Снова троянцы-шифровальщики

Компания «Доктор Веб» сообщила о массовом распространении двух новых модификаций троянцев-шифровальщиков – Trojan.Encoder.205 и Trojan.Encoder.215, вымогающих у пользователей тысячи долларов за расшифровку файлов.

За последние годы энкодеры стали весьма распространенной категорией угроз – во многом благодаря выгодной модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их и требуют у жертвы оплатить расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 г. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер.

Зашифровав файлы на инфицированном компьютере, программа демонстрирует на экране сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года». Жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com. В последнее время распространяется и еще одна модификация данной угрозы, отличающаяся от предшественниц другим текстом и адресом электронной почты.

Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации программ пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем для специалистов не составляет труда расшифровать этот алгоритм. «Доктор Веб» рекомендует жертвам этих вредоносных программ следующую последовательность действий: обратиться с заявлением в полицию;

ни в коем случае не пытаться переустановить ОС, не удалять никаких файлов на компьютере и не пытаться восстановить зашифрованные файлы самостоятельно, а обратиться к вирусным аналитикам, приложив зашифрованный троянцем файл.