День памяти по погибшим 22 июня. День памяти и скорби - день начала великой отечественной войны. Я не видел войны

Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.

Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.

Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.

Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.

Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:

1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.

При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!

4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.

Зашифрованные файлы выглядят следующим образом:

5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.

Примерное содержимое файла PAYCRYPT_GMAIL_COM

Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта «за урок»
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.

7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS

DATE CRYPTED: 2_.0_.2014 / 11:50.

Вот такие вот вежливые нынче кибер-преступники.

Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:

1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.

2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.

3. и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.

В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.

В редакцию сайт пришли подозрительные письма, подписанные представителями двух крупнейших банков - Альфа-банка и банка «Открытие». И мы поняли, что обязаны о них рассказать

Письмо от имени «представителя» Альфа-банка гласило, к нему был прикреплен файл:

«Уважаемый(-ая), уведомляет вас о наличии просроченной задолженности. Меня зовут Богун Иван Владимирович, я представитель Альфа Банка. На ваше имя 22.05.2013 была оформлена рассрочка, через наш онлайн банкинг (https://alfabank.ru) на сумму 3 000 000 рублей. На данный момент задолженность не погашена. На 20.11.2016 ваш долг составляет 1 773 000 рублей с учетом пени (0.4%в сутки). и требование о погашении задолженности. В связи с этим, на ваше имя, Альфа Банка был составлен судебный иск.

Ознакомьтесь с документами дела.

С Уважением.
Альфа Банк»

Мы сохранили всю пунктуацию и орфографию оригинального письма, обратите на них внимание. Примечательно, что письмо пришло с адреса, на первый взгляд, напоминающего электронную почту банка - [email protected] . А теперь представьте, что подобное письмо получаете вы, и вы, действительно, являетесь клиентом банка и даже, возможно, у вас есть там кредит. Если не знать базовых правил безопасности в Интернете, нормальная реакция обычного человека - скорее скачать документы и разобраться, в чем же дело. А ведь именно это делать категорически нельзя!

Важно, что мошенники рассылают письма массово и от имени разных банков - уже сегодня мы получили схожее письмо якобы от банка «Открытие», в качестве приманки указывался долг по ипотечному кредиту.

А что банки?

Пресс-служба Альфа-банка попросила переслать им письмо и обещали отправить его в техническую службу на проверку, возможно, по результатам они смогут сказать, какая угроза для вашего компьютера кроется в подобных письмах.

В пресс-службе банка «Открытия» поспешили заверить: указанная рассылка осуществлялась от лица третьих лиц, не имеющих отношения к банку. «Для информирования своих клиентов банк рассылает письма только с почтовых ящиков в доменах open.ru и openbank.ru. Кроме того, банк уведомляет своих клиентов о необходимости выполнить обязательства с помощью смс-сообщений на доверенный номер клиента», - указали в пресс-службе.

Представители банка советуют при получении подобного сообщения немедленно обратиться в контактный центр банка и сообщить об инциденте, не открывая вложения и содержащиеся в письме ссылки - они содержат компьютерный вирус.

3 признака письма-вируса

Подобные «письма счастья» и раньше рассылались пользователям, распознать их можно по нескольким признакам:

1. Угроза в заголовке «Уведомление от банка «Открытие», «Повестка в суд», и другие заявления, которые способны запугать человека еще до того, как он открыл письмо. Таким образом мошенники сбивают с толку.

2. Адрес отправителя - ошибка в названии компании или перепутанный почтовый ящик. Например, [email protected] (правильный ящик - [email protected])

3. Вложенный файл . Мошенники намеренно нагнетают обстановку, чтобы вы точно скачали себе письмо, раскрывающее подробности. Делать этого ни в коем случае нельзя - этот файл как раз и содержит вирус. Обратите внимание, в имя файла может входить надпись «.doc» или «.pdf», а дальше указано js или exe - таким образом вас пытаются запутать, представив файл в качестве документа.

Как работает вирус

Если вы все-таки установили файл (программисты называют его шифровальщиком), то скорее всего вся ваша информация будет утеряна безвозвратно. После скачивания и запуска вредоносного файла происходит обращение к удаленному серверу, с которого скачивается вирусный код. Все данные на компьютере шифруются случайной последовательностью символов. Раскодировать файлы может только сам хакер. Считайте, что с этого момента хакер получил доступ ко всем данным, содержащимся на вашем компьютере, включая доступ к онлайн-банкам. А это уже реальная опасность остаться не только без данных, но и без денег.

Вы обнаружили в своем электронном ящике письмо от компании Visa о том, что ваша кредитная карта заблокирована и теперь вам придется подтвердить свои данные на сайте фирмы, чтобы ее активировать. Адрес отправителя содержит маркер «visa.com». Присутствует обращение к вам по имени. Следует ли выполнять указанные в сообщении действия или лучше сразу удалить письмо? CHIP расскажет, как распознать опасность.

Распознаем фишинговые письма

Сфальсифицированное сообщение распознается не только по отправителю - как раз эта информация легко подделывается злоумышленниками. Указанием на аутентичность адреса является сервер электронной почты , через который было отправлено письмо. Его вы найдете в исходном тексте сообщения, вызвав его, например, в Outlook через «Файл | Свойства».

В Gmail откройте письмо и нажмите на стрелку рядом с кнопкой для ответа. Здесь выберите «Показать оригинал». Сервер отправителя указан в строчке «Received». Его домен должен совпадать с доменом компании, от которой пришло письмо. Если есть отличия, то высок риск, что речь идет о фишинге. Такое письмо лучше всего удалить.

И все же проверка сервера тоже не всегда помогает . В частности, небольшие фирмы пользуются почтовыми серверами внешних поставщиков, и в этом случае домен не будет совпадать с корпоративным адресом. Однако злоумышленники, как правило, подделывают только крупные веб-сайты, поэтому подобная проверка является неплохим способом.

В особых случаях киберпреступники целенаправленно выбирают не самый крупный концерн. Чтобы вирус через письмо попал на ПК, они маскируют сообщения под уведомления от коллекторских компаний. Таким образом хакеры могут обойти обязательную проверку почтового сервера, поскольку просто подбирают имя компании под используемый адрес сервера. К письму прилагается вложение с долговым требованием, и зачастую этот файл несет в себе вирус.

Некоторые письма сопровождаются даже обращением к адресату по имени . Но не дайте себя обмануть: такая информация берется из стандартных баз данных с адресами, которые собираются, например, по следам различных лотерей и розыгрышей.

Искусные подделки

Киберпреступники с помощью поддельных электронных писем хотят добраться до ваших данных. Для этого мошенники используют «шапки», которые выглядят как настоящие, якобы правильные адреса отправителей и персональные обращения по имени.

Письма от друзей

Не всегда стоит безоговорочно доверять и письмам от известных вам отправителей, поскольку ваши знакомые также могут стать жертвой вирусной атаки. Существует два сценария : вы получаете электронное сообщение от друга, содержимое которого представляет собой сплошную рекламу, либо же текст письма вынуждает пройти по указанной рядом ссылке.

Не доверяйте слепо таким письмам! Как правило, их подлинность также получится проверить с помощью почтового сервера: домены должны совпадать с названием сервера отправителя. Поможет настройка сортировки антиспам-фильтра.

Зачастую в качестве спама классифицируются определенные элементы текста. Чтобы действовать наверняка, позвоните своему знакомому. Скорее всего, он будет вам благодарен за предупреждение о вирусе, который высылает подобные письма.

Отправитель запрашивает даже номер кредитной карты. Введенные
данные попадают напрямую в руки хакеров

Признаки подлинного письма

В свойствах письма вы найдете в том числе сервер (1) , имя которого должно подходить отправителю. В идеале также присутствует сигнатура (2) , которую проверяют современные почтовые клиенты.