что такое msil genericrxok vl tr
ESET CONNECT
Единая точка входа для ресурсов ESET
Войти через социальные сети
Сообщение получилось объемное, могу условно разделить его на несколько логических частей:
1. Суть инцидента (рабочая версия)
2. Описание проявлений и обнаружения
3. Предполагаемая схема лечения хостов сети (в процессе дополнения)
4. Описание и вопрос по лечению «ворот» атаки (почтовый сервер)
5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин
1. Суть инцидента (рабочая версия):
Воспользовавшись цепочкой уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) на необновленном почтовом сервере (отсутствовал мартовский патч безопасности) злоумышленники через открытый 443 порт обошли аутентификацию на сервере Exchange и получили возможность для удаленного запуска произвольного кода.
На сервер был загружен первичный веб-шелл для дальнейшего развития атаки и скомпрометированы пароли, в частности пароль локального администратора, который на всех хостах сети был одинаковый.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Корпоративная сеть: несколько территориально разнесенных филиалов (соединены vpn-туннелями по топологии «звезда»), два независимых леса AD и ряд не входящих не в один домен серверов/клиентских машин.
Заразились хосты как состоящие в доменах, так и вне их (скорее всего из-за того, что пароль локального администратора на всех хостах был одинаковый).
2. Описание проявлений и обнаружения
Если антивирус на машине не стоит, то загрузка процессоров под 100% процессами schtasks.exe и несколькими powershell.exe
Если антивирус установлен (например, Касперский), то в логах «Мониторинг активности» содержатся регулярные записи об обнаружении/запрещении зловреда:
Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Название: PDM:Exploit.Win32.Generic
Путь к объекту: c:\windows\system32
Имя объекта: cmd.exe
и
Путь к объекту: c:\windows\system32\wbem
Имя объекта: wmiprvse.exe
На пролеченных серверах с установленным Каspersky Security for Windows Server ситуация аналогичная: нагрузка отсутствует, но установленный антивирус периодически режет попытки вылезти в интернет:
Так же на ряде компов в автозагрузке было обнаружена строка c:\windows\temp\sysupdater0.bat
Антивирус при обнаружении этот файл обычно казнит ( У программы обнаружено подозрительное поведение, характерное для вредоносной программы:
Обнаружено: PDM:Trojan.Win32.Generic ), но удалось раздобыть один, вот содержимое:
Данные пункты были осуществлены в двух филиалах, после чего в логах антивируса на хостах этих филиалов прекратились детекты зловредов и попыток вылезти в интернет.
Есть еще ряд пунктов, которые посоветовали неравнодушные люди, но я их еще не обкатывал на практике, поэтому приводить в данном сообщении не буду.
После проверки отпишусь в теме и дополню алгоритм решения инцидента.
Пока могу упомянуть следующее: на зараженных хостах, с которых было зафиксировано обращение по вредоносным адресам, обнаружены службы с произвольными именами (например LFRJLAFYBRJFQEBBLCCB или YVRDGSBWEDTLLHHLUKXW).
Есть мнение, основное заражение происходит через wmi подписки и классы, а они уже раскатывают все остальные службы и т.п.
В системе зафиксированы вредоносные классы в корне root\default и root\Subscription.
В результате антивирусной проверки Касперский должен их удалять, но случается так, что по каким-то причинам вредонос остаётся.
Команды по поиску и удалению вредоносных классов (запускаются в PowerShell, должны подходить для всех ОС с powershell 2.0 и выше):
4. Описание и вопрос по лечению «ворот» атаки (почтовый сервер)
В рамках диагностики на почтовике скачали и запустили скрипт, который ищет в логах события с потенциальным пробивом и левые записи в конфигурации, которые могут быть этим источником создания вредоносных файлов.
Сообщения о детектах из Журнала Касперского с почтового сервера:
Обнаружен возможно зараженный объект: Троянская программа HEUR:Backdoor.MSIL.Webshell.gen.
Имя объекта: App_Web_r0zdr.aspx.f5dba9b9.d7wo2roq.dll
MD5 хеш файла: e91aa8fb8225d5e019311d67774f1946
Хеш SHA256 файла: e3614efab364abe01dd98d92e61d6a73decc9ad87e9d6ce14059581e4ca4 ccc2
Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a854 30eb
Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: RXT7WB.aspx
MD5 хеш файла: c2b67fb32ef0953722ea437295be386b
Хеш SHA256 файла: b4d02ac0e79ca6376416f52c30a82d8b72efcb8966640f3dbf5b22f67e60 75b9
Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: dgFfuh.aspx
MD5 хеш файла: 0418b10fdf926066fa6a19e83332e34e
Хеш SHA256 файла: 59720c4ae289ab2a8336a1cd24fbfb2a24478e1ed88d517725999751e510 b97a
Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: 7r3q2.aspx
MD5 хеш файла: dbb0576553870e07f8220386b5989cdb
Хеш SHA256 файла: 6377ada51e66550bafda31038897ed13be71f928dabbefd657a1d3b8be67 2237
Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a854 30eb
5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин
Далее привожу примеры из журналов безопасности антивирусов в качестве дополнительной информации и для индексации поисковых систем, т.к. в процессе поиска причин и вариантов решения я внятного алгоритма решения не нашел. Возможно найденные варианты решения окажутся полезными кому-нибудь еще.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\Window sPoweShell\v1.0\powershell.exe
Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer<266c72e5-62e8-11d1-ad89-00c04fd8fdff>\CommandLineTemplate
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT «паразитные» процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась «Проверка важных областей» с настройками «по умолчанию» (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH
После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и «лишние» процессы не грузят систему.
Но в «Событиях» задачи «Постоянная защита файлов» постоянно появляются блоки новых записей с пометкой «Уровень важности: Критический».
Блок сообщений с одного из серверов:
Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
На других серверах дополнительно появлялись сообщения с другими пользователями и процессом:
Почему Касперский определяет на сайте троян HEUR:Trojan.Script.Generic? (и возможный способ устранения)
Доброго времени суток. У меня созрела еще одна статья, касающаяся безопасности, а точнее доступа к Вашим сайтам, уважаемые вебмастера… и позвольте мне Вам рассказать.
Угроза «HEUR:Trojan.Script.Generic»
Возможно у Вас есть сайт и Вы не использовали библиотеки типа jQuery, а решили просто на яваскрипте «спагетти-код на сайте намотать» (пусть как я, ради спортивного интереса). И тут Вы наверное даже не ожидаете такой «подлости» от любимого антивируса Касперского, тем более если Вы им не пользуетесь… а пользуется Ваш друг. Он то и увидит такое сообщение на Вашем сайте «объект заражен HEUR:Trojan.Script.Generic»: 
А тем временем, другие антивирусы молчат.
Чтобы рассказать Вам в чем тут дело, я вынужден привести код на яваскрипте, поэтому про него и буду рассказывать далее.
Решил значит я с даталистом поиграться для организации автокомплита без сторонних библиотек (появилось в HTML5 такое чудо, да беда у него с русскими буквами правда, пардон за оффтоп).
Написал код формы:
И следом написал, как мне казалось, безобидный код:
Получаем наш троян!
— Где троян? Вы не видите? О, и я тоже не вижу, а Касперский видит!
А видит он его здесь:
Тогда убираем эту строчку и все в порядке — наш скрипт не работает, и антивирус спокоен.
«Разбор полетов»
Значит нужно поковыряться в перехватчике состояния запроса — onreadystatechange.
Нашим лекарством будет отдельная функция, назовем ее updatePage, в которую мы напишем перебор возвращаемого JSON-массива и присвоим ее здесь в нашем перехватчике состояния:
В итоге переписал код так, что антивирус Касперского больше нас не тревожит:
Как остановить HEUR:Проникновение Trojan.MSIL.Generic Trojan?
ЧАС:Trojan.MSIL.Generic Троянские пользователи ловушки без каких-либо явных признаков собственного присутствия. Как вы уже слышали, хакеры преследуют компьютеры в шахтную цифровую валюту с помощью зараженных компьютеров, их ресурсы и возможности, если быть более подробным. Именно поэтому они разрабатывают вредоносные приложения и распространять их по всему Интернету.
Однажды ЧАС:Trojan.MSIL.Generic Trojan здесь, быть готовым к последствиям своей деятельности. Киберпреступники практически будоражить рабочие станции, чтобы заразить их с помощью методов обмана. Троянская влияет на мощность процессора, поскольку она должна иметь возможность проводить несанкционированные действия. Эта компьютерная угроза может позволить пользователям сторонних получить удаленный доступ к системе без ведома пользователя.
Есть некоторые признаки, которые Вы можете принять во внимание, чтобы знать, является ли ваш компьютер страдает от этой компьютерной угрозы. ЧАС:Trojan.MSIL.Generic Trojan перегружает браузером и веб-страницы загружаются слишком долго. Если курсор часто не перемещается на экране, это также реакция на системных проблемах. Сканирование системы с анти-сканер вредоносных программ, чтобы знать наверняка, и тогда вы можете начать процесс удаления, если устройство действительно имеет это вредоносное ПО в системе.
Для того, чтобы иметь дело с HEUR:Trojan.MSIL.Generic Trojan и забыть о печальном сир своей деятельности, пытаться GridinSoft Anti-Malware инструмент в действии, и вы не будете иметь никаких больше проблем с подобными вредоносными программами. Система будет оставаться чистой все время. Руководство ниже, поможет вам сохранить систему в чистоте.
Скачать надежный инструмент для HEUR:удаление Trojan.MSIL.Generic:
Подробная инструкция о том, как удалить HEUR:Trojan.MSIL.Generic инфекция.
Профилактические советы для вашего ПК от быть с HEUR повторного заражения:Trojan.MSIL.Generic в будущем:
GridinSoft Anti-Malware предлагает отличное решение, которое может помочь предотвратить заражение вашей системы вредоносным программным обеспечением в будущем. Эта функция называется “On-run Protection”. По умолчанию, она отключена после установки программного обеспечения. Чтобы включить её, пожалуйста, нажмите на “Защищать (Protect)” и нажмите на кнопку “Начать (Start)“
Эта полезная функция может позволить людям предотвратить установку вредоносного программного обеспечения. Это означает, когда вы будете пытаться установить некоторые подозрительные приложения, «On-run Protection» будет блокировать эту попытку установки. ПРИМЕЧАНИЕ! Если пользователи хотят, чтобы потенциально опасные программы были установлены, Кнопка они могут выбрать «Игнорировать всегда». В случае, если вы хотите заблокировать вредоносную программу, вы должны выбрать «Блокировать всегда (Block always)».
Удаление Trojan.Msil: Удалите Trojan.Msil Навсегда
Что такое Trojan.Msil
Скачать утилиту для удаления Trojan.Msil
Удалить Trojan.Msil вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Имя исполняемого файла:
Trojan.Msil
RP.exe
Trojan
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения Trojan.Msil
Trojan.Msil копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла RP.exe. Потом он создаёт ключ автозагрузки в реестре с именем Trojan.Msil и значением RP.exe. Вы также можете найти его в списке процессов с именем RP.exe или Trojan.Msil.
Если у вас есть дополнительные вопросы касательно Trojan.Msil, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Trojan.Msil and RP.exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Trojan.Msil в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные Trojan.Msil.
Удаляет все записи реестра, созданные Trojan.Msil.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Trojan.Msil от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Trojan.Msil.. Утилита для удаления Trojan.Msil найдет и полностью удалит Trojan.Msil и все проблемы связанные с вирусом Trojan.Msil. Быстрая, легкая в использовании утилита для удаления Trojan.Msil защитит ваш компьютер от угрозы Trojan.Msil которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Trojan.Msil сканирует ваши жесткие диски и реестр и удаляет любое проявление Trojan.Msil. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Trojan.Msil. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Trojan.Msil и RP.exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Trojan.Msil.
Удаляет все записи реестра, созданные Trojan.Msil.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Trojan.Msil и удалить Trojan.Msil прямо сейчас!
Оставьте подробное описание вашей проблемы с Trojan.Msil в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Trojan.Msil. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Trojan.Msil.
Как удалить Trojan.Msil вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Trojan.Msil, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Trojan.Msil.
Чтобы избавиться от Trojan.Msil, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Trojan.Msil для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Trojan.Msil для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
Trojan.Msil иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Trojan.Msil. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Все о троянах-вымогателях в вопросах и ответах
Что такое ransomware, трояны-вымогатели и шифровальщики, откуда они берутся, чем грозят, как от них защититься и вообще все, что нужно о них знать
1. Зачем мне это читать?
Этот текст может сэкономить вам где-то $300. Примерно столько потребует в качестве выкупа средний троян-шифровальщик. А в «заложниках» у него окажутся ваши личные фотографии, документы и другие файлы с зараженного компьютера.
Подцепить такую заразу очень просто. Для этого вовсе не обязательно часами лазить по сомнительным порносайтам или открывать все файлы подряд из почтовой папки «Спам». Даже не делая ничего предосудительного в Интернете, вы все равно рискуете. Как? Читайте дальше.
2. Что такое вымогатели (ransomware)?
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.
Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.
3. Сколько денег требуют в качестве выкупа?
4. Зашифрованные файлы можно восстановить без выкупа?
Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.
Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.
Еще один шифровальщик побежден! Все, кто пострадал от Shade, могут восстановить файлы: https://t.co/yPT3Cbocjn pic.twitter.com/MVDXFRABkt
5. Как платят выкуп?
Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.
Если вы все еще не понимаете что такое биткоин и блокчейн и как они работают, вам сюда: https://t.co/ItuN2S56ag pic.twitter.com/Zj1FLgk35j
6. Как на мой компьютер могут попасть вымогатели?
Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.
Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).
Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.
Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.
7. Каких файлов стоит опасаться?
Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).
10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo
Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.
Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.
Важный момент: Windows по умолчанию скрывает расширения известных системе типов файлов. Так что, встретив файл с именем Important_info.txt, не спешите по нему кликать, полагаясь на безопасность текстового содержимого: «txt» может оказаться частью имени, а расширение у файла при этом может быть совсем другим.
8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?
К сожалению, шанс подцепить вымогателя есть даже у самых разумных пользователей. Например, в процессе чтения новостей на сайте крупного «белого и пушистого» СМИ.
Конечно, само издание вирусы распространять не станет. Как правило, такие заражения происходят через систему обмена рекламными баннерами, к которой удалось подключиться злоумышленникам. И если вы окажетесь на сайте именно в этот момент, а на вашем компьютере есть незакрытая программная уязвимость, но нет хорошего антивируса… считайте, что вам не повезло.
9. У меня Mac. Для них же нет вымогателей?
Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.
Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.
Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.
10. А я с телефона. Мне не страшно?
Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.
11. Что, даже для iPhone есть вымогатели?
Вот разве что для iPhone и iPad их пока и нет. Ну или почти нет — есть неприятные веб-страницы, которые отказываются закрываться. Однако их можно «убить», зайдя в настройки и удалив все данные о веб-активности Safari. Стоит учитывать, что вашему iPhone вымогатели не грозят, только если на нем никто не делал джейлбрейк. Если же iPhone взломан, то и для зловредов дорога широко открыта.
Кстати, в ближайшем будущем, видимо, появятся вымогатели для iPhone без джейлбрейка, как появятся они и для Интернета вещей. Ведь за заблокированный телевизор или «умный» холодильник с жертвы наверняка можно потребовать кругленькую сумму.
12. Как можно понять, что подцепил вымогателя?
Шифровальщик непременно расскажет вам об этом сам. Вот так:
А блокировщики делают это как-нибудь так:
13. Какие бывают наиболее примечательные вымогатели?
Самых распространенных назвать довольно сложно, они каждый месяц новые. Из недавних, но запомнившихся можем назвать, например, «Петю» (Petya), который шифрует весь жесткий диск целиком. Или СryptXXX, который довольно активно свирепствует и сейчас и от которого мы дважды изобретали «лекарство». Ну и TeslaCrypt — чемпиона по распространенности за первые четыре месяца этого года, от которого сами его создатели неожиданно опубликовали мастер-ключ.
14. Что делать, если я подцепил вымогателя?
От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.
С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.
Следующий этап — восстановление зашифрованных файлов.
Если есть резервная копия, то проще всего восстановить файлы из нее.
Если резервной копии нет, можно попробовать расшифровать файлы с помощью специальных утилит — декрипторов. Все бесплатные декрипторы, созданные «Лабораторией Касперского», можно найти на сайте Noransom.kaspersky.com.
Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.
15. Почему не стоит платить выкуп?
Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.
Во-вторых, не стоит поддерживать преступный бизнес.
16. Я нашел нужный декриптор, но он не помогает
Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.
17. Если вовремя заметил угрозу, можно что-то сделать?
В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.
18. А если я делаю бэкапы, я в безопасности?
Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.
19. Антивируса достаточно, чтобы не заразиться?
В большинстве случаев — да, хотя антивирусы бывают разные. Антивирусные решения «Лаборатории Касперского», согласно независимым тестам (а только независимым тестам от крупных солидных учреждений и стоит в принципе доверять ), защищают лучше большинства других. Однако ни один антивирус не способен блокировать все угрозы на 100%.
Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.
В наших продуктах этим занимается модуль под названием «Мониторинг активности» (System Watcher). Если он, например, замечает попытку массового шифрования файлов, то блокирует опасный процесс и откатывает обратно сделанные в файлах изменения. Отключать этот компонент ни в коем случае не стоит.
В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.
20. Можно что-то настроить на компьютере, чтобы защититься надежнее?
а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.
б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.
в) Включить показ расширений файлов в «Проводнике» Windows.
г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.
д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в список разрешенных. По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.