус-шифровальщик. Гораздо труднее будет вернуть все обратно... практически невозможно.

Попадают они в компьютеры клиентов, как правило, путем писем в электронной почте. Это могут быть почтовые программы Outlook, The Bat!, или почтовый интерфейс всеми любимого сайта mail.ru. Само письмо тоже обычно не сложное - всего лишь уведомление от налоговой с требованием заплатить налоги (с каких пор они вдруг стали писать нам по электронке?) или напоминание от банка вовремя оплатить очередную часть кредита (а откуда они узнали нашу почту?).


Или например такого содержания: "Уважаемая фирма "NNN"! Высылаем вам, как и было обговорено, остатки по взаиморасчетам между нашими организациями, просьба до завтрашнего дня дать нам ответ." (а откуда секретарше знать - может руководством и правда недавно была заключена какая-либо сделка с отправителем?) Еще бывают письма с требованием оплатить штраф за нарушение правил дорожного движения и т.д.



В любом случае, вас попросят открыть вложенный в данное письмо документ, чтобы ознакомиться с его содержимым. Чего, разумеется, делать ни в коем случае нельзя! Как правило, клиент либо напуган угрожающим тоном письма (налоговая), либо им движет простое любопытство. И забывает в этот момент о своей безопасности...


Результат - зашифрованные документы, базы данных 1С, Outlook и The Bat!, архивы. Часто - за годы работы.


КАК ПРЕДОСТЕРЕЧЬСЯ

  • Посмотрите с какого адреса пришло письмо. Неужели с сбербанк.ру (а у нас там и кредитов то нет!) или налог.ру?
  • Письма из подозрительных источников, неизвестных адресов - ну тут, думаю, слово "подозрительных" само за себя говорит.
  • Не открывайте вложения в письмах явно рекламного характера. И реклама нам навязчивая не нужна, и тем более - такая.
  • Обратите внимание на расширение вложенного файла: если оно заканчивается на "EXE", "BAT", "JS", - это вирус.

В любом случае сначала - семь раз отмерьте.




Кстати, совет - если вы все же открыли вложенный документ, но не увидели того что ожидали, а тем более если вдруг начали замечать на компьютере подозрительную, несанкционированную вами деятельность (любого характера) - немедленно выключите (нажатием на кнопку питания на корпусе на 8-10 секунд) системный блок! Можно даже путем выдергивания шнура из розетки. Лучше потом восстанавливать слетевшую операционную систему (и не факт, что она еще слетит), чем ежеминутно терять сотни рабочих файлов. Если у вас ноутбук с батареей, - нажмите кнопку включения на 10 секунд, - ноутбук выключится.



Если вирус все же сделал

свое грязное дело


То обязательно позвоните мне. Затронутые им файлы я, увы, уже вам не верну, но, поверьте, работы будет и так достаточно. Сначала надо будет скопировать неповрежденные данные в надежное место (разумеется, не запуская снова зараженную Windows!), посмотреть, не могли ли где-либо сохраниться резервные копии документов или файлов баз данных 1С и других программ (например, в теневом хранилище), и восстановить их. Затем удалить собственно сам вирус, а испорченные файлы складировать в отдельное безопасное место.



Что с ними дальше делать? Шансов тут немного. Можно заплатить мошенникам требуемую сумму - могут расшифровать, а могут и нет. Как правило - нет. Можно написать с просьбой помочь к разработчикам антивирусных программ: на сайты Касперского, "Доктор Веб", - иногда они помогают, но чаще, опять же, нет. Не удержусь от сарказма в адрес антивирусов, но на будущее, чего уж точно нельзя делать - это как раз слепо доверять этим (и любым другим) самым антивирусным продуктам. Ибо как человеку, более или менее разбирающемуся в компьютерных технологиях, мне ясно, - если уж на глазах клиента исчезают документы в течении нескольких часов подряд, - то чем же в это время занимается "лучший в мире и защищающий от всего на свете" антивирус?


Помните, периодическое резервное копирование данных своими силами - никто не отменял. Секрет прост: подключили внешний USB-диск, скопировали на него данные, отключили от компьютера. Теперь, даже если вирус уничтожит все файлы во всей локальной сети фирмы, - уж до отключенного USB-диска по воздуху он точно не доберется.