Эта инструкция не предназначена для технических специалистов, поэтому:
Шифрование — это преобразование данных в вид, недоступный для чтения без ключа шифрования.
Ключ шифрования — это секретная информация, используемая при шифровании/расшифровке файлов.
Дешифратор — программа, реализующая алгоритм расшифровывания.
Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.
Почтовое вложение — файл, прикреплённый к электронному письму.
Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg, то запуститься просмотрщик изображений и т.д.
Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.
Текстовый файл — компьютерный файл, содержащий текстовые данные.
Архивация — это сжатие, то есть уменьшение размера файла.
Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.
Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.
Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.
В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления.
Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, т.к. используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, клиент-банк), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.
Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке на сайте или в теле письма.
Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространится на другие машины, используя уязвимости в Windows или/и в установленных программах.
Пример текста с требованием выкупа |
В обеих случаях нужно немедленно сообщить о происшествии системному администратору.
ВАЖНО!!!
Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.
Как предотвратить заражение или свести его последствия к минимуму?
2. В письме содержится информация, не имеющая отношения к нашей стране, региону или сфере деятельности нашей компании. Например, требование погасить долг в банке, зарегистрированном в РФ.
3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.
4. Письмо пришло якобы от известной компании, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.
5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.
6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.
7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.
8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. Также, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятно, что его ПК взломали или заразили вирусом.
Пример вредоносного письма |
В редакцию сайт пришли подозрительные письма, подписанные представителями двух крупнейших банков - Альфа-банка и банка «Открытие». И мы поняли, что обязаны о них рассказать
Письмо от имени «представителя» Альфа-банка гласило, к нему был прикреплен файл:
«Уважаемый(-ая), уведомляет вас о наличии просроченной задолженности. Меня зовут Богун Иван Владимирович, я представитель Альфа Банка. На ваше имя 22.05.2013 была оформлена рассрочка, через наш онлайн банкинг (https://alfabank.ru) на сумму 3 000 000 рублей. На данный момент задолженность не погашена. На 20.11.2016 ваш долг составляет 1 773 000 рублей с учетом пени (0.4%в сутки). и требование о погашении задолженности. В связи с этим, на ваше имя, Альфа Банка был составлен судебный иск.
Ознакомьтесь с документами дела.
С Уважением.
Альфа Банк»
Мы сохранили всю пунктуацию и орфографию оригинального письма, обратите на них внимание. Примечательно, что письмо пришло с адреса, на первый взгляд, напоминающего электронную почту банка - [email protected] . А теперь представьте, что подобное письмо получаете вы, и вы, действительно, являетесь клиентом банка и даже, возможно, у вас есть там кредит. Если не знать базовых правил безопасности в Интернете, нормальная реакция обычного человека - скорее скачать документы и разобраться, в чем же дело. А ведь именно это делать категорически нельзя!
Важно, что мошенники рассылают письма массово и от имени разных банков - уже сегодня мы получили схожее письмо якобы от банка «Открытие», в качестве приманки указывался долг по ипотечному кредиту.
В пресс-службе банка «Открытия» поспешили заверить: указанная рассылка осуществлялась от лица третьих лиц, не имеющих отношения к банку. «Для информирования своих клиентов банк рассылает письма только с почтовых ящиков в доменах open.ru и openbank.ru. Кроме того, банк уведомляет своих клиентов о необходимости выполнить обязательства с помощью смс-сообщений на доверенный номер клиента», - указали в пресс-службе.
Представители банка советуют при получении подобного сообщения немедленно обратиться в контактный центр банка и сообщить об инциденте, не открывая вложения и содержащиеся в письме ссылки - они содержат компьютерный вирус.
1. Угроза в заголовке
«Уведомление от банка «Открытие», «Повестка в суд», и другие заявления, которые способны запугать человека еще до того, как он открыл письмо. Таким образом мошенники сбивают с толку.
2. Адрес отправителя - ошибка в названии компании или перепутанный почтовый ящик. Например, [email protected] (правильный ящик - [email protected])
3. Вложенный файл . Мошенники намеренно нагнетают обстановку, чтобы вы точно скачали себе письмо, раскрывающее подробности. Делать этого ни в коем случае нельзя - этот файл как раз и содержит вирус. Обратите внимание, в имя файла может входить надпись «.doc» или «.pdf», а дальше указано js или exe - таким образом вас пытаются запутать, представив файл в качестве документа.
Спам - это нежелательные письма или рассылки, которые могут приходить на ваш адрес. Они могут содержать рекламные предложения, «письма счастья» , компьютерные вирусы или оказаться попыткой фишинга . Для создания базы адресов спамеры используют программы, которые подбирают адреса с помощью специального словаря или собирают адреса, опубликованные пользователями на общедоступных сайтах.
Нежелательные рассылки следует отличать от честных . На получение честных рассылок пользователь обычно дает свое явное согласие. От таких рассылок можно отписаться .
Для распознавания спама Яндекс.Почта использует сервис «Спамоборона» , который обучается благодаря жалобам пользователей на спам . Он помещает в папку Спам подозрительные письма с признаками спама.
Примечание. Письма из папки Спам автоматически удаляются через 10 дней. Восстановить удаленные письма будет нельзя.
В Яндекс.Почте фильтруется не только входящая, но и исходящая корреспонденция. Каждое письмо проверяется антивирусной программой NOD32 . Если в письме будет обнаружен вирус, оно будет отклонено почтовым сервером, а отправитель получит отчет.
Это пошаговое руководство поможет вам решить проблемы, связанные со спамом. Прежде чем приступить, откройте Яндекс.Почту в новой вкладке , чтобы выполнять рекомендации.
Выберите проблему:
Выбрать
Получаю спам в папку «Входящие»
Получаю много спама в папку Спам
Получаю спам с моего адреса
Получаю чужие письма
Вижу сообщение «Письмо не может быть отправлено, потому что кажется похожим на спам»
В почтовой программе вижу ошибку «Message rejected under suspicion of SPAM»
Нужные письма попадают в папку «Спам»
Получаю много рассылок. Как отписаться?
Вижу предупреждение «Яндекс.Почта считает это письмо потенциально опасным»
Если вы считаете, что получили спамовое письмо в папку Входящие , выделите нужное письмо и нажмите кнопку Это спам! - письмо будет перемещено в папку Спам , а необходимая информация будет отправлена в Спамоборону.
Нужно несколько таких жалоб на однотипные нежелательные письма, чтобы Спамооборона начала автоматически перемещать в Спам подобные им письма. Помечайте кнопкой Это спам! все письма, которые считаете спамом, до тех пор, пока подобные им не начнут приходит в папку Спам вместо папки Входящие .
Совет. Отправляйте нежелательные письма в Спам по одному - все письма от одного отправителя, перемещенные в папку Спам одновременно, считаются одной жалобой.
","hasTopCallout":false,"hasBottomCallout":false,"areas":[{"shape":"rect","alt":"","coords":,"isNumeric":false}]}}\">
Если письмо попало в папку Спам по ошибке, нажмите кнопку Не спам! - новые письма из рассылки будут приходить в папку Входящие .
Спамооборона учитывает как общие, так и «персональные» правила фильтрации, которые действуют для отдельного почтового ящика. Если вы считаете письма рассылки нежелательными, а пользователь другого почтового ящика - полезными, в вашем ящике они будут попадать в папку Спам , а в ящике другого пользователя в папку Входящие .
Если в папку Спам приходит много спамовых писем - значит, Спамоборона работает. Если письма действительно подозрительные, оставьте их в этой папке - они автоматически удалятся через 10 дней. Если среди этих писем есть нужные, восстановите их .
Если вы хотите автоматически удалять письма из папки Спам сразу после их получения, настройте правило обработки писем :
Уточните, какой адрес указан в поле Кому этих писем?
Если ваш адрес пишется через дефис, но на него приходят письма с адресом через точку и наоборот, это, скорее всего, не чужие письма, а ваши.
Яндекс.Почта считает равнозначными адреса, написанные через точку и дефис. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.
Если ваш адрес пишется строчными буквами, но на него приходят письма с адресом прописными и наоборот, это, скорее всего, не чужие письма, а ваши.
Яндекс.Почта считает равнозначными адреса, написанные строчными и прописными буквами. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.
Если вам приходят письма с незнакомого адреса, причинами могут быть:
Ошибка отправителя при указании адреса получателя
Если вы получили письмо от незнакомого отправителя, возможно, отправитель ошибся при указании адреса получателя. Вы можете сообщить отправителю об ошибке или проигнорировать такое письмо.
Кто-то при регистрации на сайте указал ваш адрес в качестве контактного На некоторых сайтах можно регистрироваться без подтверждения электронной почты, поэтому люди при регистрации могут указывать чужой электронный адрес. Несмотря на то, что этот человек указал ваш адрес на сайте, он не сможет пользоваться вашим ящиком. Если вы не хотите получать письма с этого сайта:
Если вы получили письмо от знакомого отправителя, направленное не на ваш, а на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть предназначены именно вам. Свяжитесь с отправителем по другому каналу связи и уточните корректность получения этого письма.
свойствами .
Если вы получили письмо от незнакомого отправителя, направленное на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть спамом .
В отдельных случаях такое может произойти, если в другом почтовом ящике настроена пересылка на ваш адрес. Если пересылка установлена не вами, обратитесь в администрацию сервиса, на котором находится почтовый ящик, пересылающий письма, и приложите копию письма с его свойствами .
Если вы получили сообщение об ошибке «Письмо не может быть отправлено, потому что кажется похожим на спам» («Spam limit exceeded» или ) или требование ввести контрольные цифры, это могло произойти по следующим причинам:
Рассылаются однотипные или шаблонные письма
С вашего ящика отправляются однотипные или шаблонные писем, а также письма с коммерческими или рекламными предложениями. В Яндекс.Почте отправка таких писем не разрешена - наш сервис предназначен для живого общения между людьми.
Совет. Если вы хотите массово рассылать письма вашим партнерам или клиентам, используйте для этого только специальные рассылочные сервисы .
Достигнуто ограничение на отправку писем в сутки
С вашего ящика ежедневно отправляется большое количество писем - это расценивается нашей системой безопасности как спам. Письма могут отправляться как при вашем участии, так и без вашего ведома.
Чтобы этого не происходило, в Яндекс.Почте установлены технические ограничения на отправку писем в сутки. Обойти или изменить эти ограничения нельзя.
В течение суток можно отправить с одного ящика 500 писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.
Количество получателей | Ограничение |
---|---|
500 | |
50 | |
35 |
Количество получателей | Ограничение |
---|---|
Суммарно во всех письмах за сутки | 500 |
В одном письме, отправленном через сайт | 50 |
В одном письме, отправленном через почтовую программу или по протоколу SMTP | 35 |
В течение суток можно отправить с одного ящика 3000 * писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.
Дополнительно установлены ограничения на количество получателей:
Количество получателей | Ограничение |
---|---|
3000 * | |
5000 * | |
В одном письме, отправленном через сайт | 50 |
В одном письме, отправленном через почтовую программу или по протоколу SMTP | 35 |
Количество получателей | Ограничение |
---|---|
Суммарно во всех письмах за сутки (с одного ящика) | 3000 * |
Суммарно во всех письмах за сутки (со всех ящиков одного домена) | 5000 * |
В одном письме, отправленном через сайт | 50 |
В одном письме, отправленном через почтовую программу или по протоколу SMTP | 35 |
* Учитываются только внешние получатели; владельцы ящиков на этом домене не учитываются.
Ваш аккаунт кажется подозрительным
Наша система безопасности посчитала ваш аккаунт подозрительным. Чаще всего это происходит из-за того, что к вашему ящику не привязан номер телефона или в Паспорте указаны вымышленные имя и фамилия.
Отправляются письма на несуществующие адреса
Большое количество писем с вашего ящика было отправлено на несуществующие адреса. Если письмо было отправлено на несуществующий адрес, вы получите автоматический отчет о недоставке .
Нам поступило несколько жалоб от пользователей на рассылку спама с вашего адреса.
Если это произошло, отправка писем из вашего почтового ящика будет заблокирована. Блокируется только отправка писем - входить в Почту и получать письма вы сможете. Блокировка закончится автоматически через 24 часа, если вы не попытаетесь отправить письмо в течение этого времени, - иначе блокировка продлится еще на 24 часа.
Пока вы ожидаете снятия блокировки, выполните рекомендации, которые помогут избежать проблемы в будущем:
Примечание. Если вы используете Яндекс.Почту для домена, укажите точные данные для всех ящиков домена.
Если возникает сообщение «Message rejected under suspicion of SPAM» , содержимое вашего письма было распознано Яндекс.Почтой как спам. Чтобы решить проблему, откройте веб-интерфейс Яндекс.Почты и отправьте одно любое письмо в виде теста. Так вы докажете системе, что письма отправляет не робот.
Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
Если нужное письмо по ошибке попало в папку Спам , выделите его и нажмите кнопку Не спам! - письмо переместится во Входящие . Через некоторое время все письма с данного адреса снова будут приходить в папку Входящие .
Написать в службу поддержки
Сегодня одной из актуальных разновидностей вредоносного ПО «компьютерного вируса» является вирус «шифровальщик».
В основном компьютер подвергается инфицированию через спам-письмо с вложением якобы от исполнительных органов власти или федеральных структур, например ФНС, службы судебных приставов, ГИБДД и других. После попадания в компьютер вирус шифрует все файлы, находящиеся на жестком диске, которые представляют ценность для (фото, видео, документы и т.д.).
При попытке открыть зашифрованные файлы, на экране появляется сообщение с требованием перевести определенную сумму денег за восстановление файлов.
Суммы варьируются и доходят до сотни тысяч рублей.
Сергей Игнатьев, заместитель генерального директора по IT развитию и продвижению ООО «ГЕЛИОС-С»:
Появление такого или похожего сообщения уже означает, что вирус
заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители.
Как правило, в большинстве случае вы получили и открыли электронное письмо от вызывающего у вас доверие контрагента или отправителя, завуалированного под известную организацию. В теме может содержаться просьба провести акт сверки бухгалтерских операций за какой-то период, предоставить подтверждение оплаты счета, ознакомиться с кредитной задолженностью и т.д.
Самое главное, что информация обычно составлена таким образом, что обязательно вас заинтересует, и вы откроете вложенный файл с вирусом, который прикреплен к электронному письму. Этого и добиваются мошенники.
Итак, вы открываете вложение, которое имеет расширение «js», «exe», или «bat», а по идее не должны бы. Все мы прекрасно знаем расширения файлов, с которыми работаем. В основном это расширения офисных приложений: doc, docx, xls, odt. Данный файл скачивает с сервера злоумышленников троян или баннер, и программу для шифрования. Складывает все это во временную папку пользователя и сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ.
В качестве шифровальщика (на примере vault) выступает бесплатная утилита для шифрования gpg
и популярный алгоритм шифрования - RSA-1024
. По сути, эта утилита много где используется, не является вредоносным объектом сама по себе, следовательно, антивирусные программные продукты пропускают и не реагируют на ее работу.
Что делать?
Вариантов, к несчастью, мало. На просторах интернета, есть довольно много информации о том, как попытаться расшифровать файлы vault, xtbl, ytbl и т.д. К сожалению, все эти рекомендации мало чем помогают, к тому же попытки самостоятельной расшифровки файлов зачастую приводят к невозможности дешифровки, даже при наличии закрытого ключа шифрования.
Помощи от антивирусных компаний ждать тоже не приходится. RSA-1024
– очень серьезный и сложный процесс шифрования, и на ваш запрос в любую антивирусную лабораторию вы получите примерно следующее: «К сожалению, помочь не сможем, за приемлемое время расшифровка невозможна».
В свободном доступе есть такие утилиты для дешифровки, как: Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor или Xorist Decryptor, но они помогают только для отдельных типов шифровщиков, в случае с vault, xtbl они не срабатывают.
Основная рекомендация от наших защитников: обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Есть еще возможность заплатить злоумышленникам, но мы же не хотим своими деньгами поддерживать мошенников, да и вероятность возвращения наших драгоценных данных - 50 на 50.
Рассмотрим, как же все-таки мы можем предотвратить эти крайне нежелательные действия над нашими файлами или хотя бы снизить их коэффициент влияния на работоспособность нашего бизнеса.
Итак, первое и, наверно, самое главное: резервное копирование - наше «ВСЁ». Не пожалейте денег, сил и времени на резервное копирование данных. Съемный жесткий диск, стоит гораздо дешевле тех денег, которые просят вымогатели за расшифровку данных. Копирование критически важных для вас данных: баз 1С, текстовых документов, таблиц на съемный носитель, хотя бы раз в неделю не займет много времени, но сэкономит массу нервов и денег в случае шифровки данных на компьютере.
Второе: настоятельно рекомендуем настроить параметры восстановления системы и теневые копии папок. По опыту это спасает в 95 процентах случаев заражения и шифрования данных. Третье: Антивирусная защита обязательна. Наличие проверенного и зарекомендовавшего себя с лучшей стороны антивирусного программного обеспечения, с последними обновлениями сигнатурных баз поможет вам защититься от непредвиденных и неприятных ситуаций.
Ну, и последнее: не открывайте файлы неизвестного вам типа. Не может файл с расширением exe или bat быть актом сверки, или, например, резюме соискателя. Ну не может владелец почты [email protected] знать о блокировке ваших лицензий 1С или о вашей задолженности по кредиту в банке. Повышайте компьютерную грамотность свою и ваших сотрудников. Это в современной жизни обязательно пригодится.
В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?