Данный информация/совет, актуальна/актуальный для всех типов операционных систем, семейства Windows.
На днях, один мой клиент, прислал образцы зашифрованных файлов, неизвестным вирусом-шифровальщиком. Расширение всех зашифрованных файлов, было — *.zqwebtm (например: mix wall (1).JPG.zqwebtm).
Проблема была и в том, что по глупости, «тело» и все антивирусные отчёты, были удалены. Как понятно, первым делом, «прогуглил» таинственное расширение .zqwebtm. Результат — нулевой. Попытка подбора дешифраторов, не принесла успехов. Одна надежда, получить «тело» вируса. Спасибо большое клиенту, так как всё же, оказалось, что карантин антивируса, содержал данного зловреда и не был удалён. Получив тело, мы бы смогли понять, что это за шифровальщик и как себя дальше вести. Но увиденная картина, меня не обрадовало. Тело вируса, было в виде исполняемого файла, а именно – tyg.exe. Тут и стало всё понятно, что это, злостный троян-вымогатель CTB-Locker (полное название: Trojan-Ransom.win32.Onion.vic). Данный вид/подвид шифровальщика, использует нестандартный алгоритм шифрования - Elliptic Curve Diffie-Hellman (если интересно и с английским «дружите», можете почитать на досуге, про данный алгоритм шифрования тут). Второй момент, заключается в том, что управляющие сервера зловреда (сервера, через которые происходят заражения/зашифровки файлов, рассылка зловредов, а также, используются для выдачи ключа для расшифровки файлов) спрятаны в анонимной + зашифрованной сети Tor. Ну и немаловажный момент, выкуп у своих жертв киберзлодеи требуют в электронной валюте Bitcoin (а запутанность данной системы, известна всем). Можно ли перехватить/обмануть сервер данного зловреда? Дело в том, что помимо прямого подключения через Tor, данный троян умеет общаться с управляющими серверами через один из шести веб-сервисов, перенаправляющих запросы из открытого Интернет в Tor. Таким образом, сокрытые управляющие сервера в анонимной + зашифрованной сети Tor, сильно усложняют вычисление самих серверов, а нестандартные схемы шифрования делают невозможной расшифровку файлов, даже, если перехватить трафик между троянцем и управляющим сервером. Поэтому, перехват трафика, это очень нереалистичное предприятие.
Исходя из выше приведённой информации, думаю, всем становиться понятным, что дела плохи. Подбор алгоритма расшифровки, займёт тысячелетия (без преувеличения), а попытки перехватить трафик, приведёт в некуда (в полном смысле этого слова). Так что файлы/данные, которые были зашифрованы Trojan-Ransom.win32.Onion.vic, потеряны безвозвратно. Единственная надежда, если вдруг, данные злоумышленники, будут пойманы, то полученные данные с их серверов, могут содержать ключи расшифровки, которые будут выложены в Сеть. Но когда это будет и будет ли вообще?
Лучший (и в основе своей бесплатный) способ борьбы с программами-вымогателями — это проводить резервное копирование всех ценных файлов не реже чем раз в неделю (и хранить данные копии, желательно на съёмных носителях информации), а также регулярно проверять, в рабочем ли состоянии резервные копии. Надежный антивирус также поможет защитить ваши файлы. Кроме того, следует убедиться, что были установлены все обновления для вашей ОС.
Если ваш компьютер уже заражен, то без ключа, единственная копия которого хранится у преступников, восстановить зашифрованные трояном файлы невозможно. Конечно, вы можете заплатить выкуп, но нет никакой гарантии, что вымогатели любезно пришлют в ответ ключ для расшифровки файлов. Кибервымогательство уже стало серьезным, массовым видом бизнеса, и с приходом «Интернета вещей» ситуация, скорее всего, только ухудшится.
И позвольте, немного полезной «рекламы». На данный момент в Kaspersky Security Network зарегистрирована 361 попытка заражения, в основном в России и на Украине. Функция «Мониторинг активности» (System Watcher) в решениях «Лаборатории Касперского» включает специальную защиту от трояна, описанного в этой статье, и других подобных ему зловредов. Как только подозрительная программа, получает доступ к файлам пользователя, «Мониторинг активности» немедленно создает защищенную локальную копию файла. Поэтому, не следует отключать этот компонент. И на всякий случай, пока вы не заразились, убедитесь, что он включен, — прямо сейчас.
Подводим итог. CTB-Locker — очень серьезная угроза. Пользователи продуктов «Касперского», достаточно защищены от нее, если не отключали модуль «Мониторинг активности». Если ваш компьютер уже заражен, то единственный способ вернуть файлы — заплатить вымогателям. Но, никаких гарантий счастливого исхода нет и в этом случае. Да и стоит ли помогать подобным преступникам, ведь каждая заплаченная сума денег/выкупа, пойдёт на развития данного детища в дальнейшем. Хотя, решать вам и только вам.