Menu

Обережно: трояни-шифрувальники проявляють небувалу активність

Осторожно: трояны-шифровальщики проявляют небывалую активность

З липня 2013 року активність Win32/Filecoder зросла втричі, порівняно з середніми показниками першої половини року. Від дій трояна найсильніше постраждали російські користувачі - за даними ESET, на нашого північного сусіда припадає 44% виявлень FileCoder. Крім того, значна частка заражень зафіксована в Європі і США.

Потрапивши на комп'ютер тим або іншим способом, троян шифрує файли, розширення вибираючи ті, які з найбільшою ймовірністю представляють для нього цінність - як правило, документи, фотографії, музичні файли або архіви.

Для шифрування файлів різні модифікації FileCoder можуть використовувати як вбудований функціонал самого трояна, так і сторонні легальні програми - наприклад, була відзначена архівація файлів за допомогою WinRAR з функцією захисту паролем.

Після шифрування або архівації FileCoder позбавляється від оригінального файлу - іноді він просто видаляється (в таких випадках його неважко відновити програмними засобами), але частіше видалені файли, без можливості відновлення. Таким чином, на зараженому ПК залишається тільки одна копія файлу, надійно зашифрована трояном-вимагачем.

Для інформування користувача про те, що його заражений ПК, а файли зашифровані, троян демонструє спливаюче вікно з докладною інформацією про те, як розшифрувати файли. Різні модифікації трояна використовують різні варіанти тексту, причому на різних мовах. Експерти ESET виявляли повідомлення російською та англійською мовами, а також на поганому англійському, схожому на результат роботи онлайн-перекладача.

Що примітно, у повідомленні, демонстрованому зараженому користувачеві, кіберзлочинці можуть видавати себе за офіційну державну службу, яка обмежила доступ до комп'ютера, оскільки даний ПК нібито є джерелом надзвичайно небезпечного вірусу або ж поширює посилання на дитячу порнографію.

Описуючи дію вигаданого вірусу, кіберзлочинці з іронією згадують, що він небезпечний тим, що блокує файли користувача і вимагає за розблокування велику суму (меншу, ніж зазначено у повідомленні самих шахраїв). Також у повідомленні особливо відзначено, що користувач не повинен намагатися видалити цей небезпечний вірус, оскільки з ним не змогли впоратися навіть державні спецслужби.

Існують два способи позбутися від «вірусу», пишуть автори цієї шкідливої програми, - треба просто почекати 66 з невеликим нониллионов (1054) років або ж заплатити «фахівцям». За «надзвичайно важку роботу» з детектування вірусу від користувача можуть зажадати заплатити в середньому 100-200 євро (або схожу суму в національній валюті), але деякі модифікації можуть запрошувати до 3000 (трьох тисяч) євро.

Осторожно: трояны-шифровальщики проявляют небывалую активность

Звичайно, навіть виконання вимог кіберзлочинців не гарантує повернення доступу до зашифрованих файлів. А у випадку складної методики шифрування у користувача без ключа просто немає можливості розшифрувати файли самостійно. Тому, крім повноцінної антивірусного захисту, важливо регулярне резервне копіювання цінної інформації.

|