Главная
Полезные инструменты
Как распознать письмо с вирусом . Как распознать письмо от мошенников? Безопасный Wi-Fi - российским детям

Как распознать письмо с вирусом . Как распознать письмо от мошенников? Безопасный Wi-Fi - российским детям

«Письмо с вирусами», то есть вредоносный спам, обязательно содержит либо приложенный файл, либо ссылку на зараженный сайт. Текст письма должен побудить вас открыть файл, или перейти по ссылке – злоумышленники сулят интимные фото (якобы девушка отправляла их своему партнеру, но ошиблась адресом), выигрыш в лотерее (но вы же не покупали билет), или делают вид, что продолжают какую-то переписку с вами.

Вид письма может отличаться в зависимости от того, частью какой вредоносной кампании он является:

Массовая рассылка. Такие письма конструируются в расчете на рассылку по миллионам адресов, поэтому выглядят максимально неперсонифицированно. Это значит, вы не увидите в поле «кому» вашего имени, там будет либо просто ваш адрес электронной посты, либо что-то нейтральное вроде «клиент». Очень часто текст письма искажен, буквы переставлены местами, или текст дан в виде картинки – это делается для преодоления спам-фильтров. Очевидно, такое письмо стоит сразу стереть.

– Целевая атака. Письмо специально сконструировано для вас, причем автор предварительно соберет о вас максимум информации, чтобы письмо выглядело достоверно. Такого рода нападениям подвергаются не только серьезные организации, но и частные лица. К примеру, если ваша пара очень хочет получить доступ к вашей учетной записи в «ВКонтакте», чтобы ознакомиться с вашей перепиской, она может обратиться в один из нелегальных хакерских сервисов, которые проведут на вас целевую атаку и украдут учетные данные.

Если вам присылают файл, и вы заранее не договаривались об этом, стоит уточнить у отправителя по другому каналу связи, действительно ли он вам это отправлял. Если это по каким-то причинам невозможно, начните с того, что сохраните файл на диск, включите отображение известных расширений файлов (например для Windows 10 надо в меню открытой папки выбрать Вид -> Параметры -> Вид, найти в списке «скрывать расширения для зарегистрированных типов файлов» и снять галку). В результате вы увидите истинное расширение файла, и список_литературы.docx явится вам в виде список_литературы.docx.exe. И это на самом деле не документ Microsoft Word, а исполняемый файл вредоносной программы. Помимо.exe могут быть опасны.bat, .cmd и.pdf-файлы. Хорошенько подумайте перед тем, как их запускать.

Если в письме не файл, а ссылка, также не спешите переходить по ней, а поместите поверх нее курсор мыши, чтобы увидеть реальное написание. Распространителям вредоносных программ редко удается заразить легитимные сайты, чаще они создают специальные страницы для заражения посетителей. Адреса их выглядят либо беспорядочно, что выдает автоматическое генерирование (например, что-то вроде adsrgreger.ewtryytv.com), либо это может быть страница, похожая на известную (facebook.babddel.com это не адрес Фейсбука! Это поддомен непонятного babbdel.com).

Эта инструкция не предназначена для технических специалистов, поэтому:

  1. определения некоторых терминов упрощены;
  2. не рассматриваются технические подробности;
  3. не рассматриваются методы защиты системы (установка обновлений, настройка систем безопасности и т.д.).
Инструкция написана мною в помощь сисадминам, желающим провести обучение работников компании, далёких от сферы IT (бухгалтерия, кадры, продажники и т.д), основам кибергигиены.

Глоссарий

Программное обеспечение (далее — ПО) — программа или множество программ, используемых для управления компьютером.

Шифрование — это преобразование данных в вид, недоступный для чтения без ключа шифрования.

Ключ шифрования — это секретная информация, используемая при шифровании/расшифровке файлов.

Дешифратор — программа, реализующая алгоритм расшифровывания.

Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.

Почтовое вложение — файл, прикреплённый к электронному письму.

Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg, то запуститься просмотрщик изображений и т.д.

Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.

Текстовый файл — компьютерный файл, содержащий текстовые данные.

Архивация — это сжатие, то есть уменьшение размера файла.

Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.

Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.


Что это такое — вирус-шифровальщик?

Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы и таблицы MS Office (docx , xlsx ), изображения (jpeg , png , tif ), видеофайлы (avi , mpeg , mkv и др.), документы в формате pdf и др., а также файлы баз данных — 1С (1CD , dbf ), Акцент (mdf ). Системные файлы и программы обычно не шифруются, чтобы сохранить работоспособность Windows и дать пользователю возможность связаться с вымогателем. В редких случаях шифруется диск целиком, загрузка Windows в этом случае невозможна.

В чём опасность таких вирусов?

В подавляющем большинстве случаев расшифровка собственными силами НЕВОЗМОЖНА, т.к. используются чрезвычайно сложные алгоритмы шифрования. В очень редких случаях файлы можно расшифровать, если произошло заражение уже известным типом вируса, для которого производители антивирусов выпустили дешифратор, но даже в этом случае не гарантируется восстановление информации на 100%. Иногда вирус имеет изъян в своём коде, и дешифровка становиться невозможна в принципе, даже автором вредоносной программы.

В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления.

Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, т.к. используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, клиент-банк), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.

Пути заражения.

Чаще всего заражение происходит через почтовые вложения. Пользователю приходит письмо по электронной почте от известного ему адресата или замаскированного под какую-либо организацию (налоговая, банк). В письме может содержаться просьба провести бухгалтерскую сверку, подтвердить оплату счёта, предложение ознакомиться с кредитной задолженностью в банке или что-то подобное. То есть, информация будет такова, что непременно заинтересует или испугает пользователя и побудит открыть почтовое вложение с вирусом. Чаще всего это будет выглядеть как архив, внутри которого находится файл с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. После запуска такого файла сразу же или через некоторое время начинается процесс шифрования файлов на ПК. Также заражённый файл может быть прислан пользователю в одной из программ для обмена мгновенными сообщениями (Skype, Viber и др.).

Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке на сайте или в теле письма.

Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространится на другие машины, используя уязвимости в Windows или/и в установленных программах.

Признаки заражения.

  1. Очень часто после запуска файла, приложенного к письму, наблюдается высокая активность жёсткого диска, процессор загружен до 100%, т.е. компьютер начинает сильно «тормозить».
  2. Через некоторое время после запуска вируса ПК внезапно перезагружается (в большинстве случаев).
  3. После перезагрузки открывается текстовый файл, в котором сообщается, что файлы пользователя зашифрованы и указываются контакты для связи (электронная почта). Иногда вместо открытия файла обои рабочего стола заменяются на текст с требованием выкупа.
  4. Большинство файлов пользователя (документы, фото, базы данных) оказываются с другим расширением (например — *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl и др.) или вообще полностью переименованы, и не открываются никакой программой, даже если поменять расширение. Иногда шифруется ­жёсткий диск целиком. В этом случае Windows вообще не загружается, а сообщение с требованием выкупа показывается почти сразу после включения ПК.
  5. Иногда все файлы пользователя оказываются помещены в один архив, защищённый паролем. Это происходит, если злоумышленник проникает на ПК и производит архивирование и удаление файлов вручную. Т.е., при запуске вредоносного файла из почтового вложения файлы пользователя не шифруются автоматически, а происходит установка программного обеспечения, позволяющего злоумышленнику скрытно подключиться к ПК через интернет.

Пример текста с требованием выкупа

Что делать, если заражение уже произошло?

  1. Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит»; открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них стали появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!
  2. Если шифрование уже состоялось, ни в коем случае не стоит пытаться самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком.

В обеих случаях нужно немедленно сообщить о происшествии системному администратору.


ВАЖНО!!!

Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.

Как предотвратить заражение или свести его последствия к минимуму?

  1. Не открывайте подозрительные письма, особенно с вложениями (как распознать такие письма — см. ниже).
  2. Не переходите по подозрительным ссылкам на сайтах и в присланных письмах.
  3. Не скачивайте и не устанавливайте программы из недоверенных источников (сайты со взломанным ПО, торрент-трекеры).
  4. Всегда делайте резервные копии важных файлов. Наилучшим вариантом будет хранить резервные копии на другом носителе, не подключённом к ПК (флэшка, внешний диск, DVD-диск), или в облаке (например, Яндекс.Диск). Часто вирус шифрует и файлы архивов (zip, rar, 7z), поэтому хранить резервные копии на том же ПК, где хранятся исходные файлы — бессмысленно.

Как распознать вредоносное письмо?

1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, счёт или резюме.

2. В письме содержится информация, не имеющая отношения к нашей стране, региону или сфере деятельности нашей компании. Например, требование погасить долг в банке, зарегистрированном в РФ.

3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.

4. Письмо пришло якобы от известной компании, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.

5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.

6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.

7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.

8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. Также, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятно, что его ПК взломали или заразили вирусом.
Пример вредоносного письма

В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?

Вы обнаружили в своем электронном ящике письмо от компании Visa о том, что ваша кредитная карта заблокирована и теперь вам придется подтвердить свои данные на сайте фирмы, чтобы ее активировать. Адрес отправителя содержит маркер «visa.com». Присутствует обращение к вам по имени. Следует ли выполнять указанные в сообщении действия или лучше сразу удалить письмо? CHIP расскажет, как распознать опасность.

Распознаем фишинговые письма

Сфальсифицированное сообщение распознается не только по отправителю - как раз эта информация легко подделывается злоумышленниками. Указанием на аутентичность адреса является сервер электронной почты , через который было отправлено письмо. Его вы найдете в исходном тексте сообщения, вызвав его, например, в Outlook через «Файл | Свойства».

В Gmail откройте письмо и нажмите на стрелку рядом с кнопкой для ответа. Здесь выберите «Показать оригинал». Сервер отправителя указан в строчке «Received». Его домен должен совпадать с доменом компании, от которой пришло письмо. Если есть отличия, то высок риск, что речь идет о фишинге. Такое письмо лучше всего удалить.

И все же проверка сервера тоже не всегда помогает . В частности, небольшие фирмы пользуются почтовыми серверами внешних поставщиков, и в этом случае домен не будет совпадать с корпоративным адресом. Однако злоумышленники, как правило, подделывают только крупные веб-сайты, поэтому подобная проверка является неплохим способом.

В особых случаях киберпреступники целенаправленно выбирают не самый крупный концерн. Чтобы вирус через письмо попал на ПК, они маскируют сообщения под уведомления от коллекторских компаний. Таким образом хакеры могут обойти обязательную проверку почтового сервера, поскольку просто подбирают имя компании под используемый адрес сервера. К письму прилагается вложение с долговым требованием, и зачастую этот файл несет в себе вирус.

Некоторые письма сопровождаются даже обращением к адресату по имени . Но не дайте себя обмануть: такая информация берется из стандартных баз данных с адресами, которые собираются, например, по следам различных лотерей и розыгрышей.

Искусные подделки

Киберпреступники с помощью поддельных электронных писем хотят добраться до ваших данных. Для этого мошенники используют «шапки», которые выглядят как настоящие, якобы правильные адреса отправителей и персональные обращения по имени.

Письма от друзей

Не всегда стоит безоговорочно доверять и письмам от известных вам отправителей, поскольку ваши знакомые также могут стать жертвой вирусной атаки. Существует два сценария : вы получаете электронное сообщение от друга, содержимое которого представляет собой сплошную рекламу, либо же текст письма вынуждает пройти по указанной рядом ссылке.


Не доверяйте слепо таким письмам! Как правило, их подлинность также получится проверить с помощью почтового сервера: домены должны совпадать с названием сервера отправителя. Поможет настройка сортировки антиспам-фильтра.

Зачастую в качестве спама классифицируются определенные элементы текста. Чтобы действовать наверняка, позвоните своему знакомому. Скорее всего, он будет вам благодарен за предупреждение о вирусе, который высылает подобные письма.


Отправитель запрашивает даже номер кредитной карты. Введенные
данные попадают напрямую в руки хакеров

Признаки подлинного письма

В свойствах письма вы найдете в том числе сервер (1) , имя которого должно подходить отправителю. В идеале также присутствует сигнатура (2) , которую проверяют современные почтовые клиенты.

Сегодня одной из актуальных разновидностей вредоносного ПО «компьютерного вируса» является вирус «шифровальщик».

В основном компьютер подвергается инфицированию через спам-письмо с вложением якобы от исполнительных органов власти или федеральных структур, например ФНС, службы судебных приставов, ГИБДД и других. После попадания в компьютер вирус шифрует все файлы, находящиеся на жестком диске, которые представляют ценность для (фото, видео, документы и т.д.).

При попытке открыть зашифрованные файлы, на экране появляется сообщение с требованием перевести определенную сумму денег за восстановление файлов.
Суммы варьируются и доходят до сотни тысяч рублей.


Сергей Игнатьев, заместитель генерального директора по IT развитию и продвижению ООО «ГЕЛИОС-С»:

Появление такого или похожего сообщения уже означает, что вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители.
Как правило, в большинстве случае вы получили и открыли электронное письмо от вызывающего у вас доверие контрагента или отправителя, завуалированного под известную организацию. В теме может содержаться просьба провести акт сверки бухгалтерских операций за какой-то период, предоставить подтверждение оплаты счета, ознакомиться с кредитной задолженностью и т.д.
Самое главное, что информация обычно составлена таким образом, что обязательно вас заинтересует, и вы откроете вложенный файл с вирусом, который прикреплен к электронному письму. Этого и добиваются мошенники.

Итак, вы открываете вложение, которое имеет расширение «js», «exe», или «bat», а по идее не должны бы. Все мы прекрасно знаем расширения файлов, с которыми работаем. В основном это расширения офисных приложений: doc, docx, xls, odt. Данный файл скачивает с сервера злоумышленников троян или баннер, и программу для шифрования. Складывает все это во временную папку пользователя и сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ.

В качестве шифровальщика (на примере vault) выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования - RSA-1024 . По сути, эта утилита много где используется, не является вредоносным объектом сама по себе, следовательно, антивирусные программные продукты пропускают и не реагируют на ее работу.
Что делать?
Вариантов, к несчастью, мало. На просторах интернета, есть довольно много информации о том, как попытаться расшифровать файлы vault, xtbl, ytbl и т.д. К сожалению, все эти рекомендации мало чем помогают, к тому же попытки самостоятельной расшифровки файлов зачастую приводят к невозможности дешифровки, даже при наличии закрытого ключа шифрования.
Помощи от антивирусных компаний ждать тоже не приходится. RSA-1024 – очень серьезный и сложный процесс шифрования, и на ваш запрос в любую антивирусную лабораторию вы получите примерно следующее: «К сожалению, помочь не сможем, за приемлемое время расшифровка невозможна».
В свободном доступе есть такие утилиты для дешифровки, как: Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor или Xorist Decryptor, но они помогают только для отдельных типов шифровщиков, в случае с vault, xtbl они не срабатывают.
Основная рекомендация от наших защитников: обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Есть еще возможность заплатить злоумышленникам, но мы же не хотим своими деньгами поддерживать мошенников, да и вероятность возвращения наших драгоценных данных - 50 на 50.

Рассмотрим, как же все-таки мы можем предотвратить эти крайне нежелательные действия над нашими файлами или хотя бы снизить их коэффициент влияния на работоспособность нашего бизнеса.
Итак, первое и, наверно, самое главное: резервное копирование - наше «ВСЁ». Не пожалейте денег, сил и времени на резервное копирование данных. Съемный жесткий диск, стоит гораздо дешевле тех денег, которые просят вымогатели за расшифровку данных. Копирование критически важных для вас данных: баз 1С, текстовых документов, таблиц на съемный носитель, хотя бы раз в неделю не займет много времени, но сэкономит массу нервов и денег в случае шифровки данных на компьютере.
Второе: настоятельно рекомендуем настроить параметры восстановления системы и теневые копии папок. По опыту это спасает в 95 процентах случаев заражения и шифрования данных. Третье: Антивирусная защита обязательна. Наличие проверенного и зарекомендовавшего себя с лучшей стороны антивирусного программного обеспечения, с последними обновлениями сигнатурных баз поможет вам защититься от непредвиденных и неприятных ситуаций.
Ну, и последнее: не открывайте файлы неизвестного вам типа. Не может файл с расширением exe или bat быть актом сверки, или, например, резюме соискателя. Ну не может владелец почты [email protected] знать о блокировке ваших лицензий 1С или о вашей задолженности по кредиту в банке. Повышайте компьютерную грамотность свою и ваших сотрудников. Это в современной жизни обязательно пригодится.



Полезные инструменты

Вам также может понравиться