Trojan.Encoder.205 и Trojan.Encoder.215 - новые модификации троянов-шифровальщиков


Trojan.Encoder.205 и Trojan.Encoder.215 - новые модификации семейства троянов-шифровальщиков, вымогающие у пользователей деньги за расшифровку файлов.

Цель вредоносных программ семейства Trojan.Encoder - найти на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего их зашифровать. За зашифрованные файлы, энкодеры требуют у жертв оплату за их расшифровку, при этом сумма может достигать нескольких тысяч долларов.

Трояны Trojan.Encoder.205 и Trojan.Encoder.215 – начали массово распространяться с конца марта 2013 года. Заражение этими вредоносами происходит с использованием рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы попадает троян-загрузчик, цель которого - скачать и установить энкодер.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение:

  • "Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024"

или

  • "Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года."

при этом жертве предлагается отправить письмо на любой из адресов электронной почты:

  • muranchiki @ yahoo.com;
    gdf @ gdfsgd.com;
    specialmist @ gmail.com;
    decrypfiles @ yahoo.com.

decrypting txt

Также в последнее время наблюдается распространение еще одной модификации данной угрозы, которая отличается от предшественниц другим текстом и адресом электронной почты.

Как выяснилось в ходе исследования программы, обе модификации трояна используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации трояна пользовательские данные порой не могут расшифровать даже сами злоумышленники.

Тем, кто стал жертвой указанных вредоносных программ, необходимо воспользоваться следующими рекомендациями:

  • Обратиться с соответствующим заявлением в полицию
  • Не пытаться переустанавливать операционную систему
  • Не стоит удалять никаких файлов с инфицированного компьютера
  • Не пытаться восстановить самостоятельно зашифрованные файлы
  • Обратиться в службу технической поддержки компании "Доктор Веб", создав тикет в категории "Запрос на лечение" (услуга бесплатна)
  • К тикету необходимо приложить зашифрованный трояном файл
  • Дожидаться ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.