Как избавиться вируса вымогателя

Как удалить программы-вымогатели

Если Вы стали жертвой «полицейского» трояна или другой программы-вымогателя, Вы можете воспользоваться загрузочным диском или флешкой для полного удаления угрозы. В этой статье мы подробно разберем, как это сделать.

Как удалить «полицейский» троян

1. Вы не сможете получить доступ к данным на зараженном компьютере. Поэтому нужно загрузить программу HitmanPro и использовать ее для создания загрузочного USB накопителя;
2. Используйте созданную флешку для загрузки компьютера и запустите сканирование. HitmanPro гарантированно удалить троян в случае обнаружения;
3. После перезагрузки компьютера система Windows будет полностью работоспособна, и Вы сможете получить доступ к собственным данным.

Создание загрузочного USB носителя: Вам не нужно устанавливать HitmanPro. После загрузки программы кликните на небольшую пиктограмму человечка для доступа к диалогу создания загрузочной флешки.

Сканирование с HitmanPro: как только продукт обнаруживает угрозу, фоновое изображение становится красным. Подозрительные файлы анализируются на облачных серверах. Нажмите «Далее» для инициализации процесса удаления.

Запись образов ISO на диск: Windows 7 и 8 имеют встроенный инструмент для записи образов ISO на CD диски.

Kaspersky Rescue Disk: При первом запуске утилиты необходимо выбрать язык интерфейса.

Avira Rescue System: Система загрузится непосредственно с диска после выбора желаемого языка

Использование Avira для очистки компьютера: Avira имеет простой пошаговый мастер, служащий для очистки вредоносных программ

После того, как троян инфицировал и заблокировал компьютер, Вы ничего не сможете предпринять без использования вспомогательных инструментов. Сначала Вам потребуется второй чистый компьютер, на котором нужно будет использовать бесплатное ПО для записи загрузочного диска или флешки. Затем выбранный загрузочный носитель используется для очистки компьютера от угроз и восстановления доступа к личным данным.

Нижеприведенные инструкции объясняют, как использовать загрузочную флешку, созданную с помощью HitmanPro для очистки компьютера. Затем мы расскажем, как записать диски восстановления от Avira и Kaspersky, служащие для удаления вредоносных программ с зараженной машины.

USB флеш-накопитель для очистки

Программу HitmanPro можно использовать абсолютно бесплатно в течение 30 дней, с помощью нее можно создавать загрузочные флешки очистки и восстановления системы:

1. Загрузите 32- или 64-битную версию программы по адресу: page.php?id=612. Обратите внимание, что загружаемая версия должна быть совместима со вспомогательным компьютером, используемым для создания загрузочного носителя.
2. Запустите загруженный файл. Вам не нужно устанавливать программу. HitmanPro работает сразу же после запуска. После запуска программы вы увидите небольшую пиктограмму человечка в левом нижнем углу главного окна. Нажмите на этот символ для запуска диалога создания загрузочной USB флешки. Вставьте флеш-накопитель в компьютер. HitmanPro отформатирует флешку (это значит что все данные на ней удалятся!), сделает ее загрузочной и запишет ПО для очистки.
3. Вставьте флешку в зараженный компьютер под управлением ОС Windows. После включения компьютера и появления стартового экрана нужно убедиться, что загрузка происходит именно с флеш-накопителя, а не с жесткого диска, для этого нужно нажать специальную клавишу. Клавиша зависит от конкретной конфигурации компьютера и в большинстве случае это [F12]. Среди других вариантов: [ESC], [F8] или [F10]. После нажатия правильной клавиши Вы можете использовать стрелки для навигации в загрузочном меню и выбора флешки.
4. После запуска с флешки нажмите «1» для того, чтобы пропустить Master Boot Record. Затем HitmanPro автоматически загрузится и предложит выполнить сканирование и очистку компьютера. Просто нажмите «Далее» для подтверждения действия.
5. После того, как HitmanPro найдет троян, цвет фона поменяется на красный, и программа выведет местоположения обнаруженных угроз. Удостоверитесь, что для каждой вредоносной программы выбрано действие «Удалить» и нажмите «Далее». Инструмент автоматически выполнить удаление и попросит выполнить перезагрузку для завершения финальной стадии очистки.
6. После перезагрузки, Windows загрузится в обычном режиме. Запустите сканирование повторно для того, чтобы убедиться в удалении всех зловредов. HitmanPro будет выводить синий экран, если система не содержит угроз.

Использование CD/DVD диска для очистки компьютера

Большое количество вендоров предлагают готовые решения для восстановления ПК. Два известных продукта, которые участвовали в испытании – компакт-диски от компаний Kaspersky и Avira.

Загрузить оба решения можно с сайта Comss.ru

Kaspersky Rescue Disk 10: page.php?id=252

В обоих случаях Вам нужно загрузить файл образа ISO.

Запись образа ISO на диск

Файл ISO представляет собой цифровую копию содержимого диска. Вам нужно будет просто записать этот образ на диск с помощью встроенных средств в Windows 7 или 8. Если Вы до сих пор используете Windows XP, придется использовать программу стороннего производителя для прожига образа.

Пользователям Windows 7 и Windows 8 нужно будет выполнить следующее:

1. Выберите ISO файл и правым кликом мыши вызовите контекстное меню файла и выберите опцию «Записать образ диска». Если данное действие не отображается, вызовите меню «Открыть с помощью» и выберите опцию «Средство записи образов дисков Windows».
2. На следующем шаге Вас попросят вставить диск. Вставьте чистый диск и отметьте опцию «Проверить диск после записи» и нажмите «Записать».
3. Прожиг образа занимает пару минут. После завершения записи у нас все готово для запуска с загрузочного диска.

Использование загрузочных дисков для удаления угроз

Вставьте загрузочный диск и перезагрузите компьютер. После появления стартового экрана нужно убедиться, что загрузка будет происходить именно с загрузочного диска, для этого потребуется нажать соответствующую клавишу (напомним, среди возможных вариантов — [F12], [ESC], [F8] или [F10]). При появлении списка устройств, с которых возможна загрузка, выберите записанный диск.

Остальные шаги происходят автоматически. Загрузочные диски сканируют систему и при обнаружении следов вредоносной программы удаляют угрозы. При использовании диска Avira используйте клавишу «F2» для выбора желаемого языка интерфейса, а затем запустите систему восстановления. После загрузки системы, пошаговый мастер поможет Вам выполнить необходимые для успешной очистки шаги.

При использование диска от Kaspersky нажмите любую клавишу для доступа к меню после загрузки среды восстановления. Затем необходимо будет выбрать язык перед включением графического режима системы восстановления.

Если у Вас появились вопросы при использовании загрузочных дисков, Вы можете задать их на сайте Comss.ru или на форуме Safety-gate.

Заключительные советы для максимальной безопасности

Следите за тестами антивирусных решений на сайте Comss.ru для выбора эффективных продуктов с максимальной защитой. Если Ваш антивирус пропускает трояны, попробуйте перейти на другую антивирусную программу, которая показывает стабильно высокий результат в тестах AV-Test и других независимых лабораторий.

Некоторые трояны создают системную точку восстановления и используют ее в качестве «укрытия». Если Windows восстанавливается до одной из таких точек, троян остается в системе. Желательно удалить все точки восстановления. Для этого, нажав клавиатурное сочетание «Windows + Pause» выберите вкладку «Защита системы». Выбрав диск С нажмите кнопку «Настроить», а затем около надписи «удалить все системные точки», нажмите кнопку «Удалить», а затем «Далее».

По материалам тестовой лаборатории AV-Test.

Источник

Как предотвратить проникновение программ-вымогателей: основные советы

Согласно отчету Verizon Data Breach Report программы-вымогатели являются вторыми по частоте атаками вредоносных программ после атак категории «Командование и управление» (C2). Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Так как же научить пользователей не переходить по фишинговым ссылкам?
Мнение профессионалов: никак. Люди будут делать то, что присуще их природе. Таким образом, мы должны подойти к проблеме программ-вымогателей по-другому. В этой статье мы рассмотрим основные особенности и методы борьбы с программами-вымогателями.

Больше информации о программах-вымогателях можно получить в рамках бесплатного обучающего курса Троя Ханта «Вводный курс о вирусах-вымогателях».

Что представляют собой программы-вымогатели?

Программа-вымогатель — это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?

Как работает программа-вымогатель?

Программа-вымогатель — это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые — проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.

1. Инфицирование

Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Получение ключей безопасности

Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.

3. Шифрование

На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство

Жертва поражена, и злоумышленник отправляет уведомление с требованием заплатить за дешифровку. Обычно в нем указывается некоторая цифра в долларах с угрозами наподобие таких: «заплатите нам, или потеряете свои данные».
Стоит отметить, что благодаря криптовалюте распространение программ-вымогателей стало прибыльным занятием. Сейчас трудно определить прибыльность преступной деятельности, но частота атак указывает на то, что злоумышленники видят выгоду и продолжают использовать эти методы.
В последнее время план вымогательства основывается на угрозе раскрытия данных. Программа-вымогатель способна не только зашифровать данные в системе, но и передать их злоумышленникам. За этим следует угроза: заплатите нам или ваши данные окажутся в открытом доступе.

5. Разблокировка и восстановление

Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже — оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:

Как защититься от программ-вымогателей: основные советы

Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.

Не нажимайте на ссылки!

Да-да, вы уже слышали об этом раньше. Но всегда стоит повторить еще раз. В 2020 году большой процент вредоносных программ проник в системы через фишинговые электронные письма. Люди (все без исключения!) не перестанут переходить по ссылкам. Не так давно мы опубликовали материал «Полное руководство по фишинговым атакам», в котором подробно изложены принципы фишинговой атаки и рекомендации, как не стать ее жертвой.

Обеспечьте защиту электронной почты и конечных точек

По своему опыту мы знаем, что сотрудники будут всегда нажимать на ссылки. Поэтому:

• Сканируйте все электронные письма на предмет известных «штаммов» вредоносных программ и обновляйте брандмауэры и средства защиты конечных точек с использованием последних известных сигнатур вирусов;
• Уведомляйте пользователей о внешних электронных письмах;
• Предоставьте пользователям VPN для использования за пределами сети.

Храните резервные копии

Храните актуальные резервные копии для защиты важных данных — как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями — сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены — это уже другая проблема.

Защищайте конфиденциальную информацию

Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам — заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.

Кто находится в группе риска?

Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

7 типов программ-вымогателей, которые необходимо знать каждому

Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.

В последнее время стала весьма популярна модель «программа-вымогатель как услуга» (RaaS), как например Netwalker, когда хакеры дают свое вредоносное ПО «в аренду» другим киберпреступникам, в результате чего увеличиваются частота случаев и охват поражения.
Рассмотрим другие виды программ-вымогателей и принципы их работы.

Шифровальщики

Первая и наиболее распространенная категория этих программ — это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование — это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.

Взлом шифровальщиков

Взлом методом перебора: алгоритм с симметричным ключом занимает от нескольких часов для небольшого 20-битного ключа до миллионов лет для 128-битного ключа.

Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование — слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).

Программы-вымогатели, удаляющие данные

Злоумышленники могут угрожать, что любая ваша попытка расшифровать файлы приведет только к «безвозвратной потере данных». Или же файлы будут удалены, если вы не заплатите.

Широко известные вирусы, удаляющие данные, — Gpcode и FileCoder.
Мнение профессионалов: если файлы «удалены» вымогателем, их нельзя перезаписать на диске. Оптимальный вариант — восстановление из резервной копии.

Блокировщики

Злоумышленники создают вредоносные сайты, с помощью которых пытаются обмануть вас, заставляя думать, что вас разыскивает полиция и вам нужно заплатить штраф, или злоупотребляют вашим доверием другим способом. Они даже умеют отключать клавиши быстрого доступа, чтобы вам было сложнее закрыть экран. Такие методы используются, например, программами Winlock и Urausy.
Мнение профессионалов: все поступающие сообщения с просьбой перевести деньги — мошенничество.

Программы-вымогатели для мобильных устройств

Поскольку вымогатели хорошо «зарекомендовали» себя на ПК, злоумышленники создают подобные программы и для мобильных устройств. В основном они представляют собой разновидности блокировщиков, так как шифрование мобильного устройства, для которого регулярно выполняется резервное копирование, бессмысленно.

Правила реагирования на атаку программы-вымогателя

Справиться с текущими атаками вымогателей и смягчить их последствия помогут следующие действия:

1. Изоляция

Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.

2. Идентификация

Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.

3. Оповещение регулирующих органов об угрозе

В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.

4. Удаление вредоносного ПО

Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.

5. Восстановление данных

После подавления атаки переходите к процессу восстановления. Оплата выкупа — один из вариантов. Возможно, злоумышленники — благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант — восстановление из самой последней доступной резервной копии. При ее наличии.

Стоит ли платить выкуп?

Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросы.

Перед рассмотрением вопроса о переводе средств

Поиск инструмента для дешифрования

Просмотрите интернет-ресурсы на предмет существующих инструментов дешифрования. При обнаружении ключей для отражения атаки платить выкуп не нужно. Иногда экспертам по кибербезопасности удается получить ключи для дешифрования с вредоносных серверов и опубликовать их онлайн. Ниже описаны некоторые из них:

• CoinVault
• TeslaCrypt
• CryptoLocker

В каких случаях стоит задуматься о переводе средств

На саммите по кибербезопасности Джозеф Бонаволонта, отвечающий за программу ФБР по кибербезопасности и контрразведке, сказал: «Честно говоря, мы часто советуем просто заплатить выкуп».
Он также уточнил: «Успешная атака вируса-вымогателя в конечном итоге приносит пользу жертвам: поскольку очень многие оплачивают выкуп, авторы вредоносных программ менее склонны выжимать крупные суммы из одной жертвы, устанавливая небольшие размеры. И большинство мошенников-вымогателей держат свое слово. Поэтому вам вернут доступ».
По данным ФБР, большинство вирусов-вымогателей требует выкуп в диапазоне $200–$10 000.
Однако есть прецеденты, когда сумма была намного больше. В 2014 году злоумышленники зашифровали файлы администрации Детройта и потребовали выкуп в размере 2 000 биткойнов, что на тот момент составляло около 800 000 долларов. У этой истории счастливый конец: администрации Детройта не нужна была эта база данных, поэтому она не стала платить.
Иногда перевод средств — правильное решение. Офис шерифа округа Диксон в штате Теннесси заплатил 622 доллара в биткойнах хакерам, которые зашифровали файлы с уголовными делами департамента. По словам детектива Джеффа Макклисса, «всё свелось к выбору между потерей всех данных и невозможностью выполнять критически важные задачи, в которых мы их использовали, и оплатой 600 с небольшим долларов для их возврата данных». Офису шерифа повезло — ему вернули доступ к файлам.

Отказ от оплаты: в каких случаях не стоит идти на поводу

Некоторые эксперты по кибербезопасности призывают не платить выкуп из-за отсутствия гарантий возврата файлов в исходное состояние даже после перевода средств. Кроме того, согласие заплатить вымогателям усугубляет существующую проблему, делая жертву мишенью для дальнейших атак вредоносными программами.
В 2016 году сообщалось, что руководство больницы Канзаса, пораженной программой-вымогателем, заплатило выкуп в надежде на скорейшее возобновление работы, но после перевода средств файлы были расшифрованы лишь частично. При этом киберпреступники потребовали еще денег для расшифровки остальных файлов. В результате больница отказалась платить второй раз, так как это уже не казалось «разумным или стратегическим решением».
Что еще хуже, при заражении дефектным «штаммом», например Power Worm, вернуть файлы невозможно независимо от предпринимаемых действий. Даже при желании заплатить выкуп в результате этой атаки данные жертвы будут неизбежно уничтожены во время шифрования.
В других случаях, например во время атаки вирусом NotPetya, цель которой заключается не в финансовой выгоде, а в уничтожении данных, даже при накоплении биткойнов для выплаты выкупа вернуть данные не получится.
Согласитесь, что это простое и эффективное решение — остановить атаку вируса-вымогателя в самом ее начале, когда зашифровано всего пару сотен файлов, вместо того, чтобы потом иметь дело с полностью зашифрованной системой хранения.

Источник