CryptoWall, центровая фигура среди троянцев-вымогателей, авторы которой уже давно на карандаше у спецслужб, в ноябре прошлого года претерпел ряд изменений. По-новому выглядят и ощущаются не только некоторые внешние признаки этой напасти, но и функционал инфекции доработан в значительной степени. Кроме основного содержания личных файлов пользователя, CryptoWall 4.0 также шифрует их имена. Становится непросто даже понять, какие именно данные на жестком диске были зашифрованы. Требование выкупа оформлено более профессионально и теперь содержится в файле “Help_Your_Files”. Документ, как и ранее, доступен в форматах HTML, TXT и PNG. Сума выкупа составляет 700 USD, все так же подлежит оплате в валюте биткойн, и в пересчете на крипто-деньги равна 1,8 BTC.
Новый вариант инструкций вымогателя в документе Help_Your_Files.html
Формула распространения, используемая мошенниками, основывается на старой доброй схеме, в которой пользователей склоняют открыть зловредное вложение, которое кажется, на первый взгляд, вполне безобидным. Во многих известных случаях файл замаскирован как объект ZIP, который якобы содержит резюме, но на самом деле является файлом JavaScript, задача которого – запуск вредительского процесса в системе. Психологические уловки и профессиональное программирование составляют рецепт успеха и лежат в основе высокоэффективного внедрения вируса на вычислительные машины.
Дальнейшее развитие сценария подразумевает отключение функции системного восстановления System Restore и службы снимков томов Volume Snapshot Service, что практически исключает возможность отмены нежелательных изменений и, в большинстве случаев, восстановления предыдущих версий файлов пользователя. Также будет дезактивирована функция редактирования перечня самовыполняемых программ. Таким образом, нет возможности исключить из этого перечня вредоносный выполняемый код. Влияние вируса становится необратимым. Как и в предыдущих версиях, троян генерирует уникальный идентификационный код под каждое инфицирование, основываясь на рандом-коде MD5 технических характеристик ЭВМ. Уникальный шифр передается на удаленный сервер C2. Затем вирус проходится по всех дисковых томах в поиске личных файлов пользователя. Все объекты с популярными расширениями будут зашифрованы по стандарту RSA-2048. Опять же, аналогичная замысловатая процедура применяется к именам файлов. По завершению данной фазы атаки, программа-вымогатель излагает свои требования в документе Help_Your_Files, который содержит ссылки для браузера Tor на персональную страницу дешифровки данных, а также методы оплаты.
Изъянов шифрования данных вирусом CryptoWall 4.0 на инфицированных компьютерах не обнаружено. Восстановление файлов посредством взлома шифра не представляется возможным. Пара ключей, необходимая для расшифровки, включает открытый и закрытый ключ. Если первый хранится на ПК, то последний на командном сервере под контролем мошенников. С учетом этой особенности, пользователям приходится полагаться исключительно на методы восстановления без расшифровки данных, или же внести выкуп, что является весьма неприглядным исходом. В любом случае, ознакомьтесь с рекомендациями ниже, чтобы подобрать оптимальное решение под сложившиеся обстоятельства.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
Как было отмечено, программа-вымогатель CryptoWall 4.0 блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.
