← ИТ в логистике, бухгалтерия

Атака вируса-шифровальщика: как спасти данные и не лишиться денег

Этим летом в техподдержку ТРАНС-Менеджер обратились десятки компаний, чьи компьютеры оказались заражены программой-вымогателем. Некоторые cмогли восстановить зашифрованные данные, но большинству пришлось начинать ведение базы данных с нуля.

Специалисты по техподдержке ПО ТРАНС-Менеджер рассказывают, как уберечься от вирусов-шифровальщиков и что делать, если данные всё-таки оказались зашифрованы.

Не стоит открывать вложения из писем неизвестных отправителей. Не следует устанавливать программное обеспечение, не имеющее ЭЦП проверенного издателя. Сегодня об этих простых правилах безопасности в сети знают даже школьники, поэтому мы не будет заострять на них внимание. Дадим, однако, другой полезный совет: необходимо вовремя создавать защищенные резервные копии всех важных файлов. Далее немного теории простым языком.

Все версии ПО ТРАНС-Менеджер имеют в своем составе программу резервного копирования. Но до недавнего времени такие резервные копии были никак не защищены

Мы бы условно разделили вирусы-шифровальщики на 3 типа

Первый тип – старые вирусы, появившиеся в конце 2000-х годов. Они не славятся стойкостью алгоритмов шифрования, но встречаются до сих пор. Пораженные таким вирусом файлы нередко можно восстановить с помощью специальных утилит, выпускаемых антивирусными лабораториями.

Второй тип - современные вымогатели, шифрующие файлы очень стойким алгоритмом, который фактически невозможно дешифровать. К их числу относится бушевавший этим летом зловред Troldesh (Shade).

И третий тип, по нашему мнению, самый опасный - это вирус, который шифрует таблицу размещения файлов на жестком диске и помещает «программу-заглушку» в загрузочный раздел. Например, вирус Petya 2017 года (иногда называют NotPetya). Зашифрованные им данные восстановить невозможно даже за выкуп, т.к. они фактически уничтожаются.

Как часто бывает

В большинстве случаев пользователь узнает, что файлы зашифрованы только тогда, когда вирус уже сделал свое дело и потребовал выкуп за восстановление информации.

Однако иногда полное поражение данных можно предотвратить. Когда вирус-шифровщик начинает свою работу, возникает сильная нагрузка на процессор и файловую систему. Но только опытный пользователь может это заметить, например, по заторможенности компьютера или звуку внезапно взвывшего в ноутбуке вентилятора охлаждения. Если такое происходит, и сам пользователь понимает, что это не он нагрузил систему, то полное поражение можно предотвратить жестким выключением питания с последующей загрузкой компьютера с системного CD или флэшки и копированием уцелевших файлов.

Большинство вымогателей шифруют только те файлы, к которым можно получить доступ на запись средствами ОС, и это можно использовать как защиту. Именно такую защиту использует комплекс ПО ТРАНС-Менеджер.

Но обычный пользователь, скорее всего, не заметит начало работы вируса, и все файлы его компьютера будут зашифрованы.

Отдельно можно сказать, что ранние вирусы, появившиеся в середине 2000-х годов, шифровали только файлы определенных популярных типов – изображения, документы Word и Excel и т.д. Современные же вирусы шифруют все файлы, к которым могут получить доступ на запись, независимо от их типа. Ключевое здесь – файлы, к которым можно получить доступ на запись средствами ввода/вывода операционной системы. Но об этом ниже.

Что делать, если данные всё-таки оказались зашифрованы, и как уберечься от вируса

Если файлы зашифрованы и резервных копий нет или они тоже зашифрованы, то платить выкуп нужно только в самом крайнем случае, когда ситуация серьезная в силу срочности, важности, а другого выхода нет. При этом нет никаких гарантий, что файлы будут восстановлены. Кроме того, получение денег будет стимулировать преступников продолжать свою деятельность и разрабатывать новые программы.

Первым делом стоит обратиться в специализированные компании, например, в техническую поддержку вашего антивируса. Если вирус старый, возможно, для него есть дешифровщик. Но нужно сказать, что стандартного набора мероприятий по восстановлению компьютера нет. И доверять можно только проверенному специалисту.

Если же есть все важные резервные копии, то восстановить работу можно довольно быстро и не привлекая к этому серьезные ресурсы.

Резервные копии

Как было сказано выше, единственный действенный способ защиты – это создание резервных копий. Но мало просто их создавать, нужно еще их надежно хранить в защищенном месте. Созданные, например, на постоянно доступном сетевом ресурсе копии при атаке вымогателя тоже окажутся зашифрованными.

В августе этого года разработчики ПО ТРАНС-Менеджер разработали бесплатную утилиту для создания инкрементальных защищенных от большинства вирусов-вымогателей резервных копий для используемой в комплексе базы данных. Для ее использования не нужны отключаемые внешние носители или какие-то облачные решения. Подробности – в описании к утилите.

Копии, которые создаются в каком-то облачном диске, тоже окажутся зашифрованными, т.к. задача такого диска синхронизировать файлы на диске и в облаке, и нормальные копии в облаке будут заменены на зашифрованные. Поэтому копии нужно хранить на отключаемом внешнем или сетевом носителе, который подключается только на время создании копии.

ООО «МЕДВЕДЬ-СОФТ»

Г. Екатеринбург

www.trans-manager.ru 

+7(343) 271-04-50

+7(343) 361-87-98