Новости Беларуси
Белорусское телеграфное агентство
Рубрики
Пресс-центр
Аналитика
Главная Новости Технологии

Как понять, что компьютер взломан и зашифрован? Эксперт назвал один из главных признаков

11.08.2023 | 16:15

Представьте, вы приходите на работу, включаете компьютер и… не можете запустить ни одну программу. О чем это может говорить и к кому стоит обращаться в такой ситуации? Рассказал заместитель начальника отдела компьютерных экспертиз управления Госкомитета судебных экспертиз Андрей Крылович.

- Интересные случаи, с которыми чаще всего сталкиваюсь я, - это шифрование каких-то организаций. Хочется понять, как действовал злоумышленник, чтобы зашифровать компанию и потребовать выкуп.

Для такой экспертизы, говорит Андрей Крылович, нужно изучать компьютер на базе системных событий, смотреть реестр: что происходило, в какой момент вредитель подключился, каким образом это сделал, что использовал для взлома системы. На компьютере стоит какое-то ПО, и у каждой программе есть своя уязвимость. Для того чтобы взломать ПК, подбирают так называемые инъекции.

- Конкретно я в том числе занимаюсь поиском информации, каким образом он [вредитель] закрепляется, какие следы после себя оставляет.

Чаще всего злоумышленники пользуются VPN. Но, если он перестает работать, могут оставить и реальные координаты.

- В самом начале он [вредитель] занимается разведкой системы - проверяет, куда можно зайти. Далее изучает, с помощью чего может проникнуть в систему. А затем уже устанавливает вредоносные программы.

Чтобы до последнего не было заметно, что с компьютером что-то неладно, вредитель скрывает следы в диспетчере задач, все окна. Рядовой пользователь ничего не заметит. Но, если на работе есть отдел информационной безопасности, специалисты могут отследить проблему. Решения бывают разные: отключить "зараженный" компьютер либо работать со взломанной системой и проверять, что будет происходить дальше.

- Чаще всего ставят вопрос: с помощью какого программного обеспечения взломано? Мы ищем это ПО, способ проникновения в систему. Каким образом? В какое время? Что делал? На компьютере почти всегда остаются следы. Случаи, когда вообще ничего нет, крайне редкие. Так что обычно можно посмотреть часть информации из общего алгоритма взлома - разведка, закрепление, шифрование: каким образом зашифровывал.

Чаще всего то, что преступление совершено, обнаруживают, например, так: главный бухгалтер включает на рабочем месте компьютер, пытается запустить бухгалтерию, а она не запускается. Пытается открыть документы - те тоже не открываются. Начинает смотреть, что произошло, и оказывается, в файлах изменено расширение - первый признак, что компьютер зашифрован.

- Шифруются вообще все популярные расширения файлов: документы, картинки, видео. При шифровании тех же баз данных уже не будет возможности работать с бухгалтерией или другими программами, необходимыми для работы.

Большая часть информации о действиях пользователя хранится на компьютере. То есть удаленный файл можно восстановить и даже посмотреть, в какое время это было сделано.

| Подготовлено по видео БЕЛТА, скриншот видео, фото из открытых интернет-источников.

Читайте также:

"Вроде каждый день слышу о мошенниках". Рассказ белоруса, который неудачно купил обувь

Как защитить ребенка от интернет-преступлений? Понятная методичка для родителей

За год только в Минске украли больше Br5 млн. Как понять, что вам звонит мошенник?