Спам - это нежелательные письма или рассылки, которые могут приходить на ваш адрес. Они могут содержать рекламные предложения, «письма счастья» , компьютерные вирусы или оказаться попыткой фишинга . Для создания базы адресов спамеры используют программы, которые подбирают адреса с помощью специального словаря или собирают адреса, опубликованные пользователями на общедоступных сайтах.

Нежелательные рассылки следует отличать от честных . На получение честных рассылок пользователь обычно дает свое явное согласие. От таких рассылок можно отписаться .

Для распознавания спама Яндекс.Почта использует сервис «Спамоборона» , который обучается благодаря жалобам пользователей на спам . Он помещает в папку Спам подозрительные письма с признаками спама.

Примечание. Письма из папки Спам автоматически удаляются через 10 дней. Восстановить удаленные письма будет нельзя.

В Яндекс.Почте фильтруется не только входящая, но и исходящая корреспонденция. Каждое письмо проверяется антивирусной программой NOD32 . Если в письме будет обнаружен вирус, оно будет отклонено почтовым сервером, а отправитель получит отчет.

Проблемы со спамом

Это пошаговое руководство поможет вам решить проблемы, связанные со спамом. Прежде чем приступить, откройте Яндекс.Почту в новой вкладке , чтобы выполнять рекомендации.

Выберите проблему:

Выбрать

Получаю спам в папку «Входящие»

Получаю много спама в папку Спам

Получаю спам с моего адреса

Получаю чужие письма

Вижу сообщение «Письмо не может быть отправлено, потому что кажется похожим на спам»

В почтовой программе вижу ошибку «Message rejected under suspicion of SPAM»

Нужные письма попадают в папку «Спам»

Получаю много рассылок. Как отписаться?

Вижу предупреждение «Яндекс.Почта считает это письмо потенциально опасным»

Если вы считаете, что получили спамовое письмо в папку Входящие , выделите нужное письмо и нажмите кнопку Это спам! - письмо будет перемещено в папку Спам , а необходимая информация будет отправлена в Спамоборону.

Нужно несколько таких жалоб на однотипные нежелательные письма, чтобы Спамооборона начала автоматически перемещать в Спам подобные им письма. Помечайте кнопкой Это спам! все письма, которые считаете спамом, до тех пор, пока подобные им не начнут приходит в папку Спам вместо папки Входящие .

Совет. Отправляйте нежелательные письма в Спам по одному - все письма от одного отправителя, перемещенные в папку Спам одновременно, считаются одной жалобой.

","hasTopCallout":false,"hasBottomCallout":false,"areas":[{"shape":"rect","alt":"","coords":,"isNumeric":false}]}}\">

Если письмо попало в папку Спам по ошибке, нажмите кнопку Не спам! - новые письма из рассылки будут приходить в папку Входящие .

Спамооборона учитывает как общие, так и «персональные» правила фильтрации, которые действуют для отдельного почтового ящика. Если вы считаете письма рассылки нежелательными, а пользователь другого почтового ящика - полезными, в вашем ящике они будут попадать в папку Спам , а в ящике другого пользователя в папку Входящие .

Если в папку Спам приходит много спамовых писем - значит, Спамоборона работает. Если письма действительно подозрительные, оставьте их в этой папке - они автоматически удалятся через 10 дней. Если среди этих писем есть нужные, восстановите их .

Если вы хотите автоматически удалять письма из папки Спам сразу после их получения, настройте правило обработки писем :

1. В списке Применять выберите значение ко всем письмам, включая спам .
2. В разделе Если укажите следующее условие: «От кого содержит <имя_домена>» .
3. В разделе Выполнить действие выберите Удалить .
4. Нажмите Создать правило .

Уточните, какой адрес указан в поле Кому этих писем?

Если ваш адрес пишется через дефис, но на него приходят письма с адресом через точку и наоборот, это, скорее всего, не чужие письма, а ваши.

Яндекс.Почта считает равнозначными адреса, написанные через точку и дефис. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.

Если ваш адрес пишется строчными буквами, но на него приходят письма с адресом прописными и наоборот, это, скорее всего, не чужие письма, а ваши.

Яндекс.Почта считает равнозначными адреса, написанные строчными и прописными буквами. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.

Если вам приходят письма с незнакомого адреса, причинами могут быть:

Ошибка отправителя при указании адреса получателя

Если вы получили письмо от незнакомого отправителя, возможно, отправитель ошибся при указании адреса получателя. Вы можете сообщить отправителю об ошибке или проигнорировать такое письмо.

Кто-то при регистрации на сайте указал ваш адрес в качестве контактного На некоторых сайтах можно регистрироваться без подтверждения электронной почты, поэтому люди при регистрации могут указывать чужой электронный адрес. Несмотря на то, что этот человек указал ваш адрес на сайте, он не сможет пользоваться вашим ящиком. Если вы не хотите получать письма с этого сайта:

1. Внесите адрес отправителя этих писем в Чёрный список .
2. Свяжитесь с администрацией сайта и сообщите, что ваш адрес указан на сайте по ошибке.

Если вы получили письмо от знакомого отправителя, направленное не на ваш, а на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть предназначены именно вам. Свяжитесь с отправителем по другому каналу связи и уточните корректность получения этого письма.

свойствами .

Если вы получили письмо от незнакомого отправителя, направленное на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть спамом .

В отдельных случаях такое может произойти, если в другом почтовом ящике настроена пересылка на ваш адрес. Если пересылка установлена не вами, обратитесь в администрацию сервиса, на котором находится почтовый ящик, пересылающий письма, и приложите копию письма с его свойствами .

Если вы получили сообщение об ошибке «Письмо не может быть отправлено, потому что кажется похожим на спам» («Spam limit exceeded» или ) или требование ввести контрольные цифры, это могло произойти по следующим причинам:

Рассылаются однотипные или шаблонные письма

С вашего ящика отправляются однотипные или шаблонные писем, а также письма с коммерческими или рекламными предложениями. В Яндекс.Почте отправка таких писем не разрешена - наш сервис предназначен для живого общения между людьми.

Совет. Если вы хотите массово рассылать письма вашим партнерам или клиентам, используйте для этого только специальные рассылочные сервисы .

Достигнуто ограничение на отправку писем в сутки

С вашего ящика ежедневно отправляется большое количество писем - это расценивается нашей системой безопасности как спам. Письма могут отправляться как при вашем участии, так и без вашего ведома.

Чтобы этого не происходило, в Яндекс.Почте установлены технические ограничения на отправку писем в сутки. Обойти или изменить эти ограничения нельзя.

• Ограничения в Почте
• Ограничения в Почте для домена

В течение суток можно отправить с одного ящика 500 писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.

Количество получателей	Ограничение
	500
	50
	35

Количество получателей	Ограничение
Суммарно во всех письмах за сутки	500
В одном письме, отправленном через сайт	50
В одном письме, отправленном через почтовую программу или по протоколу SMTP	35

В течение суток можно отправить с одного ящика 3000 * писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.

Дополнительно установлены ограничения на количество получателей:

Количество получателей	Ограничение
	3000 *
	5000 *
В одном письме, отправленном через сайт	50
В одном письме, отправленном через почтовую программу или по протоколу SMTP	35

Количество получателей	Ограничение
Суммарно во всех письмах за сутки (с одного ящика)	3000 *
Суммарно во всех письмах за сутки (со всех ящиков одного домена)	5000 *
В одном письме, отправленном через сайт	50
В одном письме, отправленном через почтовую программу или по протоколу SMTP	35

* Учитываются только внешние получатели; владельцы ящиков на этом домене не учитываются.

Ваш аккаунт кажется подозрительным

Наша система безопасности посчитала ваш аккаунт подозрительным. Чаще всего это происходит из-за того, что к вашему ящику не привязан номер телефона или в Паспорте указаны вымышленные имя и фамилия.

Отправляются письма на несуществующие адреса

Большое количество писем с вашего ящика было отправлено на несуществующие адреса. Если письмо было отправлено на несуществующий адрес, вы получите автоматический отчет о недоставке .

Нам поступило несколько жалоб от пользователей на рассылку спама с вашего адреса.

Если это произошло, отправка писем из вашего почтового ящика будет заблокирована. Блокируется только отправка писем - входить в Почту и получать письма вы сможете. Блокировка закончится автоматически через 24 часа, если вы не попытаетесь отправить письмо в течение этого времени, - иначе блокировка продлится еще на 24 часа.

Пока вы ожидаете снятия блокировки, выполните рекомендации, которые помогут избежать проблемы в будущем:

1. CureIt! от Dr.Web и Virus Removal Tool После этого смените пароль .
2. Укажите в Яндекс.Паспорте достоверные персональные данные и привяжите к аккаунту номер телефона .

   Примечание. Если вы используете Яндекс.Почту для домена, укажите точные данные для всех ящиков домена.

3. Убедитесь, что адреса получателей записаны у вас корректно и не устарели.
4. Убедитесь, что все получатели ваших писем добровольно соглашались на их получение.

Если возникает сообщение «Message rejected under suspicion of SPAM» , содержимое вашего письма было распознано Яндекс.Почтой как спам. Чтобы решить проблему, откройте веб-интерфейс Яндекс.Почты и отправьте одно любое письмо в виде теста. Так вы докажете системе, что письма отправляет не робот.

Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».

Если нужное письмо по ошибке попало в папку Спам , выделите его и нажмите кнопку Не спам! - письмо переместится во Входящие . Через некоторое время все письма с данного адреса снова будут приходить в папку Входящие .

Написать в службу поддержки

В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?

В редакцию сайт пришли подозрительные письма, подписанные представителями двух крупнейших банков - Альфа-банка и банка «Открытие». И мы поняли, что обязаны о них рассказать

Письмо от имени «представителя» Альфа-банка гласило, к нему был прикреплен файл:

«Уважаемый(-ая), уведомляет вас о наличии просроченной задолженности. Меня зовут Богун Иван Владимирович, я представитель Альфа Банка. На ваше имя 22.05.2013 была оформлена рассрочка, через наш онлайн банкинг (https://alfabank.ru) на сумму 3 000 000 рублей. На данный момент задолженность не погашена. На 20.11.2016 ваш долг составляет 1 773 000 рублей с учетом пени (0.4%в сутки). и требование о погашении задолженности. В связи с этим, на ваше имя, Альфа Банка был составлен судебный иск.

Ознакомьтесь с документами дела.

С Уважением.
Альфа Банк»

Мы сохранили всю пунктуацию и орфографию оригинального письма, обратите на них внимание. Примечательно, что письмо пришло с адреса, на первый взгляд, напоминающего электронную почту банка - [email protected] . А теперь представьте, что подобное письмо получаете вы, и вы, действительно, являетесь клиентом банка и даже, возможно, у вас есть там кредит. Если не знать базовых правил безопасности в Интернете, нормальная реакция обычного человека - скорее скачать документы и разобраться, в чем же дело. А ведь именно это делать категорически нельзя!

Важно, что мошенники рассылают письма массово и от имени разных банков - уже сегодня мы получили схожее письмо якобы от банка «Открытие», в качестве приманки указывался долг по ипотечному кредиту.

А что банки?

Пресс-служба Альфа-банка попросила переслать им письмо и обещали отправить его в техническую службу на проверку, возможно, по результатам они смогут сказать, какая угроза для вашего компьютера кроется в подобных письмах.

В пресс-службе банка «Открытия» поспешили заверить: указанная рассылка осуществлялась от лица третьих лиц, не имеющих отношения к банку. «Для информирования своих клиентов банк рассылает письма только с почтовых ящиков в доменах open.ru и openbank.ru. Кроме того, банк уведомляет своих клиентов о необходимости выполнить обязательства с помощью смс-сообщений на доверенный номер клиента», - указали в пресс-службе.

Представители банка советуют при получении подобного сообщения немедленно обратиться в контактный центр банка и сообщить об инциденте, не открывая вложения и содержащиеся в письме ссылки - они содержат компьютерный вирус.

3 признака письма-вируса

Подобные «письма счастья» и раньше рассылались пользователям, распознать их можно по нескольким признакам:

1. Угроза в заголовке «Уведомление от банка «Открытие», «Повестка в суд», и другие заявления, которые способны запугать человека еще до того, как он открыл письмо. Таким образом мошенники сбивают с толку.

2. Адрес отправителя - ошибка в названии компании или перепутанный почтовый ящик. Например, [email protected] (правильный ящик - [email protected])

3. Вложенный файл . Мошенники намеренно нагнетают обстановку, чтобы вы точно скачали себе письмо, раскрывающее подробности. Делать этого ни в коем случае нельзя - этот файл как раз и содержит вирус. Обратите внимание, в имя файла может входить надпись «.doc» или «.pdf», а дальше указано js или exe - таким образом вас пытаются запутать, представив файл в качестве документа.

Как работает вирус

Если вы все-таки установили файл (программисты называют его шифровальщиком), то скорее всего вся ваша информация будет утеряна безвозвратно. После скачивания и запуска вредоносного файла происходит обращение к удаленному серверу, с которого скачивается вирусный код. Все данные на компьютере шифруются случайной последовательностью символов. Раскодировать файлы может только сам хакер. Считайте, что с этого момента хакер получил доступ ко всем данным, содержащимся на вашем компьютере, включая доступ к онлайн-банкам. А это уже реальная опасность остаться не только без данных, но и без денег.

Сегодня одной из актуальных разновидностей вредоносного ПО «компьютерного вируса» является вирус «шифровальщик».

В основном компьютер подвергается инфицированию через спам-письмо с вложением якобы от исполнительных органов власти или федеральных структур, например ФНС, службы судебных приставов, ГИБДД и других. После попадания в компьютер вирус шифрует все файлы, находящиеся на жестком диске, которые представляют ценность для (фото, видео, документы и т.д.).

При попытке открыть зашифрованные файлы, на экране появляется сообщение с требованием перевести определенную сумму денег за восстановление файлов.
Суммы варьируются и доходят до сотни тысяч рублей.

Сергей Игнатьев, заместитель генерального директора по IT развитию и продвижению ООО «ГЕЛИОС-С»:

Появление такого или похожего сообщения уже означает, что вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители.
Как правило, в большинстве случае вы получили и открыли электронное письмо от вызывающего у вас доверие контрагента или отправителя, завуалированного под известную организацию. В теме может содержаться просьба провести акт сверки бухгалтерских операций за какой-то период, предоставить подтверждение оплаты счета, ознакомиться с кредитной задолженностью и т.д.
Самое главное, что информация обычно составлена таким образом, что обязательно вас заинтересует, и вы откроете вложенный файл с вирусом, который прикреплен к электронному письму. Этого и добиваются мошенники.

Итак, вы открываете вложение, которое имеет расширение «js», «exe», или «bat», а по идее не должны бы. Все мы прекрасно знаем расширения файлов, с которыми работаем. В основном это расширения офисных приложений: doc, docx, xls, odt. Данный файл скачивает с сервера злоумышленников троян или баннер, и программу для шифрования. Складывает все это во временную папку пользователя и сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ.

В качестве шифровальщика (на примере vault) выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования - RSA-1024 . По сути, эта утилита много где используется, не является вредоносным объектом сама по себе, следовательно, антивирусные программные продукты пропускают и не реагируют на ее работу.
Что делать?
Вариантов, к несчастью, мало. На просторах интернета, есть довольно много информации о том, как попытаться расшифровать файлы vault, xtbl, ytbl и т.д. К сожалению, все эти рекомендации мало чем помогают, к тому же попытки самостоятельной расшифровки файлов зачастую приводят к невозможности дешифровки, даже при наличии закрытого ключа шифрования.
Помощи от антивирусных компаний ждать тоже не приходится. RSA-1024 – очень серьезный и сложный процесс шифрования, и на ваш запрос в любую антивирусную лабораторию вы получите примерно следующее: «К сожалению, помочь не сможем, за приемлемое время расшифровка невозможна».
В свободном доступе есть такие утилиты для дешифровки, как: Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor или Xorist Decryptor, но они помогают только для отдельных типов шифровщиков, в случае с vault, xtbl они не срабатывают.
Основная рекомендация от наших защитников: обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Есть еще возможность заплатить злоумышленникам, но мы же не хотим своими деньгами поддерживать мошенников, да и вероятность возвращения наших драгоценных данных - 50 на 50.

Рассмотрим, как же все-таки мы можем предотвратить эти крайне нежелательные действия над нашими файлами или хотя бы снизить их коэффициент влияния на работоспособность нашего бизнеса.
Итак, первое и, наверно, самое главное: резервное копирование - наше «ВСЁ». Не пожалейте денег, сил и времени на резервное копирование данных. Съемный жесткий диск, стоит гораздо дешевле тех денег, которые просят вымогатели за расшифровку данных. Копирование критически важных для вас данных: баз 1С, текстовых документов, таблиц на съемный носитель, хотя бы раз в неделю не займет много времени, но сэкономит массу нервов и денег в случае шифровки данных на компьютере.
Второе: настоятельно рекомендуем настроить параметры восстановления системы и теневые копии папок. По опыту это спасает в 95 процентах случаев заражения и шифрования данных. Третье: Антивирусная защита обязательна. Наличие проверенного и зарекомендовавшего себя с лучшей стороны антивирусного программного обеспечения, с последними обновлениями сигнатурных баз поможет вам защититься от непредвиденных и неприятных ситуаций.
Ну, и последнее: не открывайте файлы неизвестного вам типа. Не может файл с расширением exe или bat быть актом сверки, или, например, резюме соискателя. Ну не может владелец почты [email protected] знать о блокировке ваших лицензий 1С или о вашей задолженности по кредиту в банке. Повышайте компьютерную грамотность свою и ваших сотрудников. Это в современной жизни обязательно пригодится.

Эта инструкция не предназначена для технических специалистов, поэтому:

1. определения некоторых терминов упрощены;
2. не рассматриваются технические подробности;
3. не рассматриваются методы защиты системы (установка обновлений, настройка систем безопасности и т.д.).

Инструкция написана мною в помощь сисадминам, желающим провести обучение работников компании, далёких от сферы IT (бухгалтерия, кадры, продажники и т.д), основам кибергигиены.

Глоссарий

Программное обеспечение (далее — ПО) — программа или множество программ, используемых для управления компьютером.

Шифрование — это преобразование данных в вид, недоступный для чтения без ключа шифрования.

Ключ шифрования — это секретная информация, используемая при шифровании/расшифровке файлов.

Дешифратор — программа, реализующая алгоритм расшифровывания.

Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.

Почтовое вложение — файл, прикреплённый к электронному письму.

Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg, то запуститься просмотрщик изображений и т.д.

Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.

Текстовый файл — компьютерный файл, содержащий текстовые данные.

Архивация — это сжатие, то есть уменьшение размера файла.

Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.

Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.

Что это такое — вирус-шифровальщик?

Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы и таблицы MS Office (docx , xlsx ), изображения (jpeg , png , tif ), видеофайлы (avi , mpeg , mkv и др.), документы в формате pdf и др., а также файлы баз данных — 1С (1CD , dbf ), Акцент (mdf ). Системные файлы и программы обычно не шифруются, чтобы сохранить работоспособность Windows и дать пользователю возможность связаться с вымогателем. В редких случаях шифруется диск целиком, загрузка Windows в этом случае невозможна.

В чём опасность таких вирусов?

В подавляющем большинстве случаев расшифровка собственными силами НЕВОЗМОЖНА, т.к. используются чрезвычайно сложные алгоритмы шифрования. В очень редких случаях файлы можно расшифровать, если произошло заражение уже известным типом вируса, для которого производители антивирусов выпустили дешифратор, но даже в этом случае не гарантируется восстановление информации на 100%. Иногда вирус имеет изъян в своём коде, и дешифровка становиться невозможна в принципе, даже автором вредоносной программы.

В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления.

Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, т.к. используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, клиент-банк), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.

Пути заражения.

Чаще всего заражение происходит через почтовые вложения. Пользователю приходит письмо по электронной почте от известного ему адресата или замаскированного под какую-либо организацию (налоговая, банк). В письме может содержаться просьба провести бухгалтерскую сверку, подтвердить оплату счёта, предложение ознакомиться с кредитной задолженностью в банке или что-то подобное. То есть, информация будет такова, что непременно заинтересует или испугает пользователя и побудит открыть почтовое вложение с вирусом. Чаще всего это будет выглядеть как архив, внутри которого находится файл с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. После запуска такого файла сразу же или через некоторое время начинается процесс шифрования файлов на ПК. Также заражённый файл может быть прислан пользователю в одной из программ для обмена мгновенными сообщениями (Skype, Viber и др.).

Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке на сайте или в теле письма.

Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространится на другие машины, используя уязвимости в Windows или/и в установленных программах.

Признаки заражения.

1. Очень часто после запуска файла, приложенного к письму, наблюдается высокая активность жёсткого диска, процессор загружен до 100%, т.е. компьютер начинает сильно «тормозить».
2. Через некоторое время после запуска вируса ПК внезапно перезагружается (в большинстве случаев).
3. После перезагрузки открывается текстовый файл, в котором сообщается, что файлы пользователя зашифрованы и указываются контакты для связи (электронная почта). Иногда вместо открытия файла обои рабочего стола заменяются на текст с требованием выкупа.
4. Большинство файлов пользователя (документы, фото, базы данных) оказываются с другим расширением (например — *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl и др.) или вообще полностью переименованы, и не открываются никакой программой, даже если поменять расширение. Иногда шифруется ­жёсткий диск целиком. В этом случае Windows вообще не загружается, а сообщение с требованием выкупа показывается почти сразу после включения ПК.
5. Иногда все файлы пользователя оказываются помещены в один архив, защищённый паролем. Это происходит, если злоумышленник проникает на ПК и производит архивирование и удаление файлов вручную. Т.е., при запуске вредоносного файла из почтового вложения файлы пользователя не шифруются автоматически, а происходит установка программного обеспечения, позволяющего злоумышленнику скрытно подключиться к ПК через интернет.

Пример текста с требованием выкупа

Что делать, если заражение уже произошло?

1. Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит»; открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них стали появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!
2. Если шифрование уже состоялось, ни в коем случае не стоит пытаться самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком.

В обеих случаях нужно немедленно сообщить о происшествии системному администратору.

ВАЖНО!!!

Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.

Как предотвратить заражение или свести его последствия к минимуму?

1. Не открывайте подозрительные письма, особенно с вложениями (как распознать такие письма — см. ниже).
2. Не переходите по подозрительным ссылкам на сайтах и в присланных письмах.
3. Не скачивайте и не устанавливайте программы из недоверенных источников (сайты со взломанным ПО, торрент-трекеры).
4. Всегда делайте резервные копии важных файлов. Наилучшим вариантом будет хранить резервные копии на другом носителе, не подключённом к ПК (флэшка, внешний диск, DVD-диск), или в облаке (например, Яндекс.Диск). Часто вирус шифрует и файлы архивов (zip, rar, 7z), поэтому хранить резервные копии на том же ПК, где хранятся исходные файлы — бессмысленно.

Как распознать вредоносное письмо?

1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, счёт или резюме.

2. В письме содержится информация, не имеющая отношения к нашей стране, региону или сфере деятельности нашей компании. Например, требование погасить долг в банке, зарегистрированном в РФ.

3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.

4. Письмо пришло якобы от известной компании, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.

5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.

6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.

7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.

8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. Также, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятно, что его ПК взломали или заразили вирусом.

Пример вредоносного письма