13 июня 2012 года

Как и в предыдущие месяцы, в течение мая на территории Казахстана наблюдался среднестатистический уровень вирусной активности без каких-либо неожиданных всплесков. Как и прежде, в числе обнаруженных на компьютерах пользователей вредоносных программ присутствуют файловые вирусы, черви и троянцы-загрузчики.

Лидером среди майских угроз, наиболее широко распространенных в почтовом трафике на территории Казахстана, снова стала доисторическая ископаемая вредоносная программа Win32.HLLM.MyDoom.54464, первые образцы которой были добавлены в вирусные базы еще в 2006 году. Эта угроза выявлялась в 66% случаев от общего количества вредоносных вложений в сообщениях e-mail. Данная программа представляет собой бэкдор-компонент почтового червя Win32.HLLM.MyDoom.49, известного науке с 2005 года и способного рассылать самого себя с инфицированного компьютера по адресам, собранным непосредственно на зараженной машине. В свою очередь, бэкдор-модуль запускается на ПК жертвы под именем services.exe, открывает TCP-порт 1034 и пытается установить соединение с другими инфицированными узлами. Столь широкое распространение довольно старой угрозы может свидетельствовать о том, что многие казахстанские пользователи игнорируют необходимость установки на своих ПК современного антивирусного программного обеспечения либо не поддерживают базы в актуальном состоянии. Для сравнения можно сказать, что в российской статистике по детектам вредоносного ПО в почтовых сообщениях данная угроза отсутствует.

На втором месте в казахстанском почтовом трафике располагается широко распространенный троянец BackDoor.Andromeda.22, способный организовывать бот-сети и загружать на инфицированный компьютер другие исполняемые файлы. Известно, что с использованием BackDoor.Andromeda пользователям «раздается» большой ассортимент вредоносного ПО. В российском почтовом трафике эта угроза занимает почетное 50 место и выявляется в 0,32% случаев от количества всех зафиксированных вредоносных программ, в то время как в Казахстане число обнаружений достигает 7%.

Третье место с показателем порядка 6% занимают троянцы-загрузчики различных модификаций, самыми популярными из которых является Trojan.DownLoader1.64229. При этом до 4% загрузчиков успешно детектируется с использованием разработанной компанией «Доктор Веб» уникальной технологии Origin Tracing. Также нередко в почтовом трафике выявляется программа-шпион Trojan.KeyLogger.30, способная фиксировать и передавать злоумышленникам нажатия клавиш пользователем, делать снимки экрана, а также «запоминать» список посещенных жертвой веб-страниц. Вся эта информация может быть использована злоумышленниками для незаконного доступа к различным интернет-ресурсам, требующим обязательной авторизации. Помимо этого, весьма частым гостем в почтовых ящиках казахстанских пользователей является почтовый червь Win32.HLLM.Netsky в различных модификациях. Процентное соотношение угроз, выявленных в казахстанском почтовом трафике в мае, показано на представленной ниже диаграмме:

Число сообщений, идентифицированных как спам, составляет 30% от общего объема майского почтового трафика. В течение месяца серверным программным обеспечением Dr.Web на территории Казахстана было выявлено 1836 писем, содержащих вирусы.

На жестких дисках пользовательских компьютеров антивирусным ПО Dr.Web в течение мая было обнаружено 19370906 экземпляров вредоносных программ. Как и прежде, весьма распространенной угрозой в Казахстане является файловый вирус Win32.Rmnet.12, о котором мы уже подробно рассказывали (https://www.drweb.kz/news_kz/2530-doktor-veb-obzor-virusnoy-aktivnosti-v-kazahstane-za-aprel-2012-goda.html) в предыдущем обзоре. За истекшие 30 дней количество инфицированных ПК несколько выросло, как, впрочем, и увеличился размер самой бот-сети. Большое число заражений демонстрирует и троянец Trojan.Mayachok.1, число обнаружений которого за прошедший месяц выросло более чем в два раза: от его действий в мае пострадало порядка 1500 жителей республики. Довольно часто на компьютерах жителей Казахстана встречаются программы семейства Trojan.SMSSend (в мае был поставлен абсолютный рекорд за последние месяцы — более 3300 обнаружений). Нередки среди обнаруженных вредоносных программ также троянцы-загрузчики. В остальном картина вирусной активности осталась фактически неизменной по сравнению с апрелем 2012 года.

CryptoLocker представляет собой вирусный файл, который после проникновения в компьютер начинает шифровать личный данные «жертвы», найденные на компьютере. Хакеры используют умелые алгоритмы шифрования, обычно пользователь после инфицирования вируса не сразу догадывается что его подхватил, вирус выжидает два или более дней чтоб анализировать ваши файлы, обычно вирус затрагивает такие файлы как xlsx, doc, txt, фотографии (jpeg, png, gif), а также файловые базы данных «К примеру базы, 1С бухгалтерии» Затем Trojan.encoder выводит баннер с информацией по оплате программы дешифратор (обычно они пользуются способом оплаты через систему «Bitcoin») И грозятся удалить вашу информацию по прошествии определенного количества времени. НЕ СТОИТ ДОВЕРЯТЬ ХАКЕРАМ!
В настоящее время Trojan.Encoder — одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций.

Каким образом вирус шифровальщик проникает на Ваш компьютер?

Вирус CryptoLocker распространяется через несколько средств:
— Вредоносные веб сайты, которые изначально заразились или были взломаны хакерами для атаки;
— Электронная почта. Хакеры рассылают спам письма, которые имеют заголовок определенного типа. Например, решение суда или письмо от сбербанка или друга, во вложении письма есть файл, вирус, который при открытии немедленно начинает анализировать ваш компьютер;
— Через торрент трекеры. К сожалению поиск бесплатных программ зачастую бывает плачевным для пользователя, при распаковке программ в приложении есть файл программа шифратор.

Как удалить вирус шифровальщик с моего компьютера?

Первый вариант вам пригодится если у вас есть бекапы вашей системы и файлов. Удалить баннер вы можете просто, установив антивирус, в крайнем случае помогает переустановка системы.
Во втором случае если вы не делали бекап вашей системы и вам нужны ваши данные.
1. Не в коем случае не устанавливайте антивирус. Наша команда способна расшифровать этот вирус, но процедура очень трудоемка. Нашим специалистам нужна информации о том как проник вирус, в какое время и т.п. При установке антивируса вся эта информация исчезнет что повлияет на время выполнения расшифровки вашей информации.
2. Не пользуйтесь компьютером. В вирусе встроен код (счётчик), который отсчитывает время пользования, по истечению которого вся информация может удалится.
3. Не планируйте контакта с хакерами! Хакеры зачастую бывают обычными студентами программистами которые знают, как шифровать файлы. Вымогая определенную сумму, они дают обещания что после оплаты на «bitcoin» кошелёк вышлют программу дешифратор чего не случается в 99% случаев. После оплаты они прекращают с вами общения из-за чего вы теряете драгоценное время, нервы и деньги.

Компьютеровичков сможет расшифровать ваши данные после вируса шифратора в 85% случаев!

Известно, что алгоритм шифрования «рандомный» то есть при зашифровки ваших файлов ключ к ним подбирается наугад. Из-за этого антивирусные компании не могут выпустить универсальную программу дешифратор, для каждой программы шифратор нужен индивидуальный подход. Ключ для шифровки файлов могут состоять из десятки сотен символов.
Поэтому наши специалисты совместно с ведущими компаниями в разработке антивирусов могут вам помочь! Мы знаем по каким алгоритмам работают хакеры. Зная алгоритмы шифрования можно за считанные часы подобрать ключ к вашим файлам. Доверив вашу информацию нам у вас есть гарантия что она будет в надёжных руках!

Как мы работаем?

1. Вы оставляете заявку на нашем сайте или по телефону +7 (812) 409-36-66
2. Вы присылаете к нам на пробу несколько зашифрованных файлов по адресу Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Или наш мастер через программу Team Viewer подключается к вам и сделает пробу за вас.
3. Мы анализируем ваши файлы. (От 1-го до 3-х суток)
4. Мы пишем дешифратор. Подписываем договор о дешифровке. Возможен приезд мастера (только Санкт – Петербург)

Оплата

Наличными мастеру
По безналичному переводу на счёт компании