Trojan.WMIHijacker.ClnShrt
Short bio
Trojan.WMIHijacker.ClnShrt is Malwarebytes’ detection name for Trojans that use the Windows Management Instrumentation (WMI) infrastructure to alter victims’ browser shortcut files in order to add the target site so the browser(s) open with that site.
Common method of infection
The majority of these hijackers are installed by bundlers.
Protection
Malwarebytes protects users from Trojan.WMIHijacker.ClnShrt by blocking the sites these hijackers try to open.
Malwarebytes blocks yeabests.cc when Trojan.WMIHijacker.ClnShrt is present
Home remediation
Malwarebytes can detect and remove Trojan.WMIHijacker.ClnShrt without further user interaction.
Business remediation
How to remove Trojan.WMIHijacker.ClnShrt with the Malwarebytes Nebula console
You can use the Malwarebytes Anti-Malware Nebula console to scan endpoints.
Nebula endpoint tasks menu
Choose the Scan + Quarantine option. Afterwards you can check the Detections page to see which threats were found.
On the Quarantine page you can see which threats were quarantined and restore them if necessary.
Вирус Bitcoin miner. Как его обнаружить и обезвредить?
Безопасность компьютера важна каждому пользователю. Но тем, кто хранит на нём финансовые данные, необходимо следить за защитой личной информации и правильной работой оборудования. В противном случае им придётся столкнуться с опасным вирусом — это вирус bitcoin miner. Он способен принести массу неприятностей и заставить пострадавших поволноваться. А тем, кто пока не столкнулся с подобной бедой, следует заранее задуматься о том, как найти и удалить вирус майнер.
Стоит познакомиться с потенциальной угрозой ещё до встречи с ней, чтобы знать, как поступать при выявлении трояна. Это позволит снизить возможные потери и вылечить зараженную технику в максимально короткие сроки.
Название связано не с потенциальными жертвами, а с поведением трояна.
Заражая компьютер, он начинает использовать свободные ресурсы для майнинга в пользу разработчика.
В результате данный компьютер становится частью огромной фермы добычи биткоинов. Только прибыль получают не владельцы техники, а создатели опасной программы.
Основная сложность, с которой сталкиваются жертвы, заключается в постоянном зависании ПК. Имеющиеся ресурсы уходят на заработок криптовалюты, а остальные программы отказываются нормально работать.
Так же возможна кража важных данных. Но подобное происходит редко, поскольку основная цель вредоносной программы совершенно иная. Но это не означает, что не стоит переживать о сохранности паролей, кодов и личной информации. Их могут похитить, чтобы воспользоваться позднее.
Заражение вирусом майнер не отличается от заражения иными вредоносными файлами. Неосторожные пользователи переходят по непроверенной ссылке, скачивают программы из незнакомых источников и просто посещают опасные сайты. Чаще всего он попадает на компьютеры и ноутбуки:
Как правило, его невозможно обнаружить сразу после попадания на ПК. Ему требуется время, чтобы занять нужное для работы дисковое пространство и захватить свободные ресурсы системы. А в момент, когда он обнаруживается, исправить ситуацию, бывает довольно сложно.
Учитывая, что троян может оказаться практически где угодно, единого ответа на вопрос, как определить, каких сайтов и действий требуется избегать, не существует. Стать жертвой можно даже соблюдая меры предосторожности.
Главный признак появления вируса майнера — зависание и медленная работа системы. Как упоминалось выше, это связано с использованием им всех свободных ресурсов. Но подобные проблемы не всегда связаны с вредоносными программами. Поэтому следующим шагом, который необходимо совершить, чтобы убедиться в отсутствии или наличии трояна, станет проверка работающих процессов.
Чтобы обнаружить опасный процесс, придётся включить диспетчер задач (на большинстве современных устройств для этого следует одновременно нажать ctrl, esc и shift), и внимательно изучить имеющиеся процессы.
При обнаружении странной программы, использующей большое количество памяти и сильно загружающей процессор, следует бить тревогу.
Если обнаруженный процесс не избавил от имевшихся сомнений, следует запомнить его название и поискать описание в интернете. Результат не заставит себя ждать, а пользователю останется думать, как бороться с возникшей проблемой.
Разобравшись, чем опасен вирус майнер и как обнаружить проблему, следует переходить к её решению. И первое, о чём нужно позаботиться владельцу ПК — это сохранение необходимых ему сведений и файлов. Для этого их следует заранее перекинуть на флэш-карту или внешний жёсткий диск. Если позволяет скорость выхода в интернет, можно воспользоваться и облачными сервисами.
Далее следует найти и установить антивирус (если у вас его не было) и начать сканирование компьютера. Обычно качественные современные антивирусы без проблем выявляют опасные файлы и удаляют их.
Правда, в некоторых случаях это серьёзно влияет на работу отдельных приложений. Но безопасность системы и личной информации намного важнее. Да и наиболее полезные компоненты должны были перенестись на отдельный носитель. Но, перекидывая их позднее обратно, стоит тщательно проверять сохранённые файлы на наличие угроз. Только так можно избежать повторного заражения.
Если все предпринятые попытки лечить компьютер современным антивирусом оказались бесполезными, стоит воспользоваться одним из четырёх оставшихся способов борьбы:
Первый вариант практически гарантирует положительный результат, но требует затрат и иногда оказывается крайне неудобным.
Второй подход допустим лишь в тех случаях, когда пользователи своевременно позаботились о создании точек восстановления. Если их нет, откатить последние изменения не удастся.
Третий способ приведёт к потере всей несохранённой информации и потребует не только установки операционной системы, но и всех дополнительных программ, которыми пользовался владелец ПК.
А последний метод подходит только опытным пользователям. Он требует знания точного названия вредоносного файла и умения включать компьютер в безопасном режиме. Единого способа подобного включения не существует, поскольку он зависит от фирмы — производителя техники.
Дополнительным минусом этого подхода станет время, которое будет потрачено на поиск всех опасных файлов.
Разобравшись с вирусом, стоит позаботиться о безопасности системы. Первым делом следует убедиться, что неприятность осталось в прошлом, а вирус был удалён полностью. Далее необходимо заняться сменой паролей. Особенно это касается электронной почты и важных сайтов, где хранится конфиденциальная информация. К их числу относятся и электронные кошельки. Это необходимо, чтобы злоумышленники не смогли похитить персональные данные или не получили доступ к финансам.
Не лишним окажется и установка антивируса, если это не было сделано ранее. Необходимо поддерживать его в актуальном состоянии, чтобы ни одна опасная программа не стала источником новых переживаний.
Разобравшись с безопасностью и паролями, можно возвращать сохранённые файлы.
Но важно повторить, что они должны тщательно проверяться перед переносом на жёсткий диск. В них может таиться вирус, который был лишь недавно уничтожен на ПК. Зная, чем опасен bitcoin miner, и что это за вирус, стоит избегать однажды сделанных ошибок.
Описанный троян лишь один из ярчайших представителей майнер-вирусов. Подобные вредоносные программы появляются с завидной регулярностью, поэтому описать каждую практически невозможно. Но это не означает, что они менее опасны и не представляют угрозы. Поэтому, чтобы не стать жертвой вирусной атаки, следует заранее позаботиться о защите. Для этого необходимо:
Необходимо помнить, что поддержание безопасности — это личное дело каждого пользователя. А наиболее надёжный способ избежать неприятностей — тщательно следить за совершаемыми действиями и обдумывать собственные поступки.
Работа с финансами не терпит пренебрежительного, легкомысленного отношения.
Подобное поведение способно стать источником огромных сложностей и даже денежных потерь. В крайнем случае, всё обойдётся простым ремонтом техники. Но даже это принесёт массу переживаний и приведёт к непредвиденным расходам.
Майнеры атакуют: как распознать и уничтожить вредителя
Майнеры – довольно старый по меркам информационной безопасности тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют. Специалисты антивирусной компании «Доктор Веб» проанализировали работу этих троянцев и готовы рассказать, как они попадают на ПК и как с этим бороться.
Майнинг (от англ. Mining — «добыча») — способ заработка современных цифровых валют, самой известной из которых является биткойн. Для добычи требуются серьезные вычислительные мощности — и, по мнению злоумышленников, их можно «позаимствовать» у простых пользователей. Слово «майнинг» точно передает действия злоумышленников: заработанные ими деньги — действительно добыча, которую они получают с зараженных компьютеров.
Не секрет, что современные домашние и офисные компьютеры — намного мощнее, чем того требует большинство повседневных задач. А для сервера наличие избыточной мощности — необходимость на случай пиковых нагрузок, которые в разы превышают обычные показатели.
С использованием этих мощностей на ПК может незаметно выполняться множество задач, о которых пользователь не знает, — и не узнает, если закравшаяся в систему программа не начнет «наглеть».
Что такое майнеры?
Майнеры — довольно старый по меркам ИБ тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют.
В общем случае это программы, которые тайно устанавливаются на компьютеры (да и на серверы тоже) и занимаются вычислениями, необходимыми для получения криптовалют. Во многих публикациях утверждается даже, что майнеры не относятся к вредоносным программам. Разумеется это не так. Даже не считая того, что запущенный майнер мешает пользователю работать на ПК, любой майнер обладает классическими признаками вредоносной программы. В первую очередь, скрытая установка на компьютер — вредоносная программа устанавливается, не оповещая пользователя совсем или сообщая о своем функционале лишь частично.
На данный момент майнеры — одни из самых распространенных вредоносных программ. Для наглядности можно открыть вирусную базу Dr.Web и выделить все записи, в которых есть слово mine.
Этот скриншот содержит лишь часть майнеров, попавших в вирусную базу в течение одного дня. На самом деле их раза в два-три больше. В СМИ попадает информация лишь о ничтожной доле вредоносных программ, рассказать обо всех — задача нереальная. Поэтому их просто ловят 🙂
Как распространяются майнеры?
Эти вредоносные программы называются «троянцы-майнеры». Не вирусы и не черви, а именно троянцы. Напомним, что троянцы — это тип вредоносных программ, самостоятельно распространяться не умеющих. Для проникновения на компьютер, а иногда и для запуска, им нужна помощь пользователя.
Криптовалюта Bitcoin была создана в 2009 году. Троянец, в название которого вошло слово «mine», появился через два года — в 2011.
Собственно, Trojan.BtcMine.1 майнером не являлся – для майнинга он использовал две легитимные программы. Забавно, что майнер этот был очень «жадным»: вторая программа майнинга загружалась им именно для того, чтобы максимально загрузить компьютер расчетами. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.
Внимание! Самостоятельное удаление майнера может быть опасно, так как эти вредоносные программы способны этому противодействовать. Так, Trojan.BtcMine.1978, предназначенный для добычи криптовалют Monero (XMR) и Aeon запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD).
Использование легитимных программ в целях майнинга оказалось для киберпреступников невыгодно. Такие программы не скроешь от пользователя — их видно с списке запущенных приложений. И, соответственно, их легко обнаружить и удалить (или перенастроить).
Троянцы в шкуре безобидных приложений
На сегодняшний день наряду с майнерами, использующими легитимные программы, появились специально созданные троянцы, уже полностью учитывающие специфику преступного бизнеса. Они могут не отображаться в списке процессов и/или ограничивать потребление ресурсов.
Вот, скажем, достаточно старый Trojan.BtcMine.218 (для сравнения: майнер, попавший в вирусную базу Dr.Web в конце января 2018 года, имеет номер 2025). Данный майнер распространялся под видом «погодного тулбара». Он действительно устанавливал безобидный «погодный информатор» SmallWeatherSetup.exe, но вместе с ним — еще и вредоносную программу Tool.BtcMine.130.
Естественно, Trojan.BtcMine.218 – не единственная вредоносная программа, распространяющаяся под видом безобидной, получить троянца можно, скачав чит, трейнер кряк и т. п.
Этот майнер прославился тем, что его создатель забыл удалить собственное имя из вредоносной программы.
А вот Trojan.BtcMine.737 — уже плод сотрудничества нескольких злоумышленников. В качестве майнера преступники используют утилиту другого разработчика, которую Dr.Web детектирует как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты.
Широкая востребованность майнеров привела к тому, что в Сети появилось множество предложений по разработке вредоносных программ подобного вида – образцов кода, на основе которого можно создать майнер, в Интернете достаточно много. В связи с этим напоминаем, что не только распространение вредоносных программ, но и их создание является уголовно наказуемым деянием.
Как вирус распространяется и скрывается
На данный момент заработать новую единицу криптовалюты достаточно сложно, тем более если майнер не забирает все ресурсы компьютера под себя. Поэтому майнеры работают в составе ботнетов — сетей зараженных ПК. Ну а поскольку число зараженных компьютеров для успешного майнинга должно быть велико, то зачастую обнаруживают майнер достаточно быстро.
Майнеры могут попасть на компьютер в результате заражения другими троянцами. СМИ в основном упоминают майнеров и шифровальщиков, в то время как, скажем, вариантов загрузчиков Trojan.DownLoader или Trojan.MulDrop в день создается в несколько раз больше, чем энкодеров.
Чем опасны такие троянцы? Особого вреда они не наносят, но зачастую бороться с ними тяжелее, чем с шифровальщиками. Установившись на компьютер первыми, они анализируют его состояние и загружают необходимые модули. В том числе может быть загружен и модуль майнинга.
Ну и, естественно, майнеры пытаются удалить антивирус. В качестве примера можно привести Trojan.BtcMine.1978, который пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender.
Иногда майнинг служит для злоумышленников лишь побочным заработком. Так, основное предназначение троянца Trojan.Mods.10 — подмена веб-страницам, а для Trojan.Tofsee — рассылка спама.
Для каких операционных систем существуют майнеры? Для всех используемых: Windows, macOS, Linux, Android …
Первые варианты Android.CoinMine относятся к 2014 году. Эти вредоносные программы распространяются в модифицированных версиях популярных приложений и активизируются в те моменты, когда зараженное мобильное устройство находится в режиме ожидания.
Внимание! Эти троянцы влияют не только на время работы аккумулятора и повышают температуру интенсивно работающих компонентов устройства. Сообщалось о взрывах перегретых аккумуляторов мобильных устройств.
Майнеры под видом плагинов для браузеров
Еще один вид майнеров — плагины для браузеров. В данном случае также используется известное приложение со встроенным вредоносным кодом. Иногда злоумышленники создают и раскручивают вредоносное приложение с именем, похожим на название популярной программы.
В качестве примера можно привести Tool.BtcMine.1046. Плагин SafeBrowse для браузера Google Chrome был предназначен для заработка широкого спектра криптовалют — Monero, Dashcoin, DarkNetCoin и т. д.
Или более древний Trojan.BtcMine.221, предназначенный для добычи криптовалюты Litecoin. Распространялся с нескольких принадлежащих злоумышленникам веб-сайтов под видом различных приложений — например, надстройки к браузеру, якобы помогающей в подборе товара при совершении покупок в интернет-магазинах.
Ну и, наконец, самый «модный» вариант — скрипты на сайте. Неоднократно отмечалось, что выгода от подобной технологии заработка крайне мала, но тем не менее все больше сайтов включается в гонку за криптовалютами. В качестве интересных примеров можно привести майнер, создававший невидимое всплывающее окошко, прятавшееся за треем на Рабочем столе, или вредоносные программы, подменявших содержимое неактивных закладок браузера.
Кто в опасности?
Все. По статистике, более 80% сайтов имеют уязвимости. Каждый может оказаться на взломанном сайте, занимающемся майнингом.
Что касается заражения обычной программой-майнером, то взглянем только на одну ботсеть: «По усредненным подсчетам в созданной злоумышленниками бот-сети наблюдается активность 203 406 ботов в сутки». Более 200 000 пользователей скачали себе не пойми какую программу для оптимизации покупок в Интернете!
Майнеры не могут заражать файлы, а вот процессы заразить могут. Причем могут заражаться все запущенные процессы, но использоваться для майнинга будет первый, в котором этот троянец начинает работу.
Подводим итог:
Криптовалюты сейчас торгуются на достаточно высоком уровне, поэтому в ближайшее время можно ожидать появления более совершенных образцов вредоносных программ. Увы, беспечность пользователей играет на руку злоумышленникам. Поэтому, не стоит пренебрегать регулярными обновлениями Windows, и обязательно используйте хороший антивирус. Для мобильных устройств также стоит внимательно изучать приложения и отзывы по ним, прежде, чем устанавливать на смартфон.
Все о троянах-вымогателях в вопросах и ответах
Что такое ransomware, трояны-вымогатели и шифровальщики, откуда они берутся, чем грозят, как от них защититься и вообще все, что нужно о них знать
1. Зачем мне это читать?
Этот текст может сэкономить вам где-то $300. Примерно столько потребует в качестве выкупа средний троян-шифровальщик. А в «заложниках» у него окажутся ваши личные фотографии, документы и другие файлы с зараженного компьютера.
Подцепить такую заразу очень просто. Для этого вовсе не обязательно часами лазить по сомнительным порносайтам или открывать все файлы подряд из почтовой папки «Спам». Даже не делая ничего предосудительного в Интернете, вы все равно рискуете. Как? Читайте дальше.
2. Что такое вымогатели (ransomware)?
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.
Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.
3. Сколько денег требуют в качестве выкупа?
4. Зашифрованные файлы можно восстановить без выкупа?
Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.
Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.
Еще один шифровальщик побежден! Все, кто пострадал от Shade, могут восстановить файлы: https://t.co/yPT3Cbocjn pic.twitter.com/MVDXFRABkt
5. Как платят выкуп?
Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.
Если вы все еще не понимаете что такое биткоин и блокчейн и как они работают, вам сюда: https://t.co/ItuN2S56ag pic.twitter.com/Zj1FLgk35j
6. Как на мой компьютер могут попасть вымогатели?
Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.
Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).
Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.
Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.
7. Каких файлов стоит опасаться?
Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).
10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo
Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.
Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.
Важный момент: Windows по умолчанию скрывает расширения известных системе типов файлов. Так что, встретив файл с именем Important_info.txt, не спешите по нему кликать, полагаясь на безопасность текстового содержимого: «txt» может оказаться частью имени, а расширение у файла при этом может быть совсем другим.
8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?
К сожалению, шанс подцепить вымогателя есть даже у самых разумных пользователей. Например, в процессе чтения новостей на сайте крупного «белого и пушистого» СМИ.
Конечно, само издание вирусы распространять не станет. Как правило, такие заражения происходят через систему обмена рекламными баннерами, к которой удалось подключиться злоумышленникам. И если вы окажетесь на сайте именно в этот момент, а на вашем компьютере есть незакрытая программная уязвимость, но нет хорошего антивируса… считайте, что вам не повезло.
9. У меня Mac. Для них же нет вымогателей?
Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.
Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.
Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.
10. А я с телефона. Мне не страшно?
Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.
11. Что, даже для iPhone есть вымогатели?
Вот разве что для iPhone и iPad их пока и нет. Ну или почти нет — есть неприятные веб-страницы, которые отказываются закрываться. Однако их можно «убить», зайдя в настройки и удалив все данные о веб-активности Safari. Стоит учитывать, что вашему iPhone вымогатели не грозят, только если на нем никто не делал джейлбрейк. Если же iPhone взломан, то и для зловредов дорога широко открыта.
Кстати, в ближайшем будущем, видимо, появятся вымогатели для iPhone без джейлбрейка, как появятся они и для Интернета вещей. Ведь за заблокированный телевизор или «умный» холодильник с жертвы наверняка можно потребовать кругленькую сумму.
12. Как можно понять, что подцепил вымогателя?
Шифровальщик непременно расскажет вам об этом сам. Вот так:
А блокировщики делают это как-нибудь так:
13. Какие бывают наиболее примечательные вымогатели?
Самых распространенных назвать довольно сложно, они каждый месяц новые. Из недавних, но запомнившихся можем назвать, например, «Петю» (Petya), который шифрует весь жесткий диск целиком. Или СryptXXX, который довольно активно свирепствует и сейчас и от которого мы дважды изобретали «лекарство». Ну и TeslaCrypt — чемпиона по распространенности за первые четыре месяца этого года, от которого сами его создатели неожиданно опубликовали мастер-ключ.
14. Что делать, если я подцепил вымогателя?
От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.
С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.
Следующий этап — восстановление зашифрованных файлов.
Если есть резервная копия, то проще всего восстановить файлы из нее.
Если резервной копии нет, можно попробовать расшифровать файлы с помощью специальных утилит — декрипторов. Все бесплатные декрипторы, созданные «Лабораторией Касперского», можно найти на сайте Noransom.kaspersky.com.
Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.
15. Почему не стоит платить выкуп?
Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.
Во-вторых, не стоит поддерживать преступный бизнес.
16. Я нашел нужный декриптор, но он не помогает
Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.
17. Если вовремя заметил угрозу, можно что-то сделать?
В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.
18. А если я делаю бэкапы, я в безопасности?
Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.
19. Антивируса достаточно, чтобы не заразиться?
В большинстве случаев — да, хотя антивирусы бывают разные. Антивирусные решения «Лаборатории Касперского», согласно независимым тестам (а только независимым тестам от крупных солидных учреждений и стоит в принципе доверять ), защищают лучше большинства других. Однако ни один антивирус не способен блокировать все угрозы на 100%.
Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.
В наших продуктах этим занимается модуль под названием «Мониторинг активности» (System Watcher). Если он, например, замечает попытку массового шифрования файлов, то блокирует опасный процесс и откатывает обратно сделанные в файлах изменения. Отключать этот компонент ни в коем случае не стоит.
В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.
20. Можно что-то настроить на компьютере, чтобы защититься надежнее?
а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.
б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.
в) Включить показ расширений файлов в «Проводнике» Windows.
г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.
д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в список разрешенных. По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.