Во-первых, это
не вирус, это программа, которая не имеет явных признаков вируса (саморазмножение, полиморфизм, скрытие в памяти под видом процесса и т.д.), пользователь ее радостно запускает
самостоятельно, соответственно, в большинстве случаев антивирус ее попросту игнорирует как "хороший" файл. Единственный (пока) способ засечь такую программу для антивируса - мониторинг активности, который при обнаружении подозрительной активности (изменение многих файлов, их расширений и т.д.) предотвратит запуск или вовремя остановит работу программы-шифратора. Но это есть не во всех антивирях, и не всегда это корректно работает, к тому же в шифровальщике может быть предусмотрена случайная задержка по времени, способная обмануть мониторинг, плюс он может маскироваться под легальное ПО вроде архиваторов и им подобных. В общем, на каждую хитрую попу найдется болт с резьбой, поэтому
антивирусы в данном случае - не панацея.
Во-вторых,
никаких средств и волшебных лекарств для расшифровки файлов, зашифрованных современным шифровальщиком, попросту
нет. Вдаваться в дебри криптографии не буду, скажу лишь, что на поиск ключа "в лоб" на любом современном суперкомпьютере уйдут годы, если не тысячелетия, обходных же путей не существует. С ранними версиями шифровальщиков еще можно было быстро (или относительно быстро) "разобраться" из-за несовершенных алгоритмов (еще есть изредка срабатывающие на старых версиях шифраторов утилиты от доктора веба и касперского), но это, как правило, уже пройденный этап, новые модификации используют "правильные" невскрываемые алгоритмы.
В-третьих, данные вредоносы часто шифруют практически все полезное с точки зрения офисного документооборота,
вплоть до баз 1С, архивов и документов, находящихся (
sic!) на сетевых дисках, т.е. в папках на сервере с общим доступом, подключенных к компьютеру пользователя, куда пользователь может хоть что-то записывать. Опять же, резервные копии и грамотных админов в организации никто не отменял, но в реальности часто бывает, что пока петух жареный в задницу не клюнет, никто не пошевелится. А потом, собсно, бывает уже поздно.
Очень повезет, если удастся откупиться от мошенников: заплатить им 300-500-1000 (сумму подставьте сами) долларов, они не исчезнут с этими деньгами и честно вышлют софт для расшифровки. Но, чем больше мошенников, тем меньше "добросовестных" мошенников. Поэтому риск окончательной и бесповоротной потери данных очень велик. И вообще,
без крайней нужды не надо платить. Чесслово, так хуже для всех, кроме вымогателей.
Т.к. все это я не для айтишников писал, крайне рекомендуется:
- делать резервные копии документов, баз 1С и вообще всего ценного на внешний съемный носитель, отключая его после резервного копирования;
- ни в коем случае не открывать ничего в почте "не глядя", даже если это пришло от знакомого адресата. Лучше семь раз проверить и убедиться, что это именно то, что надо;
- запомнить раз и навсегда, что налоговые органы, акиматы, финпол и прочие госструктуры, а также банки, не будут высылать официальные письма по почте, тем более с каким-то прикрепленным архивом, тем более со ссылкой на файлообменник с каким-то архивом. Просто принять это как данность и удалять такие письма сразу.
Я надеюсь, этот пост будет полезен, т.к. лично уже столкнулся с несколькими недотепами, навсегда потерявшими ценнейшие с их точки зрения данные. Только двое из пятерых смогли откупиться от мошенников, получить от них расшифровщик и восстановить данные (почти неделя ушла на связь, перевод денег и ожидание ответа), один заплатил, ничего не получив в ответ, двое вообще не сумели связаться с мошенниками (те, видимо, настригли купонов и смылись). В самом лучшем из вариантов вы для восстановления данных, утерянных из-за двух необдуманных кликов мышью, потеряете не пять и не десять тысяч тенге, речь о более серьезных суммах "атстатыщ". Плюс потерянное время. Вообще, повторюсь, правильнее всего будет никому ничего не платить
. Это, во-первых, только стимулирует мошенников, во-вторых, это лотерея с довольно малым шансом на выигрыш. Но иногда ценность данных толкает на любые риски и траты, тут ничего не поделать.
З.Ы. Антивирусы с мониторингом активности ищите в гугле, топ-3 платных имеют этот механизм, но имейте в виду, что просто взять и установить - недостаточно, нужно этот мониторинг еще и настроить определенным образом.
З.З.Ы. Дополнительный, но не особо действенный способ защититься - запретить в почтовой программе запуск любого рода исполняемых файлов. Почему не особо действенный? Потому что шифровальщики обычно упаковывают в архив (или присылают ссылку на архив), откуда пользователь уже сам запускает файл с вредоносом. К тому же, исполняемые файлы обычно блокируются фильтрами почтовиков по умолчанию.