Как известно, вирусов и вредоносных программ во Всемирной паутине с каждым днем появляется все больше. Но сегодня последствия их воздействия выходят далеко за рамки нарушения работы системы. Все больше злоумышленники начинают вымогать деньги. К таким угрозам относится и вирус paycrypt@gmail_com, который является шифровальщиком. Появился он относительно недавно, так что борьба с ним – дело достаточно трудоемкое.
Видео: Well done - crypt file aes 256 format Зашифрованный файл aes 256 doc xls jpeg mp3
Что представляет собой вирус paycrypt@gmail_com?
В принципе, сама «зараза» работает по накатанному алгоритму, примененному еще в самых известных вирусах вроде CBF, XTBL и I Love You.
Не вдаваясь в схему его работы, можно сказать только одно: последствия его воздействия заключаются в том, что все пользовательские файлы и документы оказываются зашифрованными специальным алгоритмом, который сами хакеры называют RSA-1024. В конечном итоге после шифрования ни один документ или пользовательский файл без специального ключа открыть невозможно.
В именах файлов в дополнение к существующему расширению прописывается paycrypt@gmail_com. Как расшифровать такие файлы (и возможно ли это вообще), мы сейчас и посмотрим.
Как вирус проникает в систему?
Проникновение угрозы на отдельный терминал или даже в локальную сеть может осуществляться несколькими способами. Самыми распространенными являются электронная почта, содержащая вложения, программы-загрузчики, цепляющие вирус непосредственно на зараженном сайте, или скрытые объекты, которые активируются при копировании информации со съемных носителей. Иногда ее можно «подхватить», даже просто кликнув на рекламном баннере.
Как считается, электронная почта – основной туннель. Это не касается почтовых серверов, а исключительно учетных записей, используемых в стационарных программах вроде Outlook или сторонних приложений, установленных на компьютерных терминалах.
Пользователь открывает, допустим, сообщение об изменении в договоре поставок продукции и смотрит вложение. В нем имеется какой-то файл. Если видите, что расширение неизвестно, лучше его не открывать вообще. Но приписка, мол, во вложении содержится скан-копия нового варианта договора, всех сбивает с толку, и пользователь открывает файл, просто даже не задумываясь.
Видео: Delete Better_call_saul Ransomware manually
Но очень часто можно встретить вложение в виде обычного текстового файла или Word-документа. Пользователь кликает на нем, и… пошло-поехало (заметьте, переименовать любой файл, присвоив ему расширение .txt, .doc или расширение графического объекта .jpg можно, как говорится, совершенно элементарно. А система видит перед собой зарегистрированный тип файла и тут же пытается его открыть).
Иногда во вложении встречается исполняемый JS-файл (Java Script), открывать который нельзя вообще!
Первым признаком воздействия является моментальное «торможение» компьютера. Это свидетельствует о чрезмерной нагрузке на системные ресурсы вследствие того, что вложенный в файл paycrypt@gmail_com вредоносный код начал процесс шифрования. Он, кстати, может занимать достаточно длительное время, и никакая перезагрузка не поможет. Если перезагрузить систему, вирус снова начнет свое черное дело. По окончании процесса получаем полностью зашифрованные файлы paycrypt@gmail_com. Как расшифровать их, мы, естественно, не понимаем. Инструкция по предполагаемым действиям чуть позже предлагается самими злоумышленниками.
Алгоритм требований хакеров
Обычные пользователи «подхватывают» этот вирус, в общем-то, нечасто. Он, скорее, ориентирован на коммерческие структуры и организации. При этом, если на предприятии имеется достаточно разветвленная локальная сеть, шифрование может коснуться абсолютно всех терминалов, подключенных к сети.
В качестве инструкции, прилагаемой к вирусу paycrypt@gmail_com (как расшифровать данные - в ней подробно описано), выступает электронное письмо, которое гласит, что файлы зашифрованы алгоритмом RSA-1024. Далее, вроде бы с благими намерениями, следует утверждение, что расшифровать данные может только группа, приславшая сообщение. Но такая услуга стоит порядка от 100 до 500 евро.
Чтобы получить paycrypt@gmail_com-дешифровщик, на указанный адрес почты нужно отправить файл KEY.PRIVATE и несколько зараженных файлов. После того предполагается, что пользователь получит собственный уникальный ключ. Откровенно говоря, верится в это с трудом.
При этом сообщается, что расшифровать файлы paycrypt@gmail_com самостоятельно можно даже не пытаться, поскольку единственным выходом является полное форматирование диска или раздела. Тут же следует намек, что данные пользователя очень важны для него, так что форматирование нецелесообразно.
Стоит ли связываться со злоумышленниками?
К сожалению, доверчивые юзеры или владельцы очень важной информации тут же бегут оплачивать услуги, но взамен не получают ничего. Если на заре появления этой угрозы кто-то, может, еще и получал ключ, сегодня об этом можно даже не мечтать – обычное вымогание денег.
Некоторые все-же пытаются использовать антивирусные сканеры, но вот беда – вирус-то действительно программами определяется, даже вроде бы лечится и удаляется, но информация так и остается зашифрованной.
Есть ли для вируса paycrypt@gmail_com дешифровщик?
Что касается дешифрования данных, практически ни один известный разработчик антивирусного ПО какого-то конкретного и универсального решения представить не может.
Можно перерыть весь Интернет в поисках ключа. Но ничего путного из этого не выйдет. Единственное, что можно попробовать, - поискать уже известные ключи вроде [email protected], [email protected], [email protected] и т. д. Возможно, какие-то комбинации и помогут, но обольщаться не стоит.
Как получить утилиту для дешифрования на официальном сайте разработчика антивируса?
Но посмотрим, что можно сделать, если уж и подхвачен вирус paycrypt@gmail_com. Как расшифровать его, допустим, пользователь не знает. В такой ситуации, при условии того, что компьютерном терминале установлена официальная (лицензионная) версия антивирусного программного обеспечения, лучше обратиться непосредственно в центр поддержки разработчика.
При этом на официальном сайте следует использовать раздел запроса на лечение, после чего отправить несколько зараженных файлов. Если имеется копия оригинального незараженного объекта, еще лучше. В такой ситуации вероятность того, что данные будут дешифрованы, повышается многократно, поскольку, например, сам вирус paycrypt@gmail_com «Касперский» (штатный сканер) вылечить попросту не сможет.
Если ничего не помогает…
Если же ответ по каким-либо причинам не получен, а к злоумышленникам обращаться намерений нет, тут уж ничего не поделаешь. Единственным выходом станет только форматирование жесткого диска. При этом нужно выполнить полное форматирование, а не очистку оглавления.
Видео: ПЕРЕВОДЧИК ПОДРОСТКОВ
Отдельно стоит сказать, что вирус при проникновении на винчестер или в его логический раздел мог создать собственную копию, так что форматировать придется абсолютно все, что есть, и устанавливать систему заново. Иного выхода нет.
Кстати, и утилиты, загружаемые еще до старта системы (вроде Kaspersky Rescue Disc) тоже не помогут. Как уже говорилось выше вирус они обнаружат, даже удалят, но привести данные в исходное читабельное состояние не смогут. Это и понятно, ведь изначально даже такие мощные утилиты на это, в общем-то, и не рассчитаны.
Несколько советов напоследок
Вот, собственно, и рассмотрен вирус paycrypt@gmail_com. Как расшифровать его? На этот вопрос, как уже понятно, ответа нет. Уж лучше заранее предохранить себя от проникновения угрозы в систему.
Открывать стоит только вложения электронной почты, полученные из надежных источников, не следует зря кликать по рекламе в Интернете. Особо обратите внимание на письма, в которых в названии вложенного файла присутствует абракадабра (какой-то набор нечитаемых символов), а смена кодировки не помогает увидеть имя в нормальном представлении. В общем, будьте бдительны!
Ну и, самой собой разумеется, что нет никакого смысла платить деньги вымогателям, а взамен не получить необходимого ключа. Впрочем, это доказывается совершенно просто на примере других известных вирусов и вредоносных кодов, которые уже когда-то были зарегистрированы в мировой практике.