16 февраля 2018 г.

Как я боролся с троянским конём

Здравствуйте дорогие читатели!

Хочу рассказать про недавно произошедший случай заражения компьютера трояном — шифровальщиком vault.


Троян (или троянский конь) — это разновидность вредоносной программы, которая проникает на компьютер под видом безобидного файла и творит свои черные дела. Её поэтому так и называют троянский конь. В честь того троянского коня с помощью которого греки захватили Трою. (Легенда о том, как греки подарили жителям осажденной Трои огромного деревянного коня. Троянцы втащили коня в город, а ночью прятавшиеся внутри коня 50 лучших воинов перебили стражу и открыли городские ворота. Таким образом Троя пала).

Троянский конь


Так вот вернемся к нашему вирусу. Он попал в компьютер, используя уязвимости не в программном обеспечении, а в голове человека. Так называемый человеческий фактор. Хорошо зная, что это письмо будут читать бухгалтера, хакеры использовали слова, на которые бухгалтера будут реагировать. Это такие слова: акт сверки, задолженность, пеня.
По электронной почте пришло письмо, в котором говорилось о том, что у организации есть задолженность и что, если немедленно ее не оплатите, то будет начислена пеня. К письму прилагался акт сверки. На самом деле вместо документа прилагался троян, написанный на языке Javascript.

Бухгалтер открыла вложение, и вирус зашифровал информацию на компьютере. Документы и фотографии поменяли свои расширения на vault и были зашифрованы 1024 битным ключом RSA.


Как лечить?



Установленный антивирус не обнаружил вируса.
Вредоносный «Акт сверки» я проверил на сервисе virustotal.
При проверке выяснилось, что из 55 антивирусов обнаружили этот вирус только четыре малоизвестных антивируса это: Cyren, F-Prot, F-Secure, NANO-Antivirus.
Для лечения установил пробную 30 дневную версию платного антивируса F-Prot и полностью проверил компьютер на вирусы. Файлы зашифрованные шифровальщиком vault, кстати не удалось спасти. Хакеры требовали денег за ключ расшифрования. Кстати не известно, стали бы они расшифровывать файлы после оплаты. Если зашифрована действительно ценная информация, стоящая больших денег, можно поискать фирмы, которые могли бы помочь в расшифровке. В интернете предлагаются такие услуги.

Зашифрованные файлы
Зашифрованные файлы


Как получилось, что такие известные антивирусы, занимающие первые места в рейтингах как: Avira, Kaspersky, Symantec, Bitdefender не обнаружили его? Все очень просто. Антивирусное ПО определяет вирусы посредством вирусных сигнатур, которые загружаются с серверов фирмы разработчика антивируса. И до тех пор, пока вирус не попал в руки разработчика антивируса и не был исследован специалистами, антивирусная программ не будет знать его. На эвристический анализ самой программы мало надежды.
Каждый вновь созданный вирус проверяется злоумышленниками на то, чтобы его не видел антивирус. Вероятно, вирус был недавно создан. Кстати через пять дней прогнал снова его на сервисе virustotal. Его уже распознали 13 антивирусов.
Вероятно пользователи зараженных компьютеров послали фирмам разработчикам свои вирусы, которые пополнили вирусные базы.
Я лично послал в компанию Avira образец вируса и мне ответили, что аналитики назвали угрозу JS/Dldr.Agent.4979 (речь идет о вирусе Javascript) и что он будет добавлен в базу определений вирусов.


Можно ли было избежать потери документов?



Да можно.

Если бы копии документов хранились отдельно от компьютера, зашифрованные документы на компьютере можно было бы восстановить из копии.

Поэтому храните копии документов отдельно от компьютера. И никакие вирусы вам не страшны.