Trojan.ArchiveLock.20 - новый троян-шифровальщик


Trojan.ArchiveLock.20 - троян-шифровальщик, использующий для шифрования файлов стандартный архиватор WinRAR.

Для распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней трояна. Получив управление, Trojan.ArchiveLock.20 размещает в одной из системных папок приложение-шифровальщик.

Затем Trojan.ArchiveLock.20 создает список подлежащих шифрованию файлов, после чего очищает "корзину" и удаляет хранящиеся на компьютере резервные копии данных. С использованием консольного приложения WinRAR шифровальщик помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты – восстановление удаленных файлов после этого становится просто невозможным.

Пароль, защищающий архивы, может иметь длину более 50 символов. Затем Trojan.ArchiveLock.20 демонстрирует на экране инфицированного компьютера сообщение с требованием заплатить $5000 за пароль, необходимый для извлечения файлов из архива, предлагая обращаться за "технической поддержкой" по одному из следующих адресов электронной почты:

  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Warning Access to your computer is limited

Уже от действия трояна пострадало значительное количество пользователей в Испании и Франции. За последние 48 часов, т.е. с 11.03 по 13.03.2013 года, в службу технической поддержки "Доктор Веб" обратилось более 40 жертв, пострадавших от действия Trojan.ArchiveLock.20. Подобные запросы продолжают поступать.

Хотя в демонстрируемом на экране инфицированного компьютера сообщении злоумышленники говорят о невозможности подобрать пароль к архивам, из-за особенностей применяемого хеширования sha1 во многих случаях расшифровка и восстановление файлов возможны.

Поэтому, пострадавшим от Trojan.ArchiveLock.20 пользователям рекомендуется ни в коем случае не удалять никакие файлы с жесткого диска инфицированного компьютера и не переустанавливать операционную систему. Для расшифровки заархивированных трояном файлов можно обратиться в компанию "Доктор Веб", создав тикет в категории Запрос на лечение". Данная услуга предоставляется бесплатно.