Шифрувальник [email protected]: як розшифрувати
Як відомо, вірусів і шкідливих програм у Всесвітній павутині з кожним днем з`являється все більше. Але сьогодні наслідки їх впливу виходять далеко за рамки порушення роботи системи. Все більше зловмисники починають вимагати гроші. До таких загроз відноситься і вірус paycrypt @ gmail_com, який є шифрувальником. З`явився він відносно недавно, так що боротьба з ним - справа досить трудомістка.
Содержание
- Що являє собою вірус paycrypt @ gmail_com?
- Як вірус проникає в систему?
- Алгоритм вимог хакерів
- Чи варто зв`язуватися зі зловмисниками?
- Чи є для вірусу paycrypt @ gmail_com дешифровщик?
- Як отримати утиліту для дешифрування на офіційному сайті розробника антивірусу?
- Якщо нічого не допомагає ...
- Кілька порад наостанок
Що являє собою вірус paycrypt @ gmail_com?
В принципі, сама «зараза» працює по торованому алгоритму, застосованого ще в найвідоміших віруси на кшталт CBF, XTBL і I Love You.
Не вдаючись в схему його роботи, можна сказати тільки одне: наслідки його впливу полягають в тому, що всі призначені для користувача файли і документи виявляються зашифрованими спеціальним алгоритмом, який самі хакери називають RSA-1024. В кінцевому підсумку після шифрування жоден документ або призначений для користувача файл без спеціального ключа відкрити неможливо.
В іменах файлів на додаток до існуючого розширенню прописується paycrypt @ gmail_com. Як розшифрувати такі файли (і чи можливо це взагалі), ми зараз і подивимося.
Як вірус проникає в систему?
Проникнення загрози на окремий термінал або навіть в локальну мережу може здійснюватися кількома способами. Найпоширенішими є електронна пошта, яка містить вкладення, програми-завантажувачі, чіпляють вірус безпосередньо на зараженому сайті, або приховані об`єкти, які активуються при копіюванні інформації зі знімних носіїв. Іноді її можна «підхопити», навіть просто клікнувши на рекламному банері.
Як вважається, електронна пошта - основний тунель. Це не стосується поштових серверів, а виключно облікових записів, що використовуються в стаціонарних програмах на кшталт Outlook або сторонніх додатків, встановлених на комп`ютерних терміналах.
Користувач відкриває, припустимо, повідомлення про зміну в договорі поставок продукції і дивиться вкладення. У ньому є якийсь файл. Якщо бачите, що розширення невідомо, краще його не відкривати взагалі. Але приписка, мовляв, як додаток до міститься скан-копія нового варіанту договору, всіх збиває з пантелику, і користувач відкриває файл, просто навіть не замислюючись.
Але дуже часто можна зустріти вкладення у вигляді звичайного текстового файлу або Word-документа. Користувач клацає на ньому, і ... пішло-поїхало (зауважте, перейменувати будь-який файл, присвоївши йому розширення .txt, .doc або розширення графічного об`єкта .jpg можна, як то кажуть, зовсім елементарно. А система бачить перед собою зареєстрований тип файлу і тут же намагається його відкрити).
Іноді у вкладенні зустрічається виконуваний JS-файл (Java Script), відкривати який не можна взагалі!
Першою ознакою впливу є моментальне «гальмування» комп`ютера. Це свідчить про надмірне навантаження на системні ресурси внаслідок того, що вкладений в файл paycrypt @ gmail_com шкідливий код почав процес шифрування. Він, до речі, може займати досить тривалий час, і ніяка перезавантаження не допоможе. Якщо перезавантажити систему, вірус знову почне свою чорну справу. Після закінчення процесу отримуємо повністю зашифровані файли paycrypt @ gmail_com. Як розшифрувати їх, ми, природно, не розуміємо. Інструкція по передбачуваних дій трохи пізніше пропонується самими зловмисниками.
Алгоритм вимог хакерів
Звичайні користувачі «підхоплюють» цей вірус, в общем-то, нечасто. Він, скоріше, орієнтований на комерційні структури і організації. При цьому, якщо на підприємстві є досить розгалужена локальна мережа, шифрування може торкнутися абсолютно всіх терміналів, підключених до мережі.
Як інструкції, що додається до вірусу paycrypt @ gmail_com (як розшифрувати дані - в ній докладно описано), виступає електронного листа, де говориться, що файли зашифровані алгоритмом RSA-1024. Далі, начебто з благими намірами, слід твердження, що розшифрувати дані може тільки група, яка надіслала повідомлення. Але така послуга коштує близько від 100 до 500 євро.
Щоб отримати paycrypt @ gmail_com-дешифровщик, на вказану адресу пошти потрібно відправити файл KEY.PRIVATE і кілька заражених файлів. Після того передбачається, що користувач отримає власний унікальний ключ. Відверто кажучи, віриться в це важко.
При цьому повідомляється, що розшифрувати файли paycrypt @ gmail_com самостійно можна навіть не намагатися, оскільки єдиним виходом є повне форматування диска або розділу. Тут же слід натяк, що дані користувача дуже важливі для нього, так що форматування недоцільно.
Чи варто зв`язуватися зі зловмисниками?
На жаль, довірливі користувачі або власники дуже важливої інформації тут же біжать оплачувати послуги, але натомість не отримують нічого. Якщо на зорі появи цієї загрози хтось, може, ще й отримував ключ, сьогодні про це можна навіть не мріяти - звичайне вимагання грошей.
Деякі все-таки намагаються використовувати антивірусні сканери, але от лихо - вірус-то дійсно програмами визначається, навіть начебто лікується і віддаляється, але інформація так і залишається зашифрованою.
Чи є для вірусу paycrypt @ gmail_com дешифровщик?
Що стосується дешифрування даних, практично жоден відомий розробник антивірусного ПО якогось конкретного і універсального рішення уявити не може.
Можна перерити весь Інтернет у пошуках ключа. Але нічого путнього з цього не вийде. Єдине, що можна спробувати, - пошукати вже відомі ключі начебто [email protected], [email protected], [email protected] і т. Д. Можливо, якісь комбінації і допоможуть, але спокушатися не варто.
Як отримати утиліту для дешифрування на офіційному сайті розробника антивірусу?
Але подивимося, що можна зробити, якщо вже й підхоплений вірус paycrypt @ gmail_com. Як розшифрувати його, припустимо, користувач не знає. У такій ситуації, за умови того, що комп`ютерному терміналі встановлена офіційна (ліцензійна) версія антивірусного програмного забезпечення, краще звернутися безпосередньо до Центру обслуговування розробника.
При цьому на офіційному сайті слід використовувати розділ запиту на лікування, після чого відправити кілька заражених файлів. Якщо є копія оригінального незараженої об`єкта, ще краще. У такій ситуації ймовірність того, що дані будуть розшифровані, підвищується багаторазово, оскільки, наприклад, сам вірус paycrypt @ gmail_com «Касперський» (штатний сканер) вилікувати просто не зможе.
Якщо нічого не допомагає ...
Якщо ж відповідь з яких-небудь причин не отримано, а до зловмисників звертатися намірів немає, тут вже нічого не поробиш. Єдиним виходом стане тільки форматування жорсткого диска. При цьому потрібно виконати повне форматування, а не очищення змісту.
Окремо варто сказати, що вірус при проникненні на вінчестер або в його логічний розділ міг створити власну копію, так що форматувати доведеться абсолютно все, що є, і встановлювати систему заново. Іншого виходу немає.
До речі, і утиліти, що завантажуються ще до старту системи (на кшталт Kaspersky Rescue Disc) теж не допоможуть. Як вже говорилося вище вірус вони виявлять, навіть видалять, але привести дані в вихідне читабельним стан не зможуть. Це і зрозуміло, адже спочатку навіть такі потужні утиліти на це, в общем-то, і не розраховані.
Кілька порад наостанок
Ось, власне, і розглянутий вірус paycrypt @ gmail_com. Як розшифрувати його? На це питання, як уже зрозуміло, відповіді немає. Вже краще заздалегідь уберегти себе від проникнення загрози в систему.
Відкривати варто тільки вкладення електронної пошти, отримані з надійних джерел, не слід даремно клацати по рекламі в Інтернеті. Особливо зверніть увагу на листи, в яких в назві вкладеного файлу присутній абракадабра (якийсь набір незрозумілими символами), а зміна кодування не допомагає побачити ім`я в нормальному поданні. Загалом, будьте пильні!
Ну і, самою собою зрозуміло, що немає ніякого сенсу платити гроші здирникам, а натомість не одержати необхідного ключа. Втім, це доводиться зовсім просто на прикладі інших відомих вірусів і шкідливих кодів, які вже колись були зареєстровані в світовій практиці.
