О вирусе-шифровальщике. 30.10.2014г.


Уважаемые пользователи почтовой системы anrb.ru!

В связи с угрозой заражения компьютеров вирусом-шифровальщиком просим обратить внимание на следующую информацию.
Вирусы-шифровальщики - это программы, шифрующие файлы на жестком диске компьютера, на съемных носителях(флэшки, usb-диски), на сетевых дисках и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar, базы данных 1С и т. д. Вирус изменяет имя файла, добавляя в качестве дополнительного расширения контактный электронный адрес для платной расшифровки.

Самый распространенный на данный момент способ заражения - через спам-письмо с вложением или ссылкой.

Для того, чтобы не допустить заражения данным видом вируса:
- не надейтесь на установленные на вашем компьютере любые антивирусные программы;
- не открывайте вложения в почтовых сообщениях от неизвестных лиц;
- не заходите по ссылкам, указанным в почтовых сообщениях от неизвестных лиц;
- если отправитель письма с вложением или ссылкой вам известен, то не поленитесь дополнительно проверить ссылку или вложение (максимальный размер проверяемого файла - 10МБ).

Что делать в первую очередь, если компьютер заражен:
1. Выключить компьютер: таким образом вы остановите процесс шифровки, минимизировав потери.
2. Пригласить специалиста для того, чтобы успеть сохранить те файлы, которые вирус не успел зашифровать (как вариант - подключить жесткий диск с компьютеру с ОС *nix, оценить масштаб потерь, сделать резервные копии нетронутых файлов).
3. Дальнейшие действия зависят от того, установлена ли вашем компьютере какая-либо антивирусная программа.
Если ответ - да, то найти на сайте разработчика данного антивируса рекомендации по данной проблеме и следовать им.
Например, DrWeb предлагает бесплатную расшифровку файлов только владельцам коммерческих лицензий на продукты Dr.Web, причем без гарантии положительного результата.
Если ответ - нет, то пытаться найти решение самостоятельно в интернете с использованием выложенных в свободный доступ дешифраторов и т.д.

Если у вас появились подозрения по поводу заражения вашего компьютера данным вирусом, свяжитесь с Отделом информационных технологий УНЦ РАН по т. 241-48-22.

Учитывая всю сложность сложившейся ситуации с вирусами-шифровальщиками, исключительно важное значение приобретает резервное копирование данных: в случае невозможности дешифрации файлов и обнаружения тела вируса единственный выход - переустановка системы с восстановлением утраченных данных из резервных копий.
Резервные копии чрезвычайно важны еще и потому, что разработчики антивирусов, как правило, наряду с зашифрованным файлом запрашивают и оригинал файла для ускорения процесса дешифрации.

Что НЕ нужно делать до консультаций с разработчиком антивируса:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые другими антивирусными лабораториями.

По итогам заражения одной из рабочих станций 29.10.2014 (снимок экрана, иллюстрирующего зараженное сообщение, прилагается).
1. Антивирус Касперского на рабочей станции позволил открыть вложение (zakaz.zip с scr-файлом) и не обнаружил угрозы в исполняемом файле с расширением scr.
2. Антивирус DrWeb на почтовом сервере не обнаружил вирус во вложении.
3. Файловый сканер-антивирус DrWeb на почтовом сервере обнаружил зараженное письмо в почтовом ящике пользователя, но на этот момент зараженное письмо было уже получено и вложение открыто.

Вниманию институтов, участвующих в покупке ПО Антивирус+Антиспам на 2015 год на почтовый сервер УНЦ РАН (Институт биологии, Институт биохимии и генетики, Институт геологии, Институт механики, ИНК, ИОХ, ИСЭИ, ИФМК, УНЦ РАН, Ботсад)! Если заражение компьютера произойдет через почтовое сообщение, полученное через почтовый сервер УНЦ РАН, то мы будем запрашивать дешифрацию ваших файлов, как владельцы коммерческой лицензии на продукт DrWeb.

Наверх
Назад