Снова о шифровальщиках. Вымогатели стали предлагать купить иммунитет от новых версий и где найти дешифраторы.

Наверное уже сложно найти человека который не слышал про вирусы-шифровальщики, однако, даже зная об опасности, мало кто понимает что ежедневно подвергается риску подцепить эту заразу. Кажется что всё это где-то там... а оно уже вокруг нас здесь и сейчас... алгоритмы криптовымогателей постоянно усовершенствуются и аппетиты их только растут.

Сам стал серьезно задумываться, не пора ли завязывать заниматься серверами, так как риски сильно возросли, а руководство до сих пор не осознало насколько, финансируя IT по остаточному принципу, не вкладывая средства в системы резервного копирования и защиту.

А опасаться есть чего... к примеру, новая малварь KillDisk теперь атакует не только Windows, но и Linux-сервера и рабочие станции. Зашифровав файлы, малварь требует просто безумный выкуп в размере 222 биткоинов, что составляет примерно $210 000 по текущему курсу.

Другой пример. Новинка - криптовымогатель Spora (скорее всего отечественного производства) не такой жадный и даже предлагает купить иммунитет от заражения новыми версиями. На своем сайте в даркнете жертве предлагается целый набор "услуг": расшифровка всех файлов (79$); купить иммунитет против будущих инфекций Spora ($50); удалить все связанные со Spora файлы после оплаты выкупа ($20); восстановить файл ($30); восстановить два файла бесплатно (для организаций ценник будет другим). Подробнее об этом вымогателе сегодня вышла статья в журнале Хакер https://xakep.ru/2017/01/12/spora-ransomware/.

В ноябре прошлого года появилось семейство шифровальщиков DHARMA (расширение .wallet) обладающее тоже весьма не плохими аппетитами (от 3 до 15 биткоинов). Любит распространяться через RDP на Win-серверах и кроме шифрования файлов, также удаляет теневые копии VSS (Volume Shadow Copy Service).

Но небольшие подвижки в борьбе с вымогателями всё-таки есть. Это и упомянутый ранее ресурс ID Ransomware, позволяющий определить тип вымогателя, зашифровавшего файлы. Есть аналогичный ресурс NoMoreRansom.org в сотрудничестве с «Лаборатория Касперского», на котором кроме помощи в определении самого вымогателя, собрано большинство известных декрипторов.

Кстати, на днях «Лаборатория Касперского» представила обновленную версию своего инструмента RannohDecryptor, который теперь справляется с третьей версией шифровальщика CryptXXX и поможет спасти файлы, чье расширение изменилось на .crypt, .cryp1 и .crypz. RannohDecryptor можно скачать с сайта NoMoreRansom.org или с сайта компании «Лаборатория Касперского».