Кому прийшло на пошту попередження про вірусної епідемії від компанії ESET?

Шановний клієнт!

Компанія ESET попереджає про зростання активності шкідливих програм-шифраторів і підвищений ризик зараження корпоративної мережі. Серед можливих наслідків зараження:

Шифрування конфіденційної інформації і файлів, в тому числі баз даних 1С, документів, зображень - формат залежить від конкретної модифікації шифратора. Процес шифрування виконується згідно складним алгоритмам, внаслідок чого зашифровані дані складно відновити.

У деяких випадках, завершивши шифрування файлів, шкідлива програма автоматично видаляється з комп'ютера, що ускладнює процедуру підбору дешифратора.

Після виконання шкідливих дій на екрані зараженого комп'ютера з'являється вікно з вимогами здирників, які необхідно виконати для отримання дешифратора.

схема зараження

Як правило, перед зараженням на електронну пошту користувача надходить лист з невідомої адреси з доданим архівом (* .rar, * .zip, * .cab), документом з вбудованими макросами (* .doc, * .docx), або скриптом (*. js). В темі листа говориться про щось важливе - про заборгованість, стягнення боргу та ін. До архіву може бути вкладено два файли, наприклад, «порядок роботи з простроченою задолженностью.doc» і «постанова суда.exe».

Після запуску вірус починає шифрування в фоновому режимі, потай від користувача. Вірус шифрує файли різних форматів, наприклад * .doc, * .jpg, * .pdf і файли бази даних 1С, додаючи довільне розширення.

Коли процес шифрування завершено, на екрані пристрою з'являється вікно з вимогою здирників, а вірус в деяких випадках безслідно віддаляється з комп'ютера.

Для зниження ризику зараження шифратором необхідно дотримуватися певних вимог безпеки:

Переконайтеся, що на ваших комп'ютерах активовано установки автоматичних оновлень операційної системи і встановлені всі критичні оновлення.

Зловмисники можуть використовувати уразливість в протоколі віддаленого робочого столу (RDP). Найбільш серйозна з цих вразливостей дозволяє здійснити віддалене виконання коду, якщо зловмисник відправляє вразливою системі послідовність спеціально створених пакетів RDP. За замовчуванням протокол віддаленого робочого стола відключений у всіх операційних системах Microsoft Windows. Системи, на яких не включено RDP, не схильні до даної уразливості. Ми рекомендуємо закрити доступ по RDP ззовні і уможливити з'єднання по RDP тільки в межах локальної мережі.

Використовуйте антивірусні рішення з вбудованим модулем брандмауера (ESET Endpoint Security), щоб знизити ймовірність використання зловмисником уразливості в RDP навіть за відсутності оновлень операційної системи.

Забороніть прийом і передачу файлів, що * .exe і * .js на поштовому сервері. Найчастіше шифратори розсилаються зловмисниками у вигляді вкладення в email «від арбітражного суду про стягнення заборгованості» і іншим подібним змістом, спонукає відкрити вкладений файл і тим самим запустити шифратор.

Забороніть виконання макросів у всіх додатках, що входять до складу Microsoft Office, або в аналогічному ПО сторонніх виробників. Макроси можуть містити команду для завантаження і виконання шкідливого коду, яка запускається при звичайному перегляді документа. Наприклад, відкриття файлу «Повідомлення про стягнення задолженності.doc» з листа зловмисників може привести до зараження системи навіть в тому випадку, якщо сервер не пропустив шкідливе вкладення з виконуваним файлом, - в тому випадку, якщо ви не відключили виконання макросів.

Регулярно здійснюйте резервне копіювання важливої ​​інформації, що зберігається на вашому комп'ютері. Починаючи з Windows Vista до складу операційних систем Microsoft входить служба захисту системи на всіх дисках, яка створює резервні копії файлів і папок під час архівації або створення точки відновлення системи. За замовчуванням ця служба включена тільки для системного розділу. Рекомендується включити цю функцію для всіх розділів.

Що робити, якщо зараження вже сталося?

Якщо ви стали жертвою і ваші файли зашифровані, не поспішайте переводити на рахунок шахраїв гроші для підбору дешифратора.

Зверніться в технічну підтримку, і ми спробуємо підібрати дешифратор для вашого випадку або знайти вже існуючий. Для цього необхідно додати до архіву зразок шифратора і інших підозрілих файлів і відправити його нам за допомогою спеціальної форми. Також вкладіть в архів кілька зразків зашифрованих файлів.

У коментарях вкажіть обставини, при яких відбулося зараження, а також ліцензійні дані і контактний email для зворотного зв'язку.

З повагою,

компанія ESET