Второй раз по работе сталкиваюсь с шифровальщиком, первый был еще в 2011 году, не столько шифровальщик, сколько портил заголовок файла, можно было починить вручную. А теперь да, как об стенку головой. RSA-1024. В связи с этим возникает 2 вопроса, на который я не могу найти ответ:
1) можно ли включать и выключать java-машину в винде по своему желанию? Я представляю это как кнопку в панели задач "java on" и "java off". Хоть какие-то костыли. Оба вложения были java скриптами. Ведь если снести полностью яву в системе, то скрипт не запустится. Но нельзя, не будут работать кнопки на сайтах и т.д. Поэтому нужен тупой рубильник. В идеале привязка java off к открытию вложения в почтовом клиенте ("вы хотите открыть вложение?"-"да"- "может быть java off"?)
2) можно ли сделать файл-ловушку для щифровальщиков, например файл *.doc (*.xls, *.jpg)размером 1 Гб (5Гб, 10 Гб) со структурой, максимально трудной для шифрования (не просто из нулей или повторяющихся фрагментов, нужен генератор)? Поместив такой файл в корень диска С (или откуда он там начинает шифровать?)можно хотя бы замедлить процесс шифрования и получить дополнительный шанс прервать его, не удалится закрытый ключ. Ну а если повесить на открытие такого файл простой обработчик с окном предупреждения, то вообще красота. (Раньше когда солнце было ярче, водка слаще была такая шутка - рассылали знакомым архивированный файл (сколько-то Гб) из нулей, он сжимался до нескольких килобайт. Антивирус, который проверял почту (только пошли тогда) должен был его распаковать во временную папку перед проверкой - у многих банально не хватало места на винте или Celeron 450 впадал в ступор на пару часов).
Я понимаю, что надо работать со включенным UAC и восстановлением дисков, не в коем случае не под админом, максимально ограничивать права через групповые политики. Все равно это не дает 100% гарантии, также как антивирусы, при этом нормальной работой это назвать нельзя. Уж лучше тогда действительно Linux. Постоянно бэкапить? На флешку нельзя, надо все равно вынимать, сетевые диски и облака (приаттаченные)шифруются точно также как локальные. ФТП? Не у каждого есть и не каждый может с ним работать.
Почему же не сделать защиту именно в тех точках, в которые бъет шифровальшик, максимально облегчив задачу себе и пользователям?
В свое время, когда была эпидемия вирусов на флешках, я был приятно удивлен утилитой USB Vaccine, которая просто закидывала на съемный носитель неправильный файл autorun.inf, который нельзя было стереть, и таким образом блокировала работу autorun вирусов. По-моему очень красиво и в духе стратегии достижения цели малой кровью.
P.S. Видел на профильных форумах объявления о продаже систем рассылки этих шифровальщиков, ведь ничего в голове не нужно для этого - 1500 долл и в автоматическом режиме все работает, дают абузоустойчивый сервак со всеми приблудами, автоматом скачиваются последние версии почтовых баз, троянов, тебе только на биткоин кошелек капает бабло. Правда сейчас как я понял стали письма читать - раньше рассылали по шаблону "управление судебных приставов" - "за вами долг, ознакомьтесь во вложении", обратный адрес - sud12345@mail/ru. А сейчас видимо читают ломаные ящики и руками рассылают с них контекстно каждому абоненту из адресной книги что кому интересно. Мы например получили шифровальщик в письме от знакомого контрагента чуть ли не в ответ на наш запрос какой-то хрени типа акта сверки. Грех было не открыть. Платить пока не собираемся. Что-то было сохранено, правда старые версии. Как не странно из корзины вытащили много, ее почему-то не тронуло.
P.P.S. Напоследок пожелание для тех, кто этим занимается
