С каждым годом во всемирной паутине появляется все больше вирусов и вредоносных объектов. Последствия от их воздействия могут выходить далеко за рамки нарушения функционирования информационной системы. Злоумышленники все больше начинают вымогать с пользователей деньги. Именно к таким угрозам можно отнести вирус paycrypt@gmail_com.
Данный вирус относится к шифровальщикам. Появился он относительно недавно, поэтому бороться с ним пока достаточно сложно. Что же представляет собой данный вирус? Сама зараза в принципе работает по накатанному алгоритму, который использовался еще в более старых вирусах, вроде XTBL и CBF. Если не вдаваться в детали, о данном вирусе можно сказать следующее: данный вирус зашифровывает пользовательские файлы и документы при помощи специального алгоритма, который сами хакеры зовут RSA-1024.
В результате после шифрования ни один документ пользователя невозможно будет открыть без использования специального ключа. В дополнении к существующему расширению в именах файлов прописывается paycrypt@gmail_com. Можно ли расшифровать такие файлы? Как это сделать? Давайте попробуем разобраться с этой проблемой.
Как вирус paycrypt@gmail_com проникает в систему
Вирус может проникать в локальную сеть или на отдельный компьютерный терминал разными способами. Наиболее распространенными на сегодняшний день способами являются электронная почта с вложениями, программы загрузчики, который цепляют вирус непосредственно на зараженном сайте, скрытые объекты, активирующиеся при копировании информации со съемных носителей. В некоторых случаях такую заразу можно подхватить, просто кликнув по рекламному баннеру.
Но основным туннелем все же является электронная почта. Это касается в основном всех почтовых серверов, а также исключительно тех учетных записей, которые используются в стационарных программах, типа Outlook или других сторонних приложений, используемых на компьютере. Допустим, пользователь открывает сообщение об изменении договора поставок какой-то продукции и просматривает вложенный файл. Если вы видите, что данный файл имеет неизвестный тип расширения, то лучше вообще его не открывать. Но многих сбивает с толку приписка о том, что во вложении находится скан-копия нового договора.
Пользователь не задумываясь открывает файл. Довольно часто встречается вложение, выполненное в виде простого word-документа или текстового файла. Пользователь кликает по нему и закрутилось… Стоит отметить, что можно переименовать любой файл, присвоив ему разрешение .doc, .txt, и т.д. В результате система будет распознавать зарегистрированный тип файла и попытается его открыть. В некоторых случаях во вложении можно найти исполняемый файл JS (Java Script). Открывать такие файлы вообще нельзя. Первым признаком действия такой заразы является сильное торможение компьютера. Данное проявление свидетельствует о серьезной нагрузке на системные ресурсы из-за того, что файл paycrypt@gmail_com приступил к шифрованию информации. Этот процесс может занимать достаточно длительное время. Никакая перезагрузка системы при этом не поможет. При перезагрузке системы, вирус просто снова начнет выполнять процесс шифрования. Когда данный процесс будет завершен, вы получите полностью зашифрованные файлы. Естественно, как расшифровать их непонятно. Злоумышленники могут предложить вам свою инструкцию по решению данной проблемы.
Требования хакеров
Обычные пользователи нечасто подхватывают данный вирус. Он скорее, ориентирован, на коммерческие организации. Если на предприятии при этом имеется разветвленная локальная сеть, то шифрование может коснуться всех терминалов, которые были подключены к сети. В качестве инструкции злоумышленники обычно высылают электронное письмо, в котором сообщается, что все файлы пользователя зашифрованы при помощи алгоритма RSA-1024. Далее следует утверждение о том, что расшифровать данные сможет только приславшая это сообщение группа.
Стоит услуга по расшифровке данных от 100 до 500 евро. Чтобы получить программу-дешифровщик, на указанный адрес электронной почты необходимо отправить несколько зараженных файлов и файл KEY.PRIVATE. После этого пользователь должен получить свой уникальный электронный ключ. Звучит как-то уж совсем неправдоподобно. При этом сообщается, что можно даже не пытаться расшифровать файлы paycrypt@gmail_com. Единственный выход – полное форматирование раздела или диска.
Тут же следует намек на то, что удалять важную для пользователя информацию будет не слишком целесообразно. Стоит ли идти на поводу у мошенников? Многие доверчивые пользователи, к сожалению, тут же бегут платить деньги злоумышленникам, но взамен не получают ничего. Когда данная проблема только появилась, кто-то еще может быть и получал электронный ключ, но сегодня об этом можно уже только мечтать. Обычно это простое вымогание денег. Многие пользователи все-таки пытаются использовать антивирусные сканеры. Проблема в том, что данный вирус действительно не определяется программами. Он лечится и удаляется, но информация при этом так и останется в зашифрованном виде.
Существует ли дешифровщик для paycrypt@gmail_com?
Если говорить о дешифровании данных, то практически ни один известный разработчик антивирусного программного обеспечения не может представить универсального решения. В поисках ключа можно перерыть весь интернет. Однако ничего путного из этого не выйдет. Единственное, что можно предложить попробовать, это найти уже известные ключи, типа unstyx@gmail.com, unscrpt@gmail.com, unblck@gmail.com. Какие-то комбинации может быть и помогут, но не стоит особо обольщаться на этот счет.
Как получить утилиту для дешифрования?
Посмотрим, можно ли что-то сделать, если вы подхватили вирус paycrypt@gmail_com. Допустим, даже пользователь не знает, как расшифровать его. В такой ситуации при условии, что на компьютерном терминале установлена лицензионная версия антивирусной программы, лучше всего будет обратиться непосредственно к разработчику. При этом на официальном сайте антивирусной программы необходимо использовать раздел запроса на лечение, а после этого отправить несколько зараженных файлов.
Если есть копия незараженного объекта, это может существенно облегчить процесс. В такой ситуации вероятность дешифровки данных будет выше в несколько раз. Так, например, штатный сканер антивирусной программы «Касперский» не сможет вылечить сам вирус. Если по каким-то причинам ответ получен не был, а общаться со злоумышленниками желания нет, то тут уже ничего не сделаешь. Единственный способ решения проблемы – форматирование жесткого диска. При этом необходимо выполнить полное форматирование, а не просто очистку оглавления. Отдельно стоит отметить, что вирус при проникновении на жесткий диск или в один из его логических разделов, может создать собственную копию.
В этом случае форматировать придется абсолютно все и устанавливать систему с нуля. Другого выхода из данной ситуации нет. Утилиты, которые загружаются до старта системы, типа Kaspersky Rescue Disc, в данном случае тоже не помогут. Они смогут только обнаружить вирус и даже удалить его, но вот привести информацию в читабельное состояние данные инструменты не смогут. Оно и понятно, ведь даже достаточно мощные утилиты не рассчитаны на выполнение таких операций.
Несколько рекомендаций напоследок
В данном обзоре мы рассмотрели вирус paycrypt@gmail_com и способы борьбы с ним. Можно ли расшифровать информацию после работы с таким вирусом? На этот вопрос внятного ответа вам никто не даст. Лучше постараться свести к нулю вероятность попадания такого объекта в систему. Необходимо открывать только те вложения электронной почты, которые были получены из надежных источников. Также не стоит лишний раз кликать по рекламным ссылкам. Особое внимание стоит также обращать на письма, в названии вложенных файлов которых присутствует набор нечитаемых символов. В общем, будьте бдительны и осторожны. Нет смысла идти на поводу у вымогателей и платить им деньги. Это легко доказать на примере других вредоносных кодов и вирусов, которые уже были зарегистрированы в мировой практике.