Всем привет!
Расскажу вам историю.
В свободное от работы время я часто помогаю друзьям и знакомым с вопросами по технике.
Кому-то нужно починить ноутбук, кому-то подобрать подходящий девайс к покупке и тому подобное. А в тяжелые времена даже приходилось зарабатывать на жизнь таким нехитрым способом. Сейчас ко мне редко обращаются с подобными вопросами, а «старые клиенты» звонят раз в пару лет.
Вчера позвонила знакомая барышня (знакомая от другой моей знакомой барышни), с которой я не общался больше года. Меня трудно удивить, да и за все время работы видел много веселого, вроде «я на него села и он не включается» или «постой пока тут, у нас так инет лучше работает» и прочее шаманство :)
Но тут все оказалось намного интереснее. Сказала, что невозможно работать и лучше посмотреть на месте. Договорились о встрече.
Я взял «священный набор» флешек различных сортов и мастей, коробку с отвертками, кисточку пинцет, скальпель, зажим и шприц (с термопастой - никогда не знаешь, что может пригодиться). И отправился в подземелье, всем известное как «Московский метрополитен».
Добрался без происшествий, подумал – добрый знак (хаха, какой наивный). Барышня встретила меня и я быстро оценил обстановку. Что тут у нас? Самсунг r500 серии – такие клепали еще 8 лет назад. Механически цел, что уже хорошо, разбирать не придется. Включаем – все как обычно. Тишина. Только старенький антивирус с красным зонтиком тихо сопит в углу, иногда похрапывая рекламой. Все как бы намекает «проходи, не задерживайся».
Вроде бы порядок.
За исключением одной мелочи.
Все файлы docx, jpg, pdf имеют после расширения точку с набором букв, начиная с «W». И так на всем диске.
И вот тут начинается самое интересное!
При попытке изучить описание (переименовать в нормальный/открыть) начинает происходить полный апокалипсис.
Рядом с затронутым файлом появляются новые файлики с изображениями, вот такие:
только на русском. Через пару минут меняется фон на рабочем столе на такую же картинку.
В диспетчере задач начинается бурление левых процессов, без возможности доступа к ним.
Картина маслом «о Боже, мы его теряем!».
И тут появляется главная падла и выходит в полный рост в центре экрана. «Вот он, этот коварный тип, гражданской наружности»:
Запускается таймер с обратным отсчетом на неделю. Вежливо, по-понятиям, на родном языке (справа вверху внушительный список на выбор) - нам втирают знакомую дичь. Хотят 300 заморских баксов, причем только биткоинами россыпью.
Пинать труп немного мертвой мелкомягкой форточки седьмого номера - дело неблагородное.
Заклинание призыва зеленого жука дает только пьяное существо, которое сопит так же, как и старый антивирь. Остается только один вариант - призвать древнее зло на языке зулу запустить Ubuntu (линукс в общем). Либо сносить все к чертям.
На последнее предложение барышня соглашается легко, аргументируя "у меня все в облаке есть".
И тут я замечаю (взглядом удивленного суслика) НЛО, выкачивающее последние очки жизни у системы. Нет, реально и вполне серьезно, программку с характерной иконкой в трее (вот и облако вспомнили). И угадайте, что там происходит? Правильно - загрузка всех файлов по расписанию. ВСЕХ, МАТЬ ИХ, ФАЙЛОВ!!
Дело дрянь. Проверяем файлы в облаке. Там как на Марсе. Жизни нет. Совсем.
Не теряя надежду, проверяем все папки в поисках картохи файлов. Бесполезно - не выросла все заражено. Софтина заменила все нормальные файлы на шифрованные. Глубокий вдох, включаем режим "дзен" и продолжаем полет по приборам. Логика говорит, что за 15 минут все файлы выкачать было нереально. Значит вирус был на компе как минимум последние сутки, пока выполнялось обновление. А что у нас может лежать больше суток и не прокиснуть? То что уже выкинули! Лезем в корзину - вуаля, значительная часть старых (и теперь вполне годных) данных цела и невредима. Рисковать нельзя, запускаем линукс, заходим в облако и скачиваем на комп пару документов - все чисто.
Получив добро сжечь все снести винду от греха подальше, приступаю к реанимации "самвсуньга".
Дальше все как обычно, пока мне готовят кофе и техника понемногу оживает, протираю экран и корпус ноута влажной салфеткой (ну не люблю я в грязи работать). Мы пьем кофе, рассказываем друг другу разные истории, а ноут с радостным воплем новорожденного ребенка все чаще рапортует об успешном ясделялЪ запуске после очередного контрольного ребута. Тут уже все штатно и по плану - пуск всех систем, контроль датчиков, замер пульса и стабильности остатков расшатанной психики нашего зверька и оценка пробега. Винт (вентилятор... хотя и диск тоже), правда, заикается, но еще полетит. Дрова вливаются без хруста как компот в графин, инет бежит как трамвай по свежим рельсам - красота. И все на древнем бородатом ноуте с волшебными сине-зелеными наклейками "коре два дую" и "печ жифорс 9000".
Пара часов работы и все становится на свои места.
Хозяйка ноута довольна, зверек жив, файлы, хоть и не самые свежие, но спасены, хепи энд одним словом. Собираюсь и еду домой. И уже в дороге нахожу кучу новостей и оцениваю масштаб проблемы.
Остается только один вопрос - что делать обычному человеку в таких ситуациях?
По моему скромному мнению, лучше избегать их. Уже много инфы в инете на эту тему, но в целом картина невеселая - попасть может кто угодно. Вроде как маки и компы на линуксе пока что остались в стороне от этих проблем. Но большинство (по разным причинам) пользуется виндой. И никто не угадает, когда и каким образом все файлы могут превратиться в тыкву.
Намного лучше сейчас скопировать фотографии, любимую музыку и прочие ценные для вас файлы на внешний диск и положить в шкаф. Это далеко не панацея, но как минимум вы будете спокойны, и любому мастеру/другу/тыжпрограммисту будет намного проще привести в порядок вашу технику и не тратить время на поиски уцелевших крупиц информации.
Берегите нервы, технику починить намного проще!
Если вы не сильно разбираетесь в технике и заметили что-то странное на вашем компьютере - лучше выключите его и позовите того, кто разбирается лучше вас.
Как показал мой случай - все файлы на пк были зашифрованы всего за 1 сутки, т.е. как только вы увидели хоть 1 подозрительно измененный файл без вашего участия - выключайте сразу. Если вы будете копировать файлы с жесткого диска без участия windows, то, возможно, успеете спасти значительную часть файлов до того, как они будут зашифрованы (кто хочет знать, как это можно сделать - пишите в комментариях - запилю отдельный пост - инструкции я писать умею лучше, чем обычный текст).
Мне уже позвонили, когда все файлы были изменены и зашифрованы и с ними просто было невозможно работать.
Для тех, кто немного разбирается - резюмируем, что мы узнали:
- под угрозой любой пк под windows, причем чем древнее железо и ОС, тем больше угроза
- про свежий пакет обновления системы уже писали - не рекомендую, т.к. у многих BSOD (синий экран смерти)
- в моем случае пк был подключен к инету напрямую по кабелю (провайдер тут в принципе не важен) по DHCP (т.е. без каких-либо настроек), в теории, подключение через обычный роутер затруднит атаку на пк, а через хорошо настроенный - тем более
- БЭКАПЫ и еще раз БЭКАПЫ!!! дублируйте важные файлы и храните отдельно от пк - внешний хард или облако (но с ручным, мать его, обновлением!!)
- закрыть все неиспользуемые порты на пк, особенно 445
- антивирусы молчат в тряпочку и ничего не видят, проверка имеет смысл только с live-cd версий
- возможно вирус попадает на пк через файл (в моем случае ноут использовался для общения с коллегами из европы (скайп, передача аудиофайлов .m4a и .wmv через почту), т.е. либо через файлы, либо это "привело" атаку на пк
- сама программа выглядит как файл с иконкой, похожей на логотип нокии и названием "Wana decrypt0r 2.0.exe"
- предупредите ваших знакомых, особенно тех, кто не разбирается в технике от слова "совсем"
- если найдете что-то полезное, пишите в комментариях, буду признателен!
Всем щастьяздоровья крепких нервов, интересной работы, удобной техники и отличного настроения!