Когда до чьих-то файлов добираются вымогатели, первое, о чем обычно думают жертвы, — это платить выкуп или нет. Обычно мы рекомендуем не платить, если это возможно. И вот почему: чем больше денег получают мошенники, тем охотнее они распространяют своих зловредов. Если же вы столкнулись с вымогателем Ranscam, то платить выкуп не просто не стоит, а в прямом смысле слова бесполезно. Дело в том, что этот троян удаляет файлы еще до того, как попросит деньги.
Threatpost сообщает об обнаружении нового зловреда, который прикидывается шифровальщиком-вымогателем, но подходит к вопросу предельно грубо — как хирург, взявший в руки кувалду вместо скальпеля.
К сожалению, кувалда — очень эффективный инструмент для разрушения. Пока традиционные трояны-вымогатели шифруют данные пользователей хитрым образом, ждут выкупа и потом, возможно, восстанавливают данные, Ranscam всех попросту надувает.
Как работает Ranscam
Первое, что видит жертва трояна, — это требование выкупа. Оно выглядит как обычное уведомление с одним исключением: вместо того чтобы перенаправить пользователей на внешний ресурс, на котором они могли бы верифицировать свой платеж, троян показывает жертвам кнопку «I made payment, please verify» («Я все оплатил, пожалуйста, подтвердите»).
Однако каждый раз, когда жертва нажимает кнопку подтверждения платежа, зловред выводит предупреждение «Платеж не верифицирован». Вымогатель угрожает удалять по файлу каждый раз, когда пользователь жмет на кнопку, не заплатив. Скорее всего, создатели Ranscam надеялись, что из-за этого трюка жертвы занервничают и отправят им деньги несколько раз.
На самом деле все угрозы вымогателя — обман, но и жертву ничего хорошего не ждет. Хотя Ranscam утверждает, что файлы пользователя были спрятаны в «скрытом, зашифрованном разделе на диске», на самом деле троян уже давно удалил их. Таким образом, у жертв нет никакой надежды восстановить утерянное.
Судя по всему, преступники выбрали этот подход из-за того, что они не умеют программировать. Так считают и специалисты исследовательской группы Cisco Talos: чтобы просто удалить файлы, мошенникам не нужно разбираться в шифровании и блокировке.
Ranscam пока не был замечен ни в одной массовой атаке, однако этот пример наглядно показывает: в некоторых случаях уплата выкупа ничем не поможет. Вообще.
Как вернуть файлы?
Вернуть файлы, удаленные Ranscam, не получится. Единственный способ защитить себя — это не дать ему попасть в систему. Для этого рекомендуем придерживаться этих простых правил:
1. Не открывайте подозрительные вложения и не переходите по сомнительным ссылкам.
Пока не так много известно о том, как распространяется Ranscam, но самый вероятный способ — это фишинг и спам. Так что, если вы не уверены в том, что кликать по ссылке или файлу безопасно, — лучше не кликайте.
2. Регулярно делайте резервные копии и храните их на диске, не подключенном к Интернету.
Если вымогатель доберется до ваших данных, вы не пострадаете — просто скопируете все файлы из резервного хранилища обратно на диск.
3. Используйте надежный антивирус.
Kaspersky Internet Security распознает Ranscam как Trojan-Ransom.MSIL.Agent. Конечно же, наше решение не позволит трояну сделать что-нибудь плохое с вашими файлами.