Menu

Троянці-шифрувальники продовжують наступ на країни СНД

Компанія «Доктор Веб» попереджає користувачів про масове розповсюдження двох нових модифікацій троянців-шифрувальників - Trojan.Encoder.205 і Trojan.Encoder.215. Небезпечні вони тим, що вимагають у користувачів тисячі доларів за розшифровку файлів. Фахівці «Доктор Веб» пропонують безкоштовні рекомендації, які допоможуть жертвам усунути наслідки зараження цими шкідливими програмами і розшифрувати файли.

Троянці-шифрувальники за останні роки стали досить поширеною категорією загроз. Багато в чому завдяки вигідною для зловмисників моделі монетизації, аналогічної тій, що використовувалася при масовому поширенні Trojan.Winlock. Шкідливі програми сімейства Trojan.Encoder відшукують на дисках інфікованого комп'ютера користувача файли, зокрема документи Microsoft Office, музику, фотографії, картинки та архіви, після чого шифрують їх. Зашифрувавши файли, энкодеры вимагають у жертви оплатити їх розшифровку, при цьому сума «викупу» може сягати кількох тисяч доларів.

Троянець Trojan.Encoder.205 і його більш пізня модифікація - Trojan.Encoder.215 - почали масово поширюватися в кінці березня - початку квітня 2013 року. Як правило, зараження відбувається з використанням масової розсилки повідомлень електронної пошти, що містять експлойт для однієї з вразливостей (CVE-2012-0158). З використанням цього експлойта на комп'ютер жертви проникає троянець-завантажувач, який, у свою чергу, завантажує та встановлює енкодер. За даними на п'ятницю, 19 квітня 2013 року в службу технічної підтримки компанії «Доктор Веб» вже звернулося 105 користувачів, які постраждали від Trojan.Encoder.205, і 74 жертви троянця Trojan.Encoder.215, при цьому заявки продовжують надходити.

Зашифрувавши файли на інфікованому комп'ютері, шкідлива програма демонструє на екрані наступне повідомлення, що починається з фрази «Якщо Ви читаєте це повідомлення, то Ваш комп'ютер був атакований небезпечним вірусом. Вся ваша інформація (документи, бази даних, бекапи та інші файли) на цьому комп'ютері було зашифровано за допомогою самого криптостійкого алгоритму в світі RSA1024» або «Всі важливі для Вас дані на цьому комп'ютері (документи, зображення, бази даних, поштове листування і т.д.) шифрується з використанням унікального криптографічного алгоритму. Без спеціального програмного забезпечення розшифровка одного файлу з використанням самих потужних комп'ютерів займе близько року.», при цьому жертві пропонується відправити лист на адресу електронної пошти Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її. , Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її. , Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її. або Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її. .

Троянцы-шифровальщики продолжают наступление на страны СНГ

Останнім часом спостерігається поширення ще однієї модифікації цієї загрози, що відрізняється від попередниць іншим текстом та адресою електронної пошти (на 19 квітня служба технічної підтримки «Доктор Веб» зафіксувала 58 звернень користувачів, які постраждали від цієї загрози).

Незважаючи на заяви кіберзлочинців, обидві модифікації троянця використовують доволі примітивний потоковий алгоритм шифрування, при цьому з-за недоліків реалізації троянця користувальницькі дані часом не можуть розшифрувати навіть самі зловмисники. Разом з тим, цей алгоритм легко піддається розшифровці фахівцями «Доктор Веб».

|