Примерно с осени 2016 года в Сети распространяется вирус-вымогатель no_more_ransom. Это название вирус получил по расширению, которое он ставит на файлы после шифрования. 

Несколько дней назад наша компания также подверглась атаке этого вируса. Благодаря быстрой реакции системного администратора нам удалось избежать потерь, однако мы считаем необходимым предупредить вас о механизме его работы.

По данным ресурсов spyware-ru и serveradmin.ru, происходит это так:

1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку. В нашем случае это было спам-письмо «от  налоговой». Согласитесь, такие адресанты внушают доверие.

2. Во вложении электронного письма находится присоединенный файл — архив (zip), который в свою очередь содержит выполняемый файл (exe). Именно при попытке его открытия происходит активизация вируса. Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы. Дальше вирус зашифровывает файлы разнообразных типов (документы, картинки, базы данных, включая базы 1С) на компьютере жертвы.

На этом этапе наша коллега заметила, что некоторые файлы исчезли. Предотвратить заражение других офисных компьютеров удалось благодаря тому, что компьютер (по совету сисадмина) мгновенно отключили от питания. Проще говоря — выдернули из розетки.

3. После окончания процесса шифрования, все знакомые файлы исчезают, а в папках, где хранились документы, появляются новые файлы со странными именами и расширением .no_more_ransom. После этого вирус создаёт на всех дисках и Рабочем столе текстовые документы с именам README.txt, README1.txt, README2.txt…, которые содержат инструкцию по расшифровке зашифрованных файлов:

Из-за того, что имена файлов также изменятся, выборочно расшифровать файлы не получится.

«Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда», — предупреждают специалисты. Узнать более подробно о  том, как определить и удалить вирус, а также расшифровать данные вы можете на указанных выше ресурсах.

Нам не известны масштабы последствий этих атак в пределах Украины. Однако уполномоченное ведомство Австралии посчитало, что за период с августа по декабрь 2015 года примерно 16 тысяч человек, компаний и органов государственной власти заплатили в общем $7 млн США после скачивания одного из таких вирусов-вымогателей. Но даже оплата не гарантировала пострадавшим, что им вернут данные.

Как предотвратить заражение? Защить от вирусов-шифровальщиков способны некоторые современные антивирусные и специализированные программы, однако пренебрегать очевидными мерами безопасности — не стоит.

НТЦ «Психея» уже 20 лет ежедневно работает с огромными массивами данных и о важности информационной безопасности в нашей компании говорить не приходится. Несмотря на то, что у нас действует регламент работы с информацией, мы вновь оповестили сотрудников и хотим напомнить вам: «Не открывайте вложенные архивы в письмах почты с неизвестных адресов для исключения вирусных атак».

К сожалению, на сегодня отсутствует объективная статистика по кибератакам на критически важные объекты, к числу которых следует, в первую очередь, отнести энергетические. Впервые кибератака на объект энергетики Украины была зафиксирована 23 декабря 2013 г. Тогда украинскую энергосистему спасло устаревшее оборудование, которое оказалось невосприимчивым к достижениям новейших технологий.

Стоит отметить, что понимание этой проблемы существует на уровне правительства — 15 марта Кабмин утвердил план мероприятий на 2017 год по реализации Стратегии кибербезопасности Украины. Основная миссия – обеспечение и контроль безопасности информационных систем госведомств и объектов критической инфраструктуры.