Заражение компьютера вирусом-шифровальщиком WANNACASH и устранение последствий его деятельности
Некоторое время тому назад ко мне обратился знакомый (назовем его неудачным пользователем) с большой проблемой, которая произошла с его компьютером. Вернее с его данными, которые хранились на жестких дисках этого компьютера. Нет, речь в этой статье пойдет не о поломке комплектующих компьютера, а о невнимательности, неосторожности пользователей при использовании интернета, и о вирусах, компьютерных естественно.
реклама
Для безопасности своего компьютера он использовал антивирус ESET NOD32 и активировал его пробными лицензионными ключами, которые он находил в интернете на различных сайтах, по окончании срока действия предыдущих ключей. И в один из прекрасных дней после окончания срока действия очередного ключа, на одном из сайтов он скачал архив с названием «Ключи для ESET на 365 дней». Открыл архив, и не думая ни о чем плохом, а надеясь только на лучшее, двойным нажатием левой кнопки мыши он открыл этот злополучный файл. И да, этот файл открылся как обычный текстовый документ, в котором был указан лицензионный ключ, скопировать у него этот ключ не получилось, он ввел его в поле ввода вручную, но этот ключ оказался недействительным. Вздохнув, неудачный пользователь продолжил поиск дальше необходимого ему ключа на бескрайних просторах интернета. Вот только не обратил он внимания, когда открывал вышеуказанный злополучный файл на то, что расширение у него «EXE».
И с этого момента у него на компьютере начался удивительный процесс преобразования файлов по алгоритму «AES-256-битного шифрования», причем знаменитый ESET NOD32 не отреагировал на это вообще никак. Но неудачный пользователь этого не заметил и продолжил заниматься своей насущной проблемой, а потом еще одной и еще одной. Пока его внимание не привлек текстовый файл с названием «как расшифровать файлы.txt» появившийся из ниоткуда на рабочем столе, в котором содержались требования злоумышленников.
реклама
Он его открыл, прочитал, спросил жену, ни она ли это пошутила. А когда проверил свои папки с фотографиями и документами, и увидел, что с ними случилось, так и вовсе ноги подкосились.
реклама
После обращения ко мне, я в первую очередь спросил у него, делал ли он бэкап данных. На что он недоуменно посмотрел на меня. Тогда я переспросил, делал ли он архивную копию своих данных. На что он ответил, что если бы копию сделал, то ко мне не обращался бы.
Я попытался ему помочь!
В первую очередь необходимо было удалить из системы вирус (пожалуй, только это и получилось эффективно сделать). Скачал подходящий сканер Kaspersky Virus Removal Tool (Инструмент для удаления вирусов Касперского).
реклама
Провел сканирование, и вирус был успешно найден и удален.
Перезагрузил систему, провел сканирование еще раз, и вируса в системе уже не было. Первая задача была выполнена.
Следующей задачей было восстановление данных. В первую очередь я попробовал различными программами для восстановления данных (r-studio, hetman partition recovery, recuva и другими, не буду их все перечислять) это осуществить. Я надеялся, что на HDD в процессе шифрования зашифрованные файлы не перезаписали оригинальные, ну или хотя бы значительная их часть оказалась не перезаписанной. Но нет, почти все исходные файлы оказались перезаписаны зашифрованными (как будто вирус специально записал зашифрованные файлы поверх оригинальных). И таким образом удалось восстановить около 1% файлов, не представляющих для их владельца никакой ценности. Надежда на то, что у зашифрованных архивов все-таки, был простой пароль, очень быстро исчезла. Подбор паролей с помощью программы Advanced Archive Password Recovery положительного результата не дал.
Пришлось обращаться за помощью в лаборатории антивирусов. Начал я с лаборатории Касперского, обратился к ним с запросом и описанием проблемы, они попросили отправить им несколько зашифрованных файлов, соответствующих им оригинальных файлов (несколько незашифрованных файлов нашлось у владельца на электронной почте, и были оттуда скачаны) и тело вируса. Это все им было отправлено, и от них пришел неутешительный ответ.
Далее обратился за помощью в лабораторию антивируса ESET, там, кроме всего прочего запросили еще и лицензионные данные их продукта, которых не было. И узнав об их отсутствии, дальше диалог вести отказались.
Следующее обращение было в службу технической поддержки Doctor Web, где вообще сразу же попросили заплатить деньги.
Ну и к чему я все это рассказываю. А к тому, что многие пользователи, зная об угрозе заражения своих компьютеров и о возможности безвозвратной утраты данных, и в конце концов о возможных поломках своих жестких дисков все равно безалаберно относятся к надежности сохранности своих данных, и не делают резервных копий. И не хотят учиться на чужих ошибках, а предпочитают все проверить на себе. Теперь герою этой статьи придется принять решение об оплате услуг по расшифровке его файлов, если это вообще возможно.
А я хочу напомнить пользователям об элементарных и эффективных мерах по гарантированной сохранности своих данных. Это создание архивных копий своих данных.
На каких носителях надежнее всего хранить данные, это уже тема другой статьи. Здесь только поделюсь, как я реализую хранение архивных копий своих данных, и здесь нет ничего нового. Храню я свои архивные копии на внешнем жестком диске (именно на HDD, а не на SSD).
Надеюсь, моя статья будет для вас полезна. А как вы храните свои данные? И что вы думаете, по этому поводу? Пишите в комментариях.
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила