Утилита дешифровки – против троянца-энкодера
Компания «Доктор Веб» разработала утилиту, справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия этого представителя семейства энкодеров шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов.
Один из выявленных способов распространения новой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.
Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. Программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если эти серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев рабочего стола Windows устанавливается изображение с текстом, сообщающее, что файлы на компьютере зашифрованы и за расшифровку надо заплатить. На компьютере жертвы также появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.
На нескольких ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования. Тем не менее специалисты «Доктор Веб» разработали утилиту, способную справиться с этой задачей. Для подбора ключей требуется компьютер с мощной конфигурацией, на обычных домашних ПК процесс может занять около месяца. На сервере с 24 процессорными ядрами ключ удалось подобрать за 20 часов.
Компания «Доктор Веб» рекомендует жертвам вредоносной программы Trojan.Encoder.252 придерживаться следующих простых правил, чтобы вернуть зашифрованные файлы:
- не менять расширение зашифрованных файлов;
- не переустанавливать ОС, чистить или лечить ее с помощью различных утилит и специальных приложений;
- не запускать утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
- написать заявление о совершенном преступлении в правоохранительные органы;
- обратиться в антивирусную лабораторию «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождавшись ответа вирусного аналитика.
Отметим, что в связи с большим количеством запросов персональная помощь в расшифровке файлов оказывается только лицензионным пользователям продукции Dr.Web.