Найдена программа шантажист как отключить
Защита компьютера от программ-шантажистов
Программа-шантажист — это вредоносная программа, шифрующая файлы или мешающая использовать компьютер, пока вы не заплатите ей деньги (выкуп) за разблокировку. Если компьютер подключен к сети, программа-шантажист также может распространяться на другие компьютеры или устройства хранения в сети.
Программа-шантажист может оказаться на вашем компьютере, в частности, в описанных далее случаях.
При посещении небезопасных, подозрительных или поддельных веб-сайтов.
При открытии вложенных файлов, которые вы не ожидали или получили от незнакомых людей.
При открытии вредоносных или неправильных ссылок в сообщениях электронной почты, Facebook, Twitter и других публикациях в социальных сетях, в чатах мгновенных сообщений или SMS-чатах.
Распознать поддельные сообщение электронной почты или веб-сайт можно по плохой орфографии или необычному внешнему виду. Обращайте внимание на неправильное написание названий компаний (например, «PayePal» вместо «PayPal») и необычное использование пробелов, символов или знаков препинания (например, «Служба поддержкиiTunes» вместо «Служба поддержки iTunes»).
Программы-шантажисты могут быть ориентированы на любой компьютер, будь то домашний компьютер, компьютер в сети предприятия или сервер, используемый правительственным учреждением.
Внимание: Мобильные устройства также могут стать жертвой программ-шантажистов! Подробнее
Как защитить компьютер?
Убедитесь, что на компьютере установлены последняя версия Windows и все последние исправления. Дополнительные сведения о Центре обновления Windows.
Убедитесь, что приложение Безопасность Windows (или Центр безопасности Защитника Windows в предыдущих версиях Windows 10) включено для защиты от вирусов и вредоносных программ.
В Windows 10 или 11 включите Контролируемый доступ к папкам, чтобы защитить важные локальные папки от неавторизованных программ, например программ-шантажистов или других вредоносных программ.
Обнаружение и восстановление программ-шантажистов с помощьюрасширенной защиты Microsoft 365.
Создавайте резервные копии своих файлов, включив историю файлов, если она не была включена изготовителем компьютера. Узнать больше об истории файлов.
Храните важные файлы в Microsoft OneDrive. OneDrive содержит встроенное обнаружение программ-шантажистов и средства восстановления, а также управление версиями файлов, чтобы вы могли сохранить прошлую версию файла. А когда вы изменяете файлы Microsoft Office, сохраненные в OneDrive, ваша работа автоматически сохраняется на ходу.
Используйте безопасный, современный браузер, например, Microsoft Edge.
Перезапускайте компьютер хотя бы один раз в неделю. Это помогает обеспечить актуальность приложений и операционной системы и улучшить ее работу.
Примечание: Если вы являетесь владельцем малого бизнеса, рассмотрите возможность использования Microsoft 365 бизнес премиум. Этот продукт содержит расширенную защиту от угроз в Microsoft Defender для защиты вашей компании от сетевых угроз.
Если вы подозреваете, что ваш компьютер заражен
Используйте программы защиты от вредоносных программ, такие как Безопасность Windows, всякий раз, когда опасаетесь, что ваш компьютер может быть заражен. Например, если вы узнали о новых вредоносных программах в новостях или заметили странное поведение на вашем компьютере. См. раздел Защита от вирусов и угроз в Безопасности Windows, чтобы узнать, как проверить ваше устройство.
Если на вашем компьютере действительно есть программа-шантажист
К сожалению, заражение программой-шантажистом обычно не проявляется, пока вы не увидите какое-либо уведомление в окне, в приложении или на весь экран, с требованием выкупа для восстановления доступа к компьютеру или файлам. Часто эти сообщения отображаются уже после шифрования файлов.
Попробуйте полностью очистить компьютер с помощью Безопасности Windows. Это следует сделать, прежде чем пытаться восстановить файлы. См. также раздел Резервное копирование и восстановление в Windows для получения справки о резервном копировании и восстановлении файлов для вашей версии Windows.
Не платите деньги, чтобы восстановить файлы. Даже если вы заплатите выкуп, нет гарантий, что вы снова получите доступ к компьютеру или файлам.
Что делать, если вы уже заплатили
Если вы уже заплатили выкуп, немедленно обратитесь в ваш банк и местные органы власти. Если оплата осуществлялась с помощью кредитной карты, банку, возможно, удастся заблокировать транзакцию и вернуть вам деньги.
Можно также воспользоваться приведенными далее правительственными веб-сайтами для сообщения о мошенничестве.
В Австралии действует веб-сайт SCAMwatch.
В Ирландии действует веб-сайт An Garda Síochána.
В Новой Зеландии действует веб-сайт Consumer Affairs Scams
В Соединенном Королевстве действует веб-сайт Action Fraud.
В США действует веб-сайт On Guard Online.
Если вашего региона нет в списке, корпорация Майкрософт рекомендует обратиться в полицию вашего региона или органа по связи.
Иллюстрированный обзор программ-шантажистов, а также сведения о способах защиты от таких программ см. в статье The 5Ws and 1H of ransomware.
Если вы работаете на предприятии, подробные сведения о программах-шантажистах см. в Центре Майкрософт по защите от вредоносных программ.
Обнаружение программы-шантажиста и восстановление файлов
Обнаружение программ-вымогателей сообщает вам о OneDrive ваших файлах и поможет восстановить их. Программ-вымогателей — это разновидность вредоносных программ, предназначенных для блокировки доступа к файлам до тех пор, пока вы не оплатите деньги.
Когда Microsoft 365 обнаруживает атаки программ-вымогателей, вы получите уведомление на своем устройстве и получите сообщение электронной почты от Microsoft 365. Если вы не подписаны, ваше первое уведомление и восстановление бесплатны. См. доступные планы.
Действия по обнаружению и восстановлению программ-вымогателей на веб OneDrive веб-сайте
Если Microsoft 365 обнаружена атака программы-вымогателя, при входе на веб-сайт OneDrive вы увидите экран Знаки обнаруженного программы-вымогателя (может потребоваться сначала войти). Чтобы начать, выберите кнопку Начало работы.
Шаг 1. Подтверждение того, что файлы заражены
На экране Правильно ли выглядят эти файлы? мы покажем вам подозрительные файлы. Если у них неправильное имя или суффикс или они выглядят неправильно, когда вы открываете их из списка, скорее всего, они скомпрометированы программой-вымогателями.
Выберите файл, чтобы открыть его в веб-оке. (Файл не будет скачиваться на устройство.)
Если вы не видите файл, вы можете скачать его на устройство, чтобы открыть.
Повторите шаги 1 и 2 для нужного вам файла.
Если ваши файлы заражены, выберите Мои файлы заражены, чтобы перейти к следующему этапу процесса восстановления программ-вымогателей. В противном случае, если ваши файлы выглядят нормально и вы уверены, что они не заражены программ-вымогателей, выберите Мои файлы в порядке.
Шаг 2. Очистка всех устройств
На экране Очистка всех устройств вы увидите инструкции по очистке всех устройств, на которых вы OneDrive. Перед восстановлением файлов важно использовать антивирусную программу для очистки всех устройств. В противном случае файлы могут снова зашифроваться при их восстановлении.
Выберите ссылку для версии Windows, которую вы используете, и следуйте инструкциям в этой статье.
Повторите шаг 1 для всех других устройств, на которых вы OneDrive.
После выполнения действий, указанных в статьях, верните на страницу Очистка всех устройств на веб-сайте OneDrive и выберите одну из этих кнопок:
Все мои устройства в безопасности. Выберите эту кнопку, когда закончите очистку всех устройств и будете готовы перейти к последнему шагу процесса восстановления — восстановлению файлов из OneDrive.
Антивирусная программа не может очистить все мои устройства. Выберите эту кнопку после того, как вы попытались очистить свои устройства и обнаружили, что по какой-либо причине не можете очистить все свои устройства. Теперь вы будете на странице Сброс устройств, на которой перечислены сведения о том, как сбросить устройства.
Следуйте ссылкам, основанным на вашей операционной системе. После очистки или сброса всех устройств вернись на веб-сайт OneDrive, чтобы вернуться на страницу Сброс устройств, выберите в поле Мои устройства все порядок или сброс, а затем выберите ОК.
Шаг 3. Восстановление файлов из OneDrive
Последний шаг после очистки всех устройств — восстановление OneDrive.
Когда вы дойдете до этого шага, автоматически будут выбраны время и дата обнаружения программ-вымогателей.
Подробнее
Дополнительные сведения
Обратитесь в службу поддержки
Получите помощь по своей учетной записи Майкрософт и подпискам, посетив раздел Справка по учетной записи и выставлению счетов.
Чтобы получить техническую поддержку, Обратитесь в службу поддержки Майкрософт, введите свою проблему и выберите Техническая поддержка. Если вам по-прежнему нужна помощь, выберите Обратитесь в службу поддержки, чтобы получить наилучший вариант поддержки.
Программы-шантажисты: угроза прошлого или будущего?
Если мы посмотрим на векторы атак, количество новых уникальных семейств вирусов и эволюцию вредоносных программ, то заметим что это становится наиболее серьёзной и распространённой угрозой для безопасности. Под катом я расскажу про анализ программ-шантажистов и защиту от них.
Анализ программ-шантажистов за 2016 год показал следующее:
Весьма примечательно, что по данным антивируса Windows Defender наблюдается интересная тенденция: достигнув пикового значения в августе 2016 года — 385 тыс. зарегистрированных случаев обнаружения программ-шантажистов — в сентябре их количество сократилось почти вдвое и продолжает падать.
Рис. 1. Ежемесячная частота обнаружения файлов полезной нагрузки программ-шантажистов за исключением загрузчиков и других компонентов. Некоторые данные по отрасли объединяют эти два показателя.
Означает ли эта тенденция, что конец программ-шантажистов предвиден? Если посмотреть на другие области распространения программ-шантажистов, оказывается, что это не так.
Блокировка программ-шантажистов в точке проникновения
Чтобы понять, действительно ли распространенность программ-шантажистов идет на спад, необходимо изучить другие области цепочки заражения, начиная с векторов атаки. Данные Windows Defender Antivirus говорят об обратном.
Трояны-загрузчики, распространяемые через рассылки электронной почты
Трояны-загрузчики, такие как Nemucod и Donoff, устанавливают на ПК программы-шантажисты. Эти загрузчики часто имеют вид файлов документов или ярлыков и распространяются через письма электронной почты.
Количество сообщений электронной почты, содержащих загрузчики программ-шантажистов, не снижалось. В последнем квартале 2016 года было зафиксировано 500 млн таких сообщений. За тот же период времени трояны-загрузчики заражали как минимум 1 млн ПК в месяц. Очевидно, что киберпреступники не прекращали использовать программы-шантажисты для атак на компьютеры пользователей. В действительности, вплоть до конца 2016 года мы стали свидетелями кампаний по рассылке сообщений электронной почты с эксплойтом Nemucod, распространявшим вирус Locky, и кампаний по рассылке вируса Donoff, через которые распространялся вирус Cerber.
Рис. 2. Хотя количество случаев обнаружения программ-шантажистов к концу 2016 года значительно сократилось, во втором полугодии по сравнению с первым частота заражения загрузчиками программ-шантажистов была в среднем выше.
Очевидно, что уменьшение случаев обнаружения программ-шантажистов обусловлено не тем, что киберпреступники стали менее усердны. По-прежнему отмечается огромное количество писем электронной почты, содержащих трояны-загрузчики программ-шантажистов. Однако заражение программами-шантажистами блокируется в точке их проникновения. Это интересный ход, поскольку в 2016 году распространители программ-шантажистов перешли от использования эксплойтов к сообщениям электронной почты как более эффективному вектору заражения.
Эксплойты
Эксплойт Neutrino применялся для установки на ПК программы-шантажиста Locky. В середине 2016 года частота заражения Neutrino возросла, заполнив нишу вируса Axpergle (также известного как Angler) после его исчезновения в июне. Очевидно, что распространенность Neutrino начала снижаться в сентябре, после того как его операторы передали бразды правления группам киберпреступников.
Еще один популярный эксплойт, Meadgive (также известный как RIG), поначалу распространял программу-шантажист Cerber. В 2016 году наблюдался постоянный рост Meadgive, который стал наиболее частым эксплойтом для рассылки вредоносного ПО. В декабре 2016 года началась кампания по рассылке Meadgive с последней версией вируса Cerber, которая проводилась в основном в Азии и Европе.
Хотя эксплойты используются все реже, программы-шантажисты продолжают задействовать эксплойты для заражения компьютеров. Это объясняется тем, что эксплойты позволяют программам-шантажистам повышать уровень разрешений и запускать потенциально опасные программы с меньшим количеством ограничений.
Хакеры ищут новые пути
Закат программ-шантажистов еще не наступил, и еще одним свидетельством тому являются многочисленные инновации вредоносного кода, зафиксированные в 2016 году.
Киберпреступники постоянно обновляют свой инструментарий. Например, в конце 2016 года были зафиксированы существенные обновления последней версии Cerber.
Эти усовершенствования вредоносного кода постепенно вводятся в атаках типа программа-шантажист как служба, при которых киберпреступники могут получить новейшие версии программ-шантажистов на нелегальных форумах. Это обеспечивает киберпреступников необходимыми ресурсами и мотивацией для организации атак.
Далее перечислены некоторые усовершенствования программ-шантажистов, свидетелями которых мы стали в 2016 году.
Атаки на серверы
Обнаружение программы-шантажиста Samas в начале 2016 года сделало эти программы главной угрозой для коммерческих компаний. Столкнувшись с программами-шантажистами, нацеленными на серверы, ИТ-администраторы были вынуждены не только позаботиться о защите конечных пользователей, но и усилить защиту серверов.
Кампании по распространению Samas использовали уязвимости серверов. Они искали уязвимые сети с помощью pen test и использовали различные компоненты для шифрования файлов на серверах.
Возможности вирусов-червей
Zcryptor имел свойство распространяться, а это означает, что некоторые программы-шантажисты могли переходить с одной конечной точки на другую, не прибегая к кампаниям по рассылке нежелательной почты. Вирус-червь обнаруживает сетевые и логические диски и съемные носители, которые он может использовать для распространения. В самом начале 2017 года был обнаружен вирус Spora, демонстрирующий аналогичное поведение.
Альтернативные способы оплаты и связи
Обычно программы-шантажисты требовали оплату через Биткойн на нелегальных веб-сайтах сети Tor. В ответ на уменьшение количества оплат со стороны жертв киберпреступники начали искать новые способы оплаты.
Программа-шантажист Dereilock, например, заставляла своих жертв связаться со злоумышленниками по Skype, а Telecrypt для связи со злоумышленниками предлагала воспользоваться службой обмена сообщениями Telegram Messenger.
Spora пошла по пути «условно-бесплатных» услуг — пару файлов жертвы могли расшифровать бесплатно, а за небольшую сумму можно было расшифровать некоторое количество файлов.
Новые методы шантажа
В 2016 году большинство программ-шантажистов начали использовать таймер обратного отсчета. Это заставляет жертву немедленно заплатить выкуп под страхом безвозвратной потери доступа к файлам.
Когда в марте вышла программа-шантажист Cerber, она произвела фурор: помимо обычного сообщения о выкупе в виде текстового и HTML-документа VBScript преобразовывал текст в аудио-сообщение с требованием выкупа. Поэтому Cerber был назван «говорящим шантажистом».
Другая программа-шантажист CornCrypt предлагала расшифровать файлы бесплатно при условии, что жертва заразит двух других пользователей. Злоумышленники рассчитывали на эффект снежного кома: чем больше жертв, тем больше вероятность того, что кто-то из них заплатит.
Новые семейства программ-шантажистов — лидеры рейтинга
Угроза со стороны программ-шантажистов вероятнее всего не ослабеет, о чем говорит появление новых семейств программ-шантажистов. Из свыше 200 обнаруженных активных семейств примерно половина была впервые зафиксирована в 2016 году.
В большинстве новых семейств программ-шантажистов применяется шифрование. Этот тип программ-шантажистов пришел на смену более старым версиям с блокировкой экрана, которые просто блокировали экран и не использовали шифрование файлов.
В 2016 году появилось много семейств программ-шантажистов, применяющих новые методы и приемы. При этом 68 % случаев обнаружения программ-шантажистов в 2016 году приходилось на пять лидеров.
Рис. 3. Cerber и Locky, обнаруженные в 2016 году, стали лидерами года среди программ-шантажистов
Интересно отметить, что два ведущих семейства программ-шантажистов были обнаружены лишь в 2016 году.
Cerber
Cerber была обнаружена в марте 2016 года и была названа по имени расширения файлов. С марта по декабрь она поразила свыше 600 тыс. ПК.
На нелегальных форумах Cerber предлагается «программа-шантажист как служба», поэтому злоумышленники могут рассылать ее без написания вредоносного кода. Ее работа в значительной степени определяется файлом конфигурации. Последняя версия Cerber может шифровать почти 500 типов файлов. Известно, что при поиске файлов для шифрования программа умеет выделять наиболее приоритетные папки. Распространяется Cerber в основном через рассылку нежелательной почты, содержащей загрузчик Donoff, выполняющий ее установку.
Рис. 4. Частота обнаружения Cerber резко сократилась с сентября, при этом распространенность Donoff, загрузчика Cerber, начала расти в декабре.
Также известно, что инфицирование вирусом Cerber производится посредством Meadgive или эксплойта RIG. Meadgive был ведущим эксплойтом в конце 2016 года.
Locky
Как и с Cerber, операторы по рассылке нежелательной почты подписываются на Locky как на «программу-шантажист как служба». Она содержит код для подпрограммы-шифровальщика, а также может получать ключи шифрования и сообщения о выкупе с удаленного сервера до шифрования файлов.
Изначально Locky распространялась через эксплойт Neutrino, позже стали использоваться рассылки нежелательной почты с вирусом Nemucod, который загружал и запускал Locky.
Рис. 5. Частота обнаружений Nemucod во второй половине 2016 года оставалась постоянной, несмотря на то что распространенность Locky за этот период существенно снизилась
Программы-шантажисты как глобальная угроза
В 2016 году программы-шантажисты превратились в реальную глобальную угрозу и были обнаружены более чем в 200 странах. Только в США программы-шантажисты поразили свыше 460 тыс. ПК. Следом идут Италия и Россия (252 тыс. и 192 тыс. случаев обнаружения соответственно). В Корее, Испании, Германии, Австралии и Франции зарегистрировано свыше 100 тыс. случаев инфицирования.
Рис. 6. Инфицирование программами-шантажистами зарегистрировано более чем в 200 странах
Наибольшее количество случаев инфицирования Cerber зарегистрировано в США: 27 % от общего числа заражений этим вирусом в мире. Другая мощная программа-шантажист, Locky, была обнаружена в 2016 году. Она стала вторым из наиболее распространенных семейств программ-шантажистов в США.
В Италии и России, напротив, более распространены старые версии программ-шантажистов. В Италии отмечено больше всего случаев инфицирования вирусом Critroni, который появился в 2014 году. Когда программа-шантажист Critroni только появилась, ее сообщения о выкупе были составлены на английском и русском языках. В последующих версиях появились другие европейские языки, включая итальянский.
Вирус Troldesh, обнаруженный в 2015 году, стал лидирующим по количеству заражений в России. После шифрования файлов Troldesh выводил на рабочий стол сообщение на русском и английском языках, в котором содержались указания о том, как связаться со злоумышленниками, и инструкции по оплате.
Рис. 7. Страны с наибольшей распространенностью программ-шантажистов — США, Италия, Россия, Корея, Испания — находятся под воздействием разных семейств вирусов, возможно из-за локального характера кампаний по рассылке нежелательной почты
Заключение: растущая угроза требует новых мер противодействия
Несмотря на спад в общем распространении программ-шантажистов, векторы атак, количество уникальных семейств вирусов и усовершенствования вредоносного кода говорят о том, что мы еще не видим конец этой многофакторной угрозы безопасности.
Microsoft создала и постоянно совершенствует ОС Windows 10, чтобы ваши средства защиты были напрямую встроены в операционную систему.
Защита от заражений программами-шантажистами
Большинство случаев инфицирования программами-шантажистами начинаются с получения писем по электронной почте, содержащих трояны-загрузчики. Это основной вектор, применяемый злоумышленниками для установки программ-шантажистов. Служба Advanced Threat Protection в Office 365 обладает возможностями машинного обучения, которые блокируют опасные письма, содержащие загрузчики программ-шантажистов.
Некоторые программы-шантажисты проникают на компьютеры посредством эксплойтов. Браузер Microsoft Edge поможет защитить ваш компьютер от программ-шантажистов, запрещая эксплойтам запускать и исполнять эти вирусы. Благодаря Microsoft SmartScreen браузер Microsoft Edge блокирует доступ к вредоносным веб-сайтам, которые могут содержать эксплойты.
Device Guard может блокировать устройства и обеспечивать защиту на уровне виртуализации ядра, разрешая запуск только доверенных приложений и запрещая запуск программ-шантажистов и другого опасного ПО.
Обнаружение программ-шантажистов
Создатели программ-шантажистов, возможно, являются одними из самых продуктивных злоумышленников, постоянно создающих новые семейства вирусов и обновляющих существующие. Они также весьма изобретательны в выборе векторов атаки для установки программ-шантажистов на ваши компьютеры.
Windows 10 помогает немедленно обнаружить атаку программы-шантажиста при первых признаках ее возникновения. Windows Defender Antivirus обнаруживает программы-шантажисты, а также эксплойты и трояны-загрузчики, которые их устанавливают. Используя облачные технологии, этот антивирус помогает защитить ваш компьютер от новейших угроз.
Windows Defender Antivirus встроен в Windows 10 и при включении обеспечивает защиту ПК от угроз в режиме реального времени. Регулярно обновляйте Windows Defender Antivirus и другое ПО для наиболее актуальной защиты вашего ПК.
Реагирование на атаки программ-шантажистов
Windows Defender Advanced Threat Protection (Windows Defender ATP) уведомляет специалистов системы безопасности о подозрительной активности. Эти действия характерны для некоторых семейств программ-шантажистов, таких как Cerber, и возможно, будут свойственны программам-шантажистам в будущем.
Ознакомительная версия Windows Defender ATP представляется бесплатно.
Усиленная защита в Windows 10 Creators Update
Среди существующих средств защиты наиболее мощным станет Windows 10 Creators Update, включающий Windows Defender Antivirus и интеграцию с Office 365 для создания многоуровневой защиты, уменьшающей уязвимость электронной почты для атак.
Windows Defender Antivirus усилит возможности контекстного распознавания и машинного обучения, которые выявляют поведенческие аномалии и помогают обнаруживать вирусы в разных точках цепочки инфицирования. Улучшенная интеграция с аналитикой угроз обеспечивает более быструю блокировку нежелательной почты.
Windows Defender ATP позволяет специалистам службы безопасности изолировать скомпрометированные ПК из корпоративной сети, прекращая распространение вируса в сети.
Это обновление также позволяет задать типы файлов, помещаемых на карантин, и запретить их последующее исполнение.
Угроза программ-шантажистов, возможно, еще не скоро исчезнет, однако Windows 10 будет по-прежнему совершенствовать защиту от этого вредоносного ПО.
Завтра, 27 сентября, в 10:00 (МСК) у нас пройдет международный онлайн-форум «You Trust IT. Путь к безопасности бизнеса!», на котором вы узнаете как обезопасить свой проект, избежать внешние угроз, минимизировать риски потери важной бизнес-информации и избежать убытков.