Шифрующий файлы зловред TeslaCrypt, продемонстрировав стремительный рост, не останавливается на достигнутом и продолжает мутировать. По последним данным, были внесены изменения в схему искажения имени файла: закодированные данные получают суффикс .vvv, при этом ранее применялось расширение .ccc. Но самая последняя модификация гораздо серьезней. Обращение с требованием выкупа, предъявляемое жертвам вируса, теперь гласит, что шифрование выполнено по усиленному стандарту. Ранее применяемый алгоритм RSA-2048 заменен RSA-4096. Оба алгоритма являются асимметричными. Предполагается генерация пары закрытий-открытый ключ. Таким образом, принцип выполнения не изменился. Существенное отличие представляет размер этих ключей, в новой модификации инфекции их длина составляет 4096 бит. Данный тип шифра устойчив ко взлому, поэтому агрессоры небезосновательно предвкушают получение 300-500 USD за раскодировку данных от каждой жертвы.
Злоумышленники комбинируют методы внедрения на базе использования уязвимости системы и фишинга (фиктивных сообщений и т.п.). Огромное количество случаев инфицирования ПК происходит с помощью рассылки эл. сообщений со вложенным документом. Файл может быть замаскирован под чье-то резюме, а любопытство, присущее человеческой натуре, не дает покоя получателю, побуждая совершить фатальную ошибку. Открытие вложенного zip-архива немедленно запускает выполнение в системе процесса в скрытом режиме. Вирус настраивает Windows, дополняя очередь автоматически выполняемых при запуске системы программ зловредным объектом.Таким образом, произвольно обозначенный исполнительный файл запускается при загрузке вместе с программами, которые обеспечивают работу системы. TeslaCrypt также отключает функцию теневого копирования томов Volume Shadow Copy Service, лишая пострадавшую сторону возможности восстановить данные из архива. Происходит сканирование как жесткого диска, так и прочих ресурсов, вплоть до подключенных USB-накопителей, по ряду расширений; все обнаруженные объекты подвергаются шифрованию.
Пользователь инфицированного компьютеры получает инструкции по возвращению данных, которые содержатся в файлах “Howto_Restore_FILES” или “How_Recover+(random)”, созданных на рабочем столе и в каждой целевой папке. Эти HTML и TXT документы содержат следующий текст “Файлы защищены. Применен усиленный алгоритм шифрования RSA-4096. Это означает, что структура и данные внутри файлов претерпели необратимые изменения, они недоступны для работы, считывания и просмотра. По существу, они потеряны навсегда, но с нашей помощью Вы можете их вернуть.” Технически, кибер-уголовники делают предметом сделки закрытый ключ RSA, который является тем единственным отсутствующим звеном, без которого невозможно начать процедуру расшифровки. Предлагается произвести оплату в Bitcoin через систему специальных анонимных страниц при поддержке службы луковой маршрутизации Tor.
Многим, если не всем пострадавшим такая сделка будет не по душе. Но следует помнить, не существует никакого гарантированного альтернативного способа восстановления заблокированных графических, текстовых, видео и прочих данных, если не выполнялось их резервное копирование. Выполнив рекомендации ниже, можно добиться частичного восстановление ущерба, но результат будет зависеть от обстоятельств вторжения вируса. Впрочем, в случае кибер-вымогательства с применением шифра RSA-4096 выбирать не приходится – надежду возлагают на любые методы, не предусматривающие уплаты выкупа.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
Как было отмечено, программа-вымогатель RSA-4096 блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Загрузить программу восстановелния данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.
Загрузить программу для удаления вируса RSA-4096