Расшифровка файлов, пострадавших от троянца Vault

По сообщению компании «Доктор Веб», ее специалисты разработали методику расшифровки файлов, пострадавших от действий троянца-энкодера Trojan.Encoder.2843, известного под именем Vault. Эта версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843, активно распространяется при помощи массовых почтовых рассылок.

В качестве вложения в письма используется файл, содержащий сценарий на языке JavaScript. Он извлекает из себя приложение, которое и выполняет остальные действия, необходимые для работы энкодера. Новая версия троянца-шифровальщика распространяется со 2 ноября.

Принцип работы этой вредоносной программы весьма любопытен: в системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение .vault.

Специалисты компании «Доктор Веб» разработали методику, во многих случаях позволяющую расшифровывать пострадавшие от этого троянца файлы. Жертвам вредоносной программы Trojan.Encoder.2843 они рекомендуют не пытаться переустановить ОС или «очистить» ее с использованием каких-либо утилит; не удалять никакие файлы на компьютере и не пытаться восстановить зашифрованные файлы самостоятельно. Пользователям коммерческих лицензий на антивирусные продукты Dr.Web компания предлагает услуги по расшифровке (хотя не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов).