Стаття потихеньку перетворюється в свого роду  «Курс молодого бійця» по боротьбі з такою напастю, як «Віруси-шифрувальники». Стаття не переслідує цілей реклами яких би то не було продуктів. Чи не стверджує, що описані в статті методи є 100% гарантією захисту. Всі рішення по налаштуванню ОС, виборі антивірусного ПО - цілком і повністю залежить тільки від вас!

Принцип дії

У більшості випадків вірус приходить по електронній пошті у вигляді вкладення від незнайомого вам людини, або ж від імені банку або іншої великої організації, ім'я якої вам вже швидше за все відомо. Листи ці приходять з заголовком виду: «Акт-звірки ...», «Картка підприємства ...» , «Ваша заборгованість перед банком ...», «Перевірка реєстраційних даних» та інше. У листі містяться вкладення з документами, нібито підтверджують факт, зазначений в заголовку листа. При відкритті цього вкладення відбувається моментальний запуск вірусу-шифрувальника, який непомітно зашифрує всі ваші документи, відео, зображення на всіх дисках і відновити їх вже буде неможливо. Побачити це буде легко - всі файли, які мали до цього значки, стануть з іконками невідомого типу файлів.

Як визначити?

Вкладення цих листів найчастіше бувають в архівах. zip ,. rar ,. 7 z ,. cab (в настройках багатьох антивірусів за замовчуванням відключена перевірка архівів). І вже всередині цих архівів перебувають на перший погляд нешкідливі документи.

Якщо в налаштуваннях системи відключена функція відображення розширення файлів, то ви побачите лише файли виду «Документ.doc "або" Акт.xls »або щось подібне. Якщо ж включити відображення розширення файлів, то відразу буде видно, що насправді це не документи, а виконувані програми або скрипти, так як імена файлів будуть трохи іншого виду, наприклад, «Документ.doc.exe »або« Акт.xls.js». При відкритті таких файлів відбувається не відкриття документа, а запуск вірусу-шифрувальника.

Короткий список «небезпечних» розширень файлів - тобто якщо ви докладно точно не знаєте, що вам прислали, то найімовірніше за ним захований вірус-шифрувальник:. exe ,. com ,. js ,. wbs ,. hta ,. bat,. cmd

Для того, щоб включити відображення розширень файлів, необхідно ...

... Якщо у вас Windows 8 / Windows 8.1

Нагорі відкритого вікна перейти на вкладку «Вид» і встановити галочку навпроти «Розширення імен файлів»

... Якщо у вас Windows 7

На клавіатурі натиснути лівий Alt. Нагорі з'явиться головне меню. У ньому відкрити меню «Сервис - Параметри папок». У вікні, перейти на вкладку «Вид». У списку додаткових параметрів майже в самому низу зняти галочку навпроти «Приховувати розширення для зареєстрованих типів файлів».

... Якщо у вас Windows XP

Все аналогічно Windows 7 за винятком натискання кнопки Alt для виклику головного меню. Воно зазвичай завжди відображається в Windows XP.

Як не допустити зараження

Звичайно ж ніколи не відкривати вкладення в листах від незнайомих вам людей. Завжди можна уточнити, відповівши на лист, хто він (відправник) такий, і звідки він дізнався адресу вашої електронної пошти.

Якщо ж бажання відкрити вкладення у вас не поменшало - обов'язково перевірте розширення вкладених файлів. Якщо вони закінчуються на зазначені вище «небезпечні» розширення файлів - ні в якому разі не відкривайте їх. Проше попросити відправника вислати файли в іншому форматі. Пам'ятайте, в більшості випадків відправник навіть не підозрює, що від його імені відправлялися файли вірусу-шифрувальника, і швидше за все він відповість вам, що нічого вам не відправляв і знати вас - не знає.

Більш-менш адекватне антивірусне ПЗ, яке ловить ці віруси-шифрувальники, це, мабуть, Kaspersky Internet Security . Список антивірусів, відомих мені, які точно не пройшли перевірки і не заблокували цей вірус - це Avast! і Microsoft Endpoint Protection .

У будь-якому випадку 100% захисту від антивіруса чекати не варто. Так як живуть віруси 2-3 дня, і після додавання їх в базу антивірусів, код їх переписується.

PS: Так само є технологія створення точних копій в ОС Windows 7, яка дозволяє відкотити файл до робочого стану. Питання тільки в розмірах вашого жорсткого диска і вільного місця на ньому.

PSS: Нещодавно зіткнувся з черговим "зараженням" - файли користувача були зашифровані. Сценарій - повністю ідентичний. В архіві знаходився сценарій під виглядом документа Excel. Ми підемо іншим шляхом , вирішив я, і відкрив оснащення Управління груповою політикою в домені .

Актуально для мережі з використанням домену Active Directory . Переходжу в об'єкти групової політики і створюю новий об'єкт "Заборона виконання скриптів". Переходжу в конфігурацію користувача - Налаштування - Параметри панелі управління - Параметри папок.

Додаю 3 об'єкти для розширень hta, js, vbs з зіставленням notepad.exe. Призначаю потрібним групам користувачів створений об'єкт групової політики. Після перезавантаження все скрипти за замовчуванням відкриваються через Блокнот і, як наслідок, крім нерозуміння користувача, не викликають ніяких інших непоправних наслідків.

PSSS: Сьогодні сталося чергова НП локального формату. Менеджеру з продажу надійшов лист з захопливою заголовком  Картка підприємства з однойменною архівом .rar у вкладенні . І навіть незважаючи на те, що ніяких карток ні від якого клієнта він не чекав - архів відкрив. І побачивши всередині Картка предпріятія.exe  - не замислюючись його запустив ... Вбудований в ОС Windows Defender, мабуть не очікував такого нахабства зловмисників і ... спокійно пропустив запуск .exe файлу з цього архіву. Результат само собою на обличчя - все файли користувача виявилися зараженими. 

Обмежувати політиками список дозволених програм звичайно справа невдячна, тому вирішив піти іншим шляхом ...  Можливо для багатьох буде приємною несподіванкою, але Касперський випустив нарешті безкоштовну версію антивіруса, з сильно урізаним функціоналом ... але і залишився вистачає для більшості робочих місць. Ось як-раз його і вдалося протестувати на клієнті. Само собою розшифрувати зашифроване ніякому продуктові не під силу, цікавий був лише факт блокування шифрувальника (на мою скромну досвіду - Avast! З цим завданням не справляється, може щось змінилося вже - але довіри до цього антивірусу вже немає).

Отже, після установки і запуску без зміни налаштувань  Kaspersky Free - взагалі ніяк не відреагував на запуск .exe файлу вірусу-шифрувальника, що звичайно-ж збентежило - надії не виправдалися :( Однак, вирішив погратися з настройками і, тільки після того, як виставив високий рівень захисту для файлового антивіруса , домігся бажаного результату - файл з вірусом-шифрувальником був заблокований в момент запуску !

Наскільки надійна далі буде ця версія антивіруса від Касперського - покаже звичайно ж час.

    Приклад ураження вірусом-шифрувальником фотографій. До речі, користувач - житель нашого селища, антивірус Касперського без ліцензії, результат очевидний.

    Розшифрувати файли практично неможливо. Після шифрування з'явилися текстові файли такого змісту