Win32/Filecoder или новые сведения о трояне-вымогателе


Win32/Filecoder - троянская программа, шифрующая личные файлы пользователей с целью получения выкупа за их расшифровку.

С июля 2013 года активность Win32/Filecoder возросла втрое, по сравнению со средними показателями первой половины года. От действий данного трояна сильнее всего пострадали российские пользователи. Так по данным ESET, на Россию приходится 44% всех обнаружений FileCoder. Также значительная доля заражений зафиксирована в Европе и США.

Число жертв FileCoder во всем мире ежедневно увеличивается на сотни.

Graphik aktivnosti troyanov semeistva Win32FileCoder v 2013
График активности троянов из семейства Win32/FileCoder в 2013 году

Для заражения ПК разработчики FileCoder и его модификаций используют целый ряд методик:

  • скрытая установка с помощью набора эксплойтов, использующих различные программные уязвимости (drive-by download);
  • вредоносные вложения в письмах, рассылаемых злоумышленниками по электронной почте;
  • установка с помощью другой троянской программы.


Также была зафиксирована установка FileCoder вручную, c использованием доступа к компьютеру жертвы через службу подключения к удаленному рабочему столу Windows.

Попав на компьютер пользователя, троян шифрует его файлы, выбирая документы, фотографии, музыкальные файлы или архивы.

Для шифрования файлов различные модификации FileCoder могут использовать как встроенный функционал самого трояна, так и сторонние легальные программы. Например, архивация файлов при помощи WinRAR с функцией защиты паролем.

После шифрования или архивации FileCoder избавляется от оригинального файла – иногда он просто удаляется (в таких случаях его нетрудно восстановить программными средствами), но чаще удаленные файлы перезаписываются без возможности восстановления. Таким образом, на зараженном ПК остается только одна копия файла, надежно зашифрованная трояном-вымогателем.

Далее троян демонстрирует всплывающее окно на мониторе пользователя с подробной информацией о расшифровке файлов. При этом различные модификации трояна используют разные варианты текста, причем на разных языках.

В сообщении, демонстрируемом пользователю, киберпреступники часто выдают себя за официальную государственную службу, которая ограничила доступ к компьютеру, поскольку данный ПК якобы является источником чрезвычайно опасного вируса или же распространяет ссылки на детскую порнографию.

Описывая действие выдуманного вируса, киберпреступники указывают на то, что он блокирует файлы пользователя и требует за разблокировку крупную сумму (меньшую, чем указано в сообщении самих мошенников). Также в сообщении отмечается, что пользователь не должен пытаться удалить этот опасный вирус, поскольку с ним не смогли справиться даже государственные спецслужбы.

Со слов авторов самого вредоноса, существуют два способа избавиться от "вируса":

  • необходимо подождать 66 с небольшим нониллионов (1054) лет;
  • заплатить "специалистам" за "чрезвычайно тяжелую работу по детектированию и разблокировке вируса".


Другими словами, пользователю дешевле заплатить выкуп, который может быть от 100 до 3000 евро.

Primeri soobshenii Win32FileCoder
Примеры сообщений, показываемые жертвам в окне вымогателя

Однако, даже выполнение требований киберпреступников не гарантирует возвращения доступа к зашифрованным файлам. А в случае сложной методики шифрования у пользователя без ключа просто нет возможности расшифровать файлы самостоятельно. Поэтому, помимо полноценной антивирусной защиты, важно регулярное резервное копирование ценной информации.