Как юзеру не превратится в лузера?..

 Да очень просто, в первую очередь, надо поумерить свое любопытство и всегда «прежде, чем что-то отрезать, нужно разков этак десять отмерить». Да, а по-другому в сети никак нельзя. Приведу пример. В середине декабря прошлого года к нам в редакцию обратился наш постоянный читатель Владимир, и вот какую историю он поведал.

В декабре ему пришло письмо от некоей фирмы, назовем её N, где вместе с заархивированным файлом в формате rar была приложена сопроводительная записка с пояснением: «Все, что вы просили, отправляем вам письмом с вложением, подтвердите, устроила ли вас информация, ждем ответа, с уважением, ген. директор фирмы N.».

Владимир, немного покрутив в голове мысли, решил, что это ему отправили информацию от автодилера, куда он ранее заходил и задавал письменный вопрос по поводу автокредитования и скидок, ответа он тогда не получил, но посчитал, что сейчас ему дилеры и ответили. Недолго думая, он открыл электронную ссылку — тут же появился архивированный файл, он на него навел курсор и пару раз щелкнул, но файл так и не открылся. Заглючило что-то, подумал Владимир, и закрыл письмо от фирмы N. Далее он занялся своей работой с документами, к компьютеру у него было подключено еще два внешних носителя с разными документами, фирмами, куда он отправлял заявки на поставку продукцию, ответы и прочее, в общем, трудовая рутина. Но самое интересное начнется впереди. В конце рабочего дня он начал закрывать папки, с которыми работал, почти все, вроде, закрыл и вдруг документы и папки на рабочем столе поменяли очертания, они стали одинаковыми, как близнецы, пропали названия папок и документов… В общем, они зашифровались и открыть их стало невозможно, а самое главное, на экране монитора появился текстовый баннер с жирными, крупными буквами, где было написано:

ВНИМАНИЕ!

Все важные файлы на всех дисках вашего компьютера были зашифрованы.

Подробности вы можете прочитать в файлах README.txt,

которые можно найти на любом из дисков.

Далее он открыл файл README, а там на русском и английском языках было написано следующее, цитирую дословно:

«Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

95AC4F3BA0D4D37B654A|0

на электронный адрес files1147@gmail.com.

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации».

Владимир попросил у меня помощи, в полицию обращаться не захотел, посчитав это лишней тратой времени. Я в первую очередь посоветовал ему вступить с мошенниками в переписку, потянуть время, и только лишь ради сбора информации узнать, каковы условия мошенников по дешифровке, а еще я ему порекомендовал, что ни в коем случае нельзя платить мошенникам деньги. Они их, конечно, с радостью возьмут, а потом растворятся, «ищи ветра в поле», зачем им расшифровывать, они же настоящие мошенники, которые в 90%, не исключено, что и в 100% не выполняют своих обещаний. Пока Владимир переписывался с мошенниками, я попытался подключить двух моих знакомых братских программистов расшифровать файлы, но, к сожалению, случай оказался очень тяжелый. Как они мне объяснили, это достаточно новый вирус-шифровальщик и нашим программистам он не поддался. Помогать — так уж помогать, решил я и начал искать в сети фирмы, специализирующиеся на расшифровке. Нашел несколько объявлений из Москвы и Питера о фирмах-дешифровщиках. Позвонив по нескольким из этих номеров, я начал подозревать, что работает одна и та же фирма, потому как звонил по одному номеру, разговаривал с менеджером С.М.А, который, видимо, по запарке мне скинул свои контактные данные, но уже с другим бесплатным федеральным номером (где на сайте было указано название другой фирмы), то есть в объявлении этот номер якобы другой фирмы, но так как менеджер один на двух номерах, вот я и подумал: или это одна и та же фирма работает, или, скажем, что-то типа группы компаний, принадлежащих одному холдингу (хозяину). Да в общем-то, не суть важно, одна это компания или несколько. Эти фирмы (ма) гарантировали, что деньги за расшифровку они будут брать только после того, как подберут дешифровочный ключ. В разговоре с менеджером я пояснил, что звоню по поручению своего знакомого, попавшего в эту ситуацию. В процессе обсуждения менеджер Максим попросил отправить им два-три зашифрованных файла, чтобы посмотреть. Я отправил файлы, которые накануне получил от Владимира. А через несколько часов пришел ответ, что случай тут очень тяжелый и процесс дешифровки может занять от двух до шести суток, оплата за дешифровку составит 19 тысяч рублей. Также просили подтвердить, готовы ли мы платить, если да, тогда они сразу же приступают к дешифровке. А буквально через час после этого разговора мне позвонил Владимир и сообщил, что мошенникам он написал письмо и почти сразу же получил от них ответ с инструкцией (цитирую дословно):

«Стоимость дешифровки 12000 руб. Пришлите 1 файл и мы расшифруем в качестве подтверждения того, что файлы могут быть восстановлены. В течение от 5 минут до часа с момента оплаты вышлем ключ и программу, которая в точности вернет все как было».

Он отправил им зашифрованный файл, а через некоторое время от мошенников получил его (документ) расшифрованным в качестве доказательства того, что у них действительно есть ключ к дешифровке. Владимир спросил у меня, а может, стоит рискнуть и заплатить им эти 12 тысяч? Я ответил, что ни в коем случае этого делать нельзя: как только он отправит мошенникам деньги, их и след пропадет. В общем, я ему высказал свое мнение, если он хочет потерять деньги и к тому же не расшифровать свой архив, то пусть отправляет. Владимир, после пятиминутного раздумья, прислушался к моим советам и решил не рисковать. Я его попросил отправить мне на почтовый ящик письмо мошенников с вирусом для анализа и для возможного в дальнейшем взаимодействия с полицией, но Владимир, зайдя к себе на почту, этого письма не обнаружил… Оно после того, как Владимир сам запустил во вложении вирус-шифровальщик, самоуничтожилось, видимо, мошенники сейчас не просто мошенники, а супер-продвинутые программисты: был вирус да сплыл. Нет вируса — нет письма — нет доказательств, значит, если логически рассудить — нет и самого факта получения вируса по почте, значит, и факт преступления остается под вопросом… Сразу после этой беседы мне пришлось плотно промониторить серьезные форумы, и в процессе сбора информации я выяснил, что, оказывается, такие случаи были кое с кем из пользователей. Как только человек открывал заархивированный файл, он, естественно, запускал вирус-шифровальщик, а после того, как шифровальщик все зашифровывал, данное письмо самоуничтожалось. Вот такие сейчас серьезные ребята-мошенники, им палец в рот не клади, иначе оттяпают по самую голову. Так вот, дорогие друзья, остановить вирус-шифровальщик, как утверждают опытные пользователи, невозможно, ни в коем случае нельзя перезагружать компьютер, нужно выключить его от питания и больше не включать, если он, конечно, не успел зашифровать все диски, а потом думать и решать, что и как делать дальше. В любом случае, вирус этот простому пользователю остановить вряд ли удастся, он будет автоматически шифровать все файлы, пока жесткие диски и другие внешние носители, подключенные к компьютеру, не зашифрует.

Прочитал я внимательно отзывы на форумах о фирмах-дешифровщиках, где пользователи говорили, что да, они берут за работу немалые деньги, но никого, вроде бы, не кидали: кто заплатил, всем присылали ключи-дешифраторы. А вот так навскидку расшифровать даже опытным программистам этот вирус-шифровальщик не удавалось, в сети говорится, что даже и «Касперский» против этого вируса бессилен.

После наших логических рассуждений с Владимиром он все же решил рискнуть, ведь фирма хоть и работает в сети, но у них есть свой почтовый адрес, номера контактных телефонов и зарабатывают они деньги, вроде как, законно, и, наверное, немалые. Владимир решил, что реклама кидалова фирме-дешифровщику явно не нужна, и тут я с ним был в принципе согласен, хотя в моей голове мелькнула мысль, что и мошенники, отправляющие вирусы-шифровщики, и фирмачи-дешифраторы могут работать в тандеме, хотя кто может дать гарантию, что это вообще не одни и те же люди? Я об этом, конечно, сказал Владимиру, но в то же время, тут есть хотя бы от чего оттолкнуться, телефонные разговоры, например, тоже могут быть приобщены в качестве косвенных доказательств, переписка между ним и представителем фирмы. Да, и еще момент, фирма даже готова была предоставить по требованию заказчика отчет (смету) за выполненные работы (типа где и сколько они заплатили за аренду мощнейших серверов и т.д.). Повторяю свои предположения: не исключаю версию, что мошенники и фирмы-дешифраторы — это или одни и те же лица, или лица разные, но имеющие «деловые» контакты друг с другом, хотя тут, конечно, утверждать однозначно я не могу, а вдруг ошибаюсь?..

У Владимира зашифровался рабочий комп со всеми файлами, в том числе и база данных программы 1С, кроме этого у него было подключено еще два внешних носителя, которые, естественно, также зашифровались, поэтому он решил рискнуть и заплатить фирме за дешифровку 19 тысяч. Практически сразу после своего решения он им отправил согласие на оплату, а фирма начала подбирать дешифровочный ключ, почти трое суток им понадобилось для дешифровки. После этого он им сразу перевел деньги, а фирма ему отправила программу-дешифратор. После выполнения высланных фирмой инструкций о дешифровщике программа заработала и началась расшифровка файлов. Много мошенники ему зашифровали — больше 12 часов понадобилось, чтобы расшифровать все файлы.

Но история на этом не закончилась, она будет продолжаться и дальше! Мошенникам нужны деньги – много денег. Им, как вампирам, нужна кровь, много свежей крови. Так вот, несколько дней назад и мне пришло письмо «счастья» от «ООО «РЕАЛ 2008» С ТАКИМ ИНТРИГУЮЩИМ ПОСЛАНИЕМ:

Ну надо же, чуть не пожалел я «бедолаг» — ФНС выемку у них делает, а почему просто в формате PDF не отправили, зачем нужно было во вложении? Затем, подумал я, чтобы запустить вирус-шифровальщик — уверен в этом на 99,9%. А чтобы убедиться в этом на 100%, я сделал следующее:

внутри присланного архива находится файл с расширением .scr, т.е исполняемый скрипт. Проверка файла на сайте virustotal подтвердила мои догадки об инфицированности файла.

И в заключение. Советую всем, кто прочтет мою статью, даже если вы имеете некоторый опыт сетевого хождения или вы еще только начинающий интернет-пользователь (юзер) — ни в коем случае не пытайтесь открывать непонятные для вас электронные ссылки на вашей почте. Иначе кроме потери всех файлов придется ещё и переустанавливать операционную систему (Windows и т.д.) на компьютере. Кроме этого, хочу заметить, что, к сожалению, в сети мошенники пока чувствуют себя как дома. Вы можете, заходя в интернете на различные ресурсы, поймать какой-либо вирус попроще, например, обычное дело — выскочил баннер, где написано, что ваш компьютер заблокирован и вы должны по этому номеру для разблокировки отправить СМС или перевести энную сумму. Бывает, если на этот баннер нарвался неопытный пользователь, он начинает нервничать, думает, что его действительно заблокировали, потому как баннер действительно блокирует другие открытые вами страницы и вы не можете ни перейти на другую, ни закрыть его… Но ни в коем случае не советую вам нажимать на баннере какое-либо окно типа «ОК». Успокойтесь, не паникуйте, попробуйте перезагрузить компьютер и баннер с «блокировкой» должен исчезнуть. Ну, а с вирусом-шифровальщиком намного сложнее, если вы его, конечно, зацепили — никуда он не исчезнет. Мошенники для того и шлют его, чтобы люди запускали вирусы-шифровальщики. Письма «счастья» часто приходят гражданам от имени судебных приставов, полиции, прокуратуры, налоговой инспекции и т.д.

А еще мошенники внедрили новый метод, как заражать вирусами компьютеры ничего не подозревающих пользователей. Для своих целей они выбрали онлайн-магазин игр Steam, информируют в антивирусной компании ESET.

Злоумышленники начали создавать фальшивые страницы с играми, которые полностью скопированы с настоящих игровых страниц в Steam. При выборе поддельной игры пользователь сразу же перенаправлялся на страницу загрузки вредоносного программного обеспечения. (http://www.rg.ru/2015/04/14/steam-site.html )

Кроме этого, мошенниками копируются страницы известных сайтов и в сети появляются фальшивые сайты-двойники, которые визуально на первый взгляд ничем не отличаются от оригинала. Это могут быть также и интернет-магазины, где люди покупают вещи подешевле, и другие.

В общем, совет всем пользователям, особенно тем, кто работает с программами 1С, — регулярно выполняйте резервное копирование на внешний диск наиболее важной для вас информации и следите очень внимательно за письмами. Непонятные письма с вложениями старайтесь без лишней необходимости не открывать. И помните, мошенникам никогда и нисколько не надо платить, а иначе вы сами их провоцируете для дальнейшего совершения преступлений.

ВИКТОР КАСИЩЕВ.

6 комментариев на “Как юзеру не превратится в лузера?..”