Как понять, что компьютер взломан и зашифрован? Эксперт назвал один из главных признаков

– Интересные случаи, с которыми чаще всего сталкиваюсь я, – это шифрование каких-то организаций. Хочется понять, как действовал злоумышленник, чтобы зашифровать компанию и потребовать выкуп.

Для такой экспертизы, говорит Андрей Крылович, нужно изучать компьютер на базе системных событий, смотреть реестр: что происходило, в какой момент вредитель подключился, каким образом это сделал, что использовал для взлома системы. На компьютере стоит какое-то ПО, и у каждой программе есть своя уязвимость. Для того чтобы взломать ПК, подбирают так называемые инъекции.

– Конкретно я в том числе занимаюсь поиском информации, каким образом он [вредитель] закрепляется, какие следы после себя оставляет.

Чаще всего злоумышленники пользуются VPN. Но, если он перестает работать, могут оставить и реальные координаты.

– В самом начале он [вредитель] занимается разведкой системы – проверяет, куда можно зайти. Далее изучает, с помощью чего может проникнуть в систему. А затем уже устанавливает вредоносные программы.

Чтобы до последнего не было заметно, что с компьютером что-то неладно, вредитель скрывает следы в диспетчере задач, все окна. Рядовой пользователь ничего не заметит. Но, если на работе есть отдел информационной безопасности, специалисты могут отследить проблему. Решения бывают разные: отключить «зараженный» компьютер либо работать со взломанной системой и проверять, что будет происходить дальше.

– Чаще всего ставят вопрос: с помощью какого программного обеспечения взломано? Мы ищем это ПО, способ проникновения в систему. Каким образом? В какое время? Что делал? На компьютере почти всегда остаются следы. Случаи, когда вообще ничего нет, крайне редкие. Так что обычно можно посмотреть часть информации из общего алгоритма взлома – разведка, закрепление, шифрование: каким образом зашифровывал.

Чаще всего то, что преступление совершено, обнаруживают, например, так: главный бухгалтер включает на рабочем месте компьютер, пытается запустить бухгалтерию, а она не запускается. Пытается открыть документы – те тоже не открываются. Начинает смотреть, что произошло, и оказывается, в файлах изменено расширение – первый признак, что компьютер зашифрован.

– Шифруются вообще все популярные расширения файлов: документы, картинки, видео. При шифровании тех же баз данных уже не будет возможности работать с бухгалтерией или другими программами, необходимыми для работы.

Большая часть информации о действиях пользователя хранится на компьютере. То есть удаленный файл можно восстановить и даже посмотреть, в какое время это было сделано.

| Подготовлено по видео БЕЛТА.

| Скриншот видео, фото из открытых интернет-источников.