Уважаемый клиент!

Предупреждаю о росте активности вредоносных программ-шифраторов и повышенном риске заражения корпоративной сети. Среди возможных последствий заражения:

• Шифрование конфиденциальной информации и файлов, в том числе баз данных 1С, документов, изображений – формат зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам, вследствие чего зашифрованные данные сложно восстановить.
• В некоторых случаях, завершив шифрование файлов, вредоносная программа автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.

После выполнения вредоносных действий на экране зараженного компьютера появляется окно с требованиями вымогателей, которые необходимо выполнить для получения дешифратора.

Схема заражения

Как правило, перед заражением на электронную почту пользователя приходит письмо с неизвестного адреса с приложенным архивом (*.rar, *.zip, *.cab), документом со встроенными макросами (*.doc, *.docx), либо скриптом (*.js). В теме письма говорится о чем-то важном – о задолженности, взыскании долга и пр. В архив может быть вложено два файла, например, «порядок работы с просроченной задолженностью.doc» и «постановление суда.exe».

После запуска вирус начинает шифрование в фоновом режиме, втайне от пользователя. Вирус шифрует файлы различных форматов, например *.doc, *.jpg, *.pdf и файлы базы данных 1С, добавляя произвольное расширение.

Когда процесс шифрования завершен, на экране устройства появляется окно с требованием вымогателей, а вирус в некоторых случаях бесследно удаляется с компьютера.

Для снижения риска заражения шифратором необходимо соблюдать определенные требования безопасности:

• Убедитесь, что на ваших компьютерах включены настройки автоматических обновлений операционной системы и установлены все критические обновления.
• В случае если вы работаете через Удаленный рабочий стол, злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP). Наиболее серьезная из этих уязвимостей позволяет осуществить удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола отключен во всех операционных системах Microsoft Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости. Мы рекомендуем закрыть доступ по RDP извне и разрешить подключения по RDP только в пределах локальной сети.
• Используйте антивирусные решения. Проверьте отвечает ли всем требованиям ваша версия антивируса. Когда было последнее обновление баз? Как правило в антивирусных пакета стоит дата последнего обновления.
• Во вложенных письмах нельзя открывать файлы  *.exe и *.js . Если вы не ждете получения письма с вложением, то не открывайте вложенные файлы или письма от людей которых вы не знаете. Зачастую шифраторы рассылаются злоумышленниками в виде вложения в email «от арбитражного суда о взыскании задолженности» и другим подобным содержанием, побуждающим открыть вложенный файл и тем самым запустить шифратор.
• Регулярно осуществляйте резервное копирование важной информации, хранящейся на вашем компьютере. Начиная с Windows Vista в состав операционных систем Microsoft входит служба защиты системы на всех дисках, которая создает резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить данную функцию для всех разделов.

Что делать, если заражение уже произошло?

Если вы стали жертвой и ваши файлы зашифрованы, не спешите переводить на счет мошенников деньги для подбора дешифратора.

Как можно скорее выключите компьютер и вызовите инженера по ИТ или программиста. Самое главное спасти документы на компьютере и базу 1С. Так что не может быть никакой речи о том что "сейчас мы доработаем до конца дня, а потом забирайте". Действовать надо сейчас, пока ущерб минимальный.

Как правило процесс шифрования, который сейчас скрытно от вас запущен на компьютере, требует ресурсы компьютера, так что если вы заметили существенные задержки при работе вашего ПК, то немедленно обращайтесь с жалобой с программисту.