Главная
Енвд
Опасный спам: письмо-вирус от вашего банка. Как распознать вирус «шифровальщик» в электронном письме якобы от органов власти или федеральных структур. Распознаем фишинговые письма

Опасный спам: письмо-вирус от вашего банка. Как распознать вирус «шифровальщик» в электронном письме якобы от органов власти или федеральных структур. Распознаем фишинговые письма

Вы обнаружили в своем электронном ящике письмо от компании Visa о том, что ваша кредитная карта заблокирована и теперь вам придется подтвердить свои данные на сайте фирмы, чтобы ее активировать. Адрес отправителя содержит маркер «visa.com». Присутствует обращение к вам по имени. Следует ли выполнять указанные в сообщении действия или лучше сразу удалить письмо? CHIP расскажет, как распознать опасность.

Распознаем фишинговые письма

Сфальсифицированное сообщение распознается не только по отправителю - как раз эта информация легко подделывается злоумышленниками. Указанием на аутентичность адреса является сервер электронной почты , через который было отправлено письмо. Его вы найдете в исходном тексте сообщения, вызвав его, например, в Outlook через «Файл | Свойства».

В Gmail откройте письмо и нажмите на стрелку рядом с кнопкой для ответа. Здесь выберите «Показать оригинал». Сервер отправителя указан в строчке «Received». Его домен должен совпадать с доменом компании, от которой пришло письмо. Если есть отличия, то высок риск, что речь идет о фишинге. Такое письмо лучше всего удалить.

И все же проверка сервера тоже не всегда помогает . В частности, небольшие фирмы пользуются почтовыми серверами внешних поставщиков, и в этом случае домен не будет совпадать с корпоративным адресом. Однако злоумышленники, как правило, подделывают только крупные веб-сайты, поэтому подобная проверка является неплохим способом.

В особых случаях киберпреступники целенаправленно выбирают не самый крупный концерн. Чтобы вирус через письмо попал на ПК, они маскируют сообщения под уведомления от коллекторских компаний. Таким образом хакеры могут обойти обязательную проверку почтового сервера, поскольку просто подбирают имя компании под используемый адрес сервера. К письму прилагается вложение с долговым требованием, и зачастую этот файл несет в себе вирус.

Некоторые письма сопровождаются даже обращением к адресату по имени . Но не дайте себя обмануть: такая информация берется из стандартных баз данных с адресами, которые собираются, например, по следам различных лотерей и розыгрышей.

Искусные подделки

Киберпреступники с помощью поддельных электронных писем хотят добраться до ваших данных. Для этого мошенники используют «шапки», которые выглядят как настоящие, якобы правильные адреса отправителей и персональные обращения по имени.

Письма от друзей

Не всегда стоит безоговорочно доверять и письмам от известных вам отправителей, поскольку ваши знакомые также могут стать жертвой вирусной атаки. Существует два сценария : вы получаете электронное сообщение от друга, содержимое которого представляет собой сплошную рекламу, либо же текст письма вынуждает пройти по указанной рядом ссылке.


Не доверяйте слепо таким письмам! Как правило, их подлинность также получится проверить с помощью почтового сервера: домены должны совпадать с названием сервера отправителя. Поможет настройка сортировки антиспам-фильтра.

Зачастую в качестве спама классифицируются определенные элементы текста. Чтобы действовать наверняка, позвоните своему знакомому. Скорее всего, он будет вам благодарен за предупреждение о вирусе, который высылает подобные письма.


Отправитель запрашивает даже номер кредитной карты. Введенные
данные попадают напрямую в руки хакеров

Признаки подлинного письма

В свойствах письма вы найдете в том числе сервер (1) , имя которого должно подходить отправителю. В идеале также присутствует сигнатура (2) , которую проверяют современные почтовые клиенты.

Эта инструкция не предназначена для технических специалистов, поэтому:

  1. определения некоторых терминов упрощены;
  2. не рассматриваются технические подробности;
  3. не рассматриваются методы защиты системы (установка обновлений, настройка систем безопасности и т.д.).
Инструкция написана мною в помощь сисадминам, желающим провести обучение работников компании, далёких от сферы IT (бухгалтерия, кадры, продажники и т.д), основам кибергигиены.

Глоссарий

Программное обеспечение (далее — ПО) — программа или множество программ, используемых для управления компьютером.

Шифрование — это преобразование данных в вид, недоступный для чтения без ключа шифрования.

Ключ шифрования — это секретная информация, используемая при шифровании/расшифровке файлов.

Дешифратор — программа, реализующая алгоритм расшифровывания.

Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.

Почтовое вложение — файл, прикреплённый к электронному письму.

Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg, то запуститься просмотрщик изображений и т.д.

Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.

Текстовый файл — компьютерный файл, содержащий текстовые данные.

Архивация — это сжатие, то есть уменьшение размера файла.

Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.

Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.


Что это такое — вирус-шифровальщик?

Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы и таблицы MS Office (docx , xlsx ), изображения (jpeg , png , tif ), видеофайлы (avi , mpeg , mkv и др.), документы в формате pdf и др., а также файлы баз данных — 1С (1CD , dbf ), Акцент (mdf ). Системные файлы и программы обычно не шифруются, чтобы сохранить работоспособность Windows и дать пользователю возможность связаться с вымогателем. В редких случаях шифруется диск целиком, загрузка Windows в этом случае невозможна.

В чём опасность таких вирусов?

В подавляющем большинстве случаев расшифровка собственными силами НЕВОЗМОЖНА, т.к. используются чрезвычайно сложные алгоритмы шифрования. В очень редких случаях файлы можно расшифровать, если произошло заражение уже известным типом вируса, для которого производители антивирусов выпустили дешифратор, но даже в этом случае не гарантируется восстановление информации на 100%. Иногда вирус имеет изъян в своём коде, и дешифровка становиться невозможна в принципе, даже автором вредоносной программы.

В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления.

Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, т.к. используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, клиент-банк), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.

Пути заражения.

Чаще всего заражение происходит через почтовые вложения. Пользователю приходит письмо по электронной почте от известного ему адресата или замаскированного под какую-либо организацию (налоговая, банк). В письме может содержаться просьба провести бухгалтерскую сверку, подтвердить оплату счёта, предложение ознакомиться с кредитной задолженностью в банке или что-то подобное. То есть, информация будет такова, что непременно заинтересует или испугает пользователя и побудит открыть почтовое вложение с вирусом. Чаще всего это будет выглядеть как архив, внутри которого находится файл с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. После запуска такого файла сразу же или через некоторое время начинается процесс шифрования файлов на ПК. Также заражённый файл может быть прислан пользователю в одной из программ для обмена мгновенными сообщениями (Skype, Viber и др.).

Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке на сайте или в теле письма.

Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространится на другие машины, используя уязвимости в Windows или/и в установленных программах.

Признаки заражения.

  1. Очень часто после запуска файла, приложенного к письму, наблюдается высокая активность жёсткого диска, процессор загружен до 100%, т.е. компьютер начинает сильно «тормозить».
  2. Через некоторое время после запуска вируса ПК внезапно перезагружается (в большинстве случаев).
  3. После перезагрузки открывается текстовый файл, в котором сообщается, что файлы пользователя зашифрованы и указываются контакты для связи (электронная почта). Иногда вместо открытия файла обои рабочего стола заменяются на текст с требованием выкупа.
  4. Большинство файлов пользователя (документы, фото, базы данных) оказываются с другим расширением (например — *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl и др.) или вообще полностью переименованы, и не открываются никакой программой, даже если поменять расширение. Иногда шифруется ­жёсткий диск целиком. В этом случае Windows вообще не загружается, а сообщение с требованием выкупа показывается почти сразу после включения ПК.
  5. Иногда все файлы пользователя оказываются помещены в один архив, защищённый паролем. Это происходит, если злоумышленник проникает на ПК и производит архивирование и удаление файлов вручную. Т.е., при запуске вредоносного файла из почтового вложения файлы пользователя не шифруются автоматически, а происходит установка программного обеспечения, позволяющего злоумышленнику скрытно подключиться к ПК через интернет.

Пример текста с требованием выкупа

Что делать, если заражение уже произошло?

  1. Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит»; открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них стали появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!
  2. Если шифрование уже состоялось, ни в коем случае не стоит пытаться самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком.

В обеих случаях нужно немедленно сообщить о происшествии системному администратору.


ВАЖНО!!!

Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.

Как предотвратить заражение или свести его последствия к минимуму?

  1. Не открывайте подозрительные письма, особенно с вложениями (как распознать такие письма — см. ниже).
  2. Не переходите по подозрительным ссылкам на сайтах и в присланных письмах.
  3. Не скачивайте и не устанавливайте программы из недоверенных источников (сайты со взломанным ПО, торрент-трекеры).
  4. Всегда делайте резервные копии важных файлов. Наилучшим вариантом будет хранить резервные копии на другом носителе, не подключённом к ПК (флэшка, внешний диск, DVD-диск), или в облаке (например, Яндекс.Диск). Часто вирус шифрует и файлы архивов (zip, rar, 7z), поэтому хранить резервные копии на том же ПК, где хранятся исходные файлы — бессмысленно.

Как распознать вредоносное письмо?

1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, счёт или резюме.

2. В письме содержится информация, не имеющая отношения к нашей стране, региону или сфере деятельности нашей компании. Например, требование погасить долг в банке, зарегистрированном в РФ.

3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.

4. Письмо пришло якобы от известной компании, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.

5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.

6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.

7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.

8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. Также, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятно, что его ПК взломали или заразили вирусом.
Пример вредоносного письма

На неделе получил такое письмо , адресовано не мне, но попадает именно в мой почтовый ящик. Случайность или умышленная отправка?
Сразу же, что приходит на ум, о кто то запарился , сейчас я узнаю, чей то секрет . В тексте письма узнаём, что есть ещё и фото. О крутяк! А вдруг, там баба голая .

И уже хочется поспешно скачать фото и посмотреть его. Очень сильно у людей связано чувство любопытства, ну нравиться нам — копаться в чужом белье? .
Но я, не я, потому пишу эту статью.

ОПРЕДЕЛИТЬ ПИСЬМО С ВИРУСОМ

Во первых, давайте перед скачиванием, попробуем проанализировать письмо и только после — принять решение, а вдруг, это письмо с вирусом . Давайте попробуем, это определить . Итак, шапка письма:
От кого: Yana Panova
Кому: [email protected]
Из неё мы ведем, что оно попала не по адресу, а это два варианта отправки:

  • ошибка
  • специально

Пока рано тут, что то определить и переходим к тексту письма.
Тема: Привет ты пропала куда-то?
Содержание письма: Привет, как ты?
у нас всё нормалёк, мы даже с Пашей собрались поехать в Таиланд либо в Египет, ну и вот сейчас
обдумываем куда ехать.
И да кстати и фотка которую, обещала послать?
поздновато конечно, но всё же!
работы было многовато эти дни, сейчас уже меньше,
ну, а как у тебя дела кстати?

————————————————————————————

Yana Panova
Тут только одно понятно, что письмо реально предназначено не мне:

  1. обращение к женскому роду
  2. я не знаю Пашу, который собирается в Таиланд или Египет

Опускаемся ниже и идём к предложению, скачать ту самую фотку с названием IMG_1845.JPG.s.exe.

Проверка писем идёт доктором Веб – а это не антивирус, а пародия на него. Он вирусы пропускает, как к себе домой. Название файла, похоже на название фотографий с фотоаппаратов IMG_1845.JPG , но разница есть, концовка другая. Ну, всяко бывает, может у неё фотик такой? Может, но файл с окончанием.exe , никак не может быть фотографией, это загрузочный файл приложения, потому как файлы фотографий.JPG.
Вот тут, уже ум, начинает думать по-другому и гасит интерес к скачиванию файла. Изначально в письме обман, будь это ошибочным письмом или специально посланным. А если это обман, да ещё и загрузочный файл, то как то, напрашивается вопрос! Что он загрузит? Ну, кроме, как Трояна или другого вируса, у меня в голове нет, других мыслей, может я и ошибся с предположением, но лучше не рисковать. Раз не мне, значит не моё! И не смотрите, что там надпись, проверено вирусов нет, потому что:

  1. Загрузочные файлы — не могут проверить антивирусы! Ну не может, он этого сделать. Это всё равно, что врача просить СПИД вылечить.

Может кому не понятно, как я объяснил эту тему в статье, поэтому снял видео, мне кажется там, лучше рассказано и показано. Так, что думайте сами, стоит ли рисковать здоровьем вашего



Енвд

Вам также может понравиться