Еще волна троянцев-шифровальщиков

--> Дата: Июл 12, 2013 49

Компания «Доктор Веб» сообщила о росте числа пользователей, пострадавших от действия троянцев-шифровальщиков: наибольшее распространение из них получила программа Trojan.Encoder.94, весьма популярен и Trojan.Encoder.225.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, эти троянцы, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией о восстановлении данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, варьируется от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики обычно распространяются посредством спам-рассылок. Так, Trojan.Encoder.225 может попасть в ОС с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который скачивает Trojan.Encoder с управляющего сервера. Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и Постановление арбитражного суда.exe.

Троянец Trojan.Encoder.225 написан на языке Delphi и имеет три версии. В предыдущей модификации для связи использовался адрес milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации, в настоящий момент ведется работа.

Наиболее распространенный троянец-шифровальщик Trojan.Encoder.94 насчитывает более 350 модификаций. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке.

Согласно сообщению компании «Доктор Веб», в связи с большим числом запросов на лечение и возросшей нагрузкой на антивирусную лабораторию помощь в расшифровке файлов с 19 июня оказывается только зарегистрированным пользователям продуктов «Доктор Веб».