Получил вот такое письмо от знакомого сисадмина, думаю будет полезно прочитать и другим:
--- cut here ---
Добрый день
Новый тип мошенничества - ШИФРОВАНИЕ ФАЙЛОВ - *.nochance
В сети появился новый тип вируса, осле заражения компьютера происходит следующее:
Все ваши файлы криптуются и добавляется расширение *.nochance
Пример:
Акт сверки взаиморасчетов.docx.nochance
Фото проекта.jpg.nochance
Товарная накладная.pdf.nochance
Расчет зарплаты.xls.nochance и.т.д.
как, на самом компьютере, так и во всех доступных сетевых папках, флешках.
Также создает в данной папке файл: "ЧТО_ДЕЛАТЬ.txt" с таким текстом:
_____
"Ваши файлы зашифрованы надежным криптостойким алгоритмом.
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
Для последующей расшифровки оставьте компьютер в текущем состоянии.
Максимально время хранения вашего ключа составляет 2 суток. (до 22.11.2013)
Любые обращения после 22.11.2013 будут игнорироваться.
E-Mail: send . lеttеr@ao1 . сom
В теме письма укажите ваш ID:951ОО68865О5
Действия, которые могут привести к удалению ключа:
- Запрос платежных реквизитов без последующей оплаты
- Оскорбления
- Угрозы"
_____
Как он попадает на компьютер и как активируется?:
Он может рассылаться по почте в виде коммерческого предложения, резюме, и прочей документации. Причем как правило информация, отправитель, тема письма, и название файла -максимально правдоподобны.
Также через всякие мессенджеры и службы передач файлов.
Как правило это вордовкий файл, при открытии которого появляется иконка PDF с надписью типа: <нажмите для отображения документа>, вы нажимаете и документ действительно открывается. Ничего не заподозрив и не получив для себя нужной информации, закрываете документ и продолжаете работать.
НО!
Помимо этого начинает работать фоновая программа по шифрованию ваших данных!
В принципе не важно когда и какой появляется вирус, нужно руководствоваться элементарными правилами:
Никогда!, нормальная!, информация не требует что-то откуда-то запустить. Ворд - Эксель или Акробат ридер - Скайп и т.д.
С настороженностью относится к желанию ПО запустить скрипт при открытии файла, выполнить макрос, или что-то еще запустить, как правило при этом вам выводится предупреждение или запрос на выполнение данных действий.
В общем: не делать какие-либо нестандартные действия при открытии или запуске файлов.
а если делаете то читать внимательно.
Также с настороженность относиться к файлам с двойным расширением, типа:
Документ ТЗ.doc.xls
Расчет себестоимости.pdf.docx и.т.д,
ОСОБЕННО к:
Резюме.exe.doc
Реквизиты компании.dll.doc - такие файлы даже не пытаться запускать!
ВНИМАТЕЛЬНО ЧИТАТЬ СООБЩЕНИЯ ВЫВОДИМЫЕ КОМПЬЮТЕРОМ ИЛИ ПО!!!
(акцентирую, т.к. этого никто не делает!)
Что делать если вы обнаружили данные файлы:
Если только на вашем компьютере (рабочий стол, мои документы) то выключить свой компьютер и после сообщить системному администратору,
Если вы обнаружили данные файлы в общих папках, то немедленно сообщить системному администратору, и выключить ВСЕ компьютеры в локальной сети компании (без исключений), а также отключить гостевые ноутбуки и прочую компьютерную технику от гостевых и прочих ВайФаев.
Почему этот вирус - <типа вирус> и почему его не ловит антивирусные программы?:
Потому что на самом деле это <обычная программа> по шифрованию данных, таких сотни вполне нормальных программ, которые применяются для защиты своей информации. При условии, конечно же, что вы знаете пароль от своих зашифрованных файлов. А запустили вы ее самостоятельно, если помните, нажав на иконку с изображением PDF и не прочитав предупреждение, согласились на запуск.
Также данная программа, как все вирусы, не пытается залезть в загрузку, изменить реестр, испортить какие-либо системные файлы, размножится, само-отправится по вашей адресной книге контактов, более того, после того как она отработала, данное ПО как правило самоуничтожается.
Это все равно, что вы самостоятельно открываете свой документ, меняете начинку, и сохраняете, вот поэтому на данный момент антивирусные ПО не считают эти программы за вирусы.
Для корпоративных клиентов:
Напоминаю!, что информация хранящаяся на сетевых дисках типа <S>, <T> защищена бэкапами, даже если что то произойдет, есть большая вероятность восстановить информацию по состоянию "на вчерашний день".
Информация хранящаяся на локальных ресурсах: диск <D>, <E>, <F> за сохранность отвечаете самостоятельно.
Так как данное ПО, является реально шифрующим программным обеспечением согласно своим внутренним алгоритмам и типам шифрования, противовирусного средства НЕТ, кроме как "пароля".
Будьте внимательны!
--- cut here ---
