Шыфравальшчык paycrypt@gmail.com: як расшыфраваць

Як вядома, вірусаў і шкоднасных праграм у Сусветнай павуціне з кожным днём з'яўляецца ўсё больш. Але сёння наступствы іх уздзеяння выходзяць далёка за рамкі парушэнні працы сістэмы. Усё больш зламыснікі пачынаюць вымагаць грошы. Да такіх пагроз адносіцца і вірус paycrypt @ gmail_com, які з'яўляецца шыфравальшчыкам. З'явіўся ён адносна нядаўна, так што барацьба з ім - справа досыць працаёмкае.

Што ўяўляе сабой вірус paycrypt @ gmail_com?

У прынцыпе, сама «зараза» працуе па накатаным алгарытме, прымянення яшчэ ў самых вядомых вірусах накшталт CBF, XTBL і I Love You.

Не ўдаючыся ў схему яго працы, можна сказаць толькі адно: наступствы яго ўздзеянне заключаецца ў тым, што ўсе карыстацкія файлы і дакументы аказваюцца зашыфраванымі адмысловым алгарытмам, які самі хакеры называюць RSA-1024. У канчатковым выніку пасля шыфравання ні адзін дакумент або карыстацкі файл без спецыяльнага ключа адкрыць немагчыма.

У імёнах файлаў у дадатак да існуючага пашырэнню прапісваецца paycrypt @ gmail_com. Як расшыфраваць такія файлы (і ці магчыма гэта наогул), мы зараз і паглядзім.

Як вірус пранікае ў сістэму?

Пранікненне пагрозы на асобны тэрмінал ці нават у лакальную сетку можа ажыццяўляцца некалькімі спосабамі. Самымі распаўсюджанымі з'яўляюцца электронная пошта, якая змяшчае ўкладанні, праграмы-загрузнікі, чапляцца вірус непасрэдна на заражаным сайце, або схаваныя аб'екты, якія актывуюцца пры капіяванні інфармацыі са здымных носьбітаў. Часам яе можна «падхапіць», нават проста клікнуўшы на рэкламным банеры.

Як лічыцца, электронная пошта - асноўны тунэль. Гэта не тычыцца паштовых сервераў, а выключна уліковых запісаў, якія выкарыстоўваюцца ў стацыянарных праграмах накшталт Outlook або іншых прыкладанняў, устаноўленых на кампутарных тэрміналах.

Карыстальнік адкрывае, дапусцім, паведамленне аб змене ў дамове паставак прадукцыі і глядзіць ўкладанне. У ім маецца нейкі файл. Калі бачыце, што пашырэнне невядома, лепш яго не адчыняць наогул. Але прыпіска, маўляў, ва ўкладанні змяшчаецца скан-копія новага варыянту дамовы, усіх збівае з панталыку, і карыстальнік адкрывае файл, проста нават не задумваючыся.

Але вельмі часта можна сустрэць ўкладанне ў выглядзе звычайнага тэкставага файла ці Word-дакумента. Карыстальнік клікае на ім, і ... пайшло-паехала (заўважце, перайменаваць любы файл, прысвоіўшы яму пашырэнне .txt, .doc або пашырэнне графічнага аб'екта .jpg можна, як той казаў, цалкам элементарна. А сістэма бачыць перад сабой зарэгістраваны тып файла і тут жа спрабуе яго адкрыць).

Часам ва ўкладанні сустракаецца выкананы JS-файл (Java Script), адкрываць які нельга наогул!

Першай прыкметай ўздзеяння з'яўляецца маментальнае «тармажэнне» кампутара. Гэта сведчыць аб празмернай нагрузкі на сістэмныя рэсурсы з прычыны таго, што укладзены ў файл paycrypt @ gmail_com шкоднасны код пачаў працэс шыфравання. Ён, дарэчы, можа займаць досыць працяглы час, і ніякая перазагрузка не дапаможа. Калі перазагрузіць сістэму, вірус зноў пачне сваю чорную справу. Па заканчэнні працэсу атрымліваем цалкам зашыфраваныя файлы paycrypt @ gmail_com. Як расшыфраваць іх, мы, натуральна, не разумеем. Інструкцыя па меркаваным дзеянням крыху пазней прапануецца самімі зламыснікамі.

Алгарытм патрабаванняў хакераў

Звычайныя карыстальнікі «падхопліваюць» гэты вірус, увогуле-то, нячаста. Ён, хутчэй, арыентаваны на камерцыйныя структуры і арганізацыі. Пры гэтым, калі на прадпрыемстве маецца досыць разгалінаваная лакальная сетка, шыфраванне можа закрануць абсалютна ўсіх тэрміналаў, падлучаных да сеткі.

У якасці інструкцыі, якая прыкладаецца да віруса paycrypt @ gmail_com (як расшыфраваць дадзеныя - у ёй падрабязна апісана), выступае электронны ліст, якое абвяшчае, што файлы зашыфраваныя алгарытмам RSA-1024. Далей, быццам бы з добрымі намерамі, варта зацвярджэнне, што расшыфраваць дадзеныя можа толькі група, даслалі паведамленне. Але такая паслуга каштуе каля ад 100 да 500 еўра.

Каб атрымаць paycrypt @ gmail_com-дэшыфроўшчыка, на ўказаны адрас пошты трэба адправіць файл KEY.PRIVATE і некалькі заражаных файлаў. Пасля таго мяркуецца, што карыстач атрымае уласны унікальны ключ. Шчыра кажучы, верыцца ў гэта з цяжкасцю.

Пры гэтым паведамляецца, што расшыфраваць файлы paycrypt @ gmail_com самастойна можна нават не спрабаваць, паколькі адзіным выхадам з'яўляецца поўнае фарматаванне дыска ці падзелу. Тут жа варта намёк, што дадзеныя карыстача вельмі важныя для яго, так што фарматаванне немэтазгодна.

Ці варта звязвацца са зламыснікамі?

На жаль, даверлівыя юзэры ці ўладальнікі вельмі важнай інфармацыі тут жа бягуць аплачваць паслугі, але наўзамен не атрымліваюць нічога. Калі на світанку з'яўлення гэтай пагрозы хтосьці, можа, яшчэ і атрымліваў ключ, сёння пра гэта можна нават не марыць - звычайнае вымагання грошай.

Некаторыя ўсё-ж спрабуюць выкарыстоўваць антывірусныя сканары, але вось бяда - вірус-то сапраўды праграмамі вызначаецца, нават нібы лечыцца і выдаляецца, але інфармацыя так і застаецца зашыфраванай.

Ці ёсць для віруса paycrypt @ gmail_com дэшыфроўшчыка?

Што тычыцца дэшыфраванні дадзеных, практычна ні адзін вядомы распрацоўнік антывіруснага ПА нейкага канкрэтнага і універсальнага рашэння уявіць не можа.

Можна перакапаць увесь Інтэрнэт у пошуках ключа. Але нічога добрага з гэтага не выйдзе. Адзінае, што можна паспрабаваць, - пашукаць ужо вядомыя ключы накшталт unblck@gmail.com, uncrpt@gmail.com, unstyx@gmail.com і т. Д. Магчыма, нейкія камбінацыі і дапамогуць, але цешыць сябе не варта.

Як атрымаць ўтыліту для дэшыфраванні на афіцыйным сайце распрацоўніка антывіруса?

Але паглядзім, што можна зрабіць, калі ўжо і падхоплены вірус paycrypt @ gmail_com. Як расшыфраваць яго, дапусцім, карыстальнік не ведае. У такой сітуацыі, пры ўмове таго, што кампутарным тэрмінале ўсталяваная афіцыйная (ліцэнзійная) версія антывіруснага праграмнага забеспячэння, лепш звярнуцца непасрэдна ў цэнтр падтрымкі распрацоўніка.

Пры гэтым на афіцыйным сайце варта выкарыстоўваць раздзел запыту на лячэнне, пасля чаго адправіць некалькі заражаных файлаў. Калі маецца копія арыгінальнага незараженные аб'екта, яшчэ лепш. У такой сітуацыі верагоднасць таго, што дадзеныя будуць дэшыфраваць, павышаецца шматкроць, паколькі, напрыклад, сам вірус paycrypt @ gmail_com «Касперскі» (штатны сканар) вылечыць папросту не зможа.

Калі нічога не дапамагае ...

Калі ж адказ па якіх-небудзь прычынах не атрыманы, а да зламыснікаў звяртацца намераў няма, тут ужо нічога не зробіш. Адзіным выхадам стане толькі фарматаванне жорсткага дыска. Пры гэтым трэба выканаць поўнае фарматаванне, а не ачыстку зместа.

Асобна варта сказаць, што вірус пры пранікненні на вінчэстар або ў яго лагічная частка мог стварыць уласную копію, так што фарматаваць прыйдзецца абсалютна ўсё, што ёсць, і ўсталёўваць сістэму нанова. Іншага выйсця няма.

Дарэчы, і ўтыліты, загружаныя яшчэ да старту сістэмы (накшталт Kaspersky Rescue Disc) таксама не дапамогуць. Як ужо гаварылася вышэй вірус яны выявяць, нават выдаляць, але прывесці дадзеныя ў зыходны чытэльным стан не змогуць. Гэта і зразумела, бо першапачаткова нават такія магутныя ўтыліты на гэта, увогуле-то, і не разлічаны.

Некалькі саветаў напрыканцы

Вось, уласна, і разгледжаны вірус paycrypt @ gmail_com. Як расшыфраваць яго? На гэтае пытанне, як ужо зразумела, адказу няма. Ужо лепш загадзя засцерагчы сябе ад пранікнення пагрозы ў сістэму.

Адкрываць варта толькі ўкладання электроннай пошты, атрыманыя з надзейных крыніц, якія не варта дарма клікаць па рэкламе ў Інтэрнэце. Асабліва звярніце ўвагу на лісты, у якіх у назве ўкладзенага файла прысутнічае абракадабра (нейкі набор нечытэльным сімвалаў), а змена кадоўкі не дапамагае ўбачыць імя ў нармальным прадстаўленні. Увогуле, будзьце пільныя!

Ну і, самой сабой зразумела, што няма ніякага сэнсу плаціць грошы вымагальнікі, а наўзамен ня атрымаць неабходнага ключа. Зрэшты, гэта даказваецца зусім проста на прыкладзе іншых вядомых вірусаў і шкоднасных кодаў, якія ўжо калісьці былі зарэгістраваныя ў сусветнай практыцы.