Трояни-шифрувальники сімейства Trojan.Encoder як і раніше залишаються реальною загрозою: щомісяця в компанію «Доктор Веб» надходять сотні запитів від користувачів, чиї файли постраждали від дій цих шкідливих програм.
Специфіка цієї проблеми в тому, що далеко не завжди файли піддаються розшифровці, а випадки виплат викупу зловмисникам все ще не поодинокі. Останній гучний випадок – атака енкодерів на американську компанію Colonial Pipeline, в результаті якої оператор трубопроводу виплатив хакерам величезну суму в біткойнах, щоб відновити працездатність своєї інфраструктури.
За великим рахунком, кожен випадок зараження енкодера унікальний: ймовірність розшифрувати файл після вірусу-шифрувальника багато в чому залежить від його алгоритму роботи, застосовуваних методів шифрування, наявності помилок в коді трояна, можливості отримати ключі шифрування і т. д.
В даний час за нашою статистикою розшифровка пошкоджених цими троянами файлів силами фахівців компанії можлива менш ніж в 1% випадків.
Але це не означає, що до розшифровки даних не можна застосовувати загальні алгоритми і домагатися високих показників по відновленню зіпсованих файлів без необхідності виплачувати гроші зловмисникам.
Так, свого часу «Доктор Веб» став першою компанією, якій вдалося розробити механізм, що дозволяє з ймовірністю в 90% відновити файли, зашифровані зловмисниками з використанням шкідливої програми Trojan.Encoder.398. Для цього була проведена серйозна науково-дослідна робота, що тривала кілька місяців, яка принесла свої плоди. До цього моменту відновлення даних, зіпсованих цим шифрувальником, вважалося неможливим.
Інший приклад – створення методики розшифровки файлів, які були зашифровані трояном-енкодером, сумнозвісним як Vault (за класифікацією Dr.Web – Trojan.Encoder.2843). У 2015 році ця шкідлива програма активно поширювалася за допомогою поштових розсилок. Для розробки «протиотрути» принцип дії цього шифрувальника був досконально вивчений, і в результаті багато користувачів позбулися необхідності йти на поводу у вимагачів.
У 2016 році розшифровці стали піддаватися дані, пошкоджені в результаті дій шкідливої програми CryptXXX (Trojan.Encoder.4393), в 2017 – Trojan.Encoder.10465. У цих та багатьох інших випадках потерпілі користувачі могли звернутися в службу технічної підтримки, отримати кваліфіковану допомогу фахівців і скористатися спеціально розробленими утилітами для розшифровки.
Окремо відзначимо, що при зіткненні з енкодером важливо дотримуватися ряду заходів, які дозволять не погіршити ситуацію і можливо розшифрувати файли після вірусу-шифрувальника.
Як не погіршити ситуацію після роботи вірусу-шифрувальника?
Не можна намагатися видаляти будь-які файли з комп’ютера або перевстановлювати ОС, а також користуватися зараженим ПК до отримання інструкцій від професіоналів.
Якщо енкодер поширювався через електронну пошту, лист з вкладенням, після якого файли виявилися зашифровані, також потрібно зберегти. Якщо було запущено антивірусне сканування, не слід вживати будь-які дії щодо лікування або видалення виявлених шкідливих програм – вони можуть знадобитися фахівцям в процесі пошуку ключа для розшифрування файлів.
Що стосується рекомендацій щодо захисту від енкодерів, то вони досить прості. Щоб уникнути зараження необхідно:
- використовувати антивірус;
- встановлювати всі оновлення ОС і програм на комп’ютері;
- регулярно створювати резервні копії важливих даних;
- не переходити за посиланнями, що надійшли від невідомих користувачів, в повідомленнях електронної пошти;
- не відкривати файли з повідомлень від невідомих відправників;
- не користуватися піратським софтом.