Troldesh - новая версия трояна вымогателя, оснащенная новым функционалом


Troldesh (Microsoft Malware Protection Center) - семейство вымогателей, также известных как Encoder.858 или Shade. Новый вариант вредоноса взаимодействует с анонимной сетью Tor.

Разработчики внесли в свое детище ряд изменений. В частности:

  • Уведомление о выкупе теперь включает ссылки на адрес в сети Tor, который предлагается использовать в качестве формы обратной связи. Ранее вирусописатели использовали только адрес электронной почты.
  • Расширение имен файлов. Теперь после зашифровки файла к его имени добавляются расширения .da_vinci_code или .magic_software_syndicate.


Оказавшись на системе троян создает файлы

  • %APPDATA%\windows\csrss.exe - копия вредоносной программы;
  • %TEMP%\state.tmp - временный файл, используемый для шифрования.


Для своего автоматического запуска при каждом включении компьютера Troldesh изменяет некоторые записи в системном реестре.

После зашифровки файлов, шифровальщик выводит на экран сообщение с требованием о выкупе за восстановление файлов. При этом сообщение отображается на русском и английском языках, что говорит о причастности к его созданию русскоязычных вирусописателей.