Описание троянской программы Trojan.Encoder.252 и утилиты, предназначенной для расшифровки файлов.
Специалистам компании «Доктор Веб» первым удалось разработать программное обеспечение, способное расшифровать файлы после заражения системы вирусом Trojan.Encoder.252.
Очередная версия нашумевшего семейства троянцев-энкодеров также шифрует файлы на жестком диске и требует от пользователя перечислить определенную сумму за восстановление доступа к ним.
Троянская программа проникает в систему через массовую рассылку якобы от представителей арбитражного суда.
После запуска в операционной системе, вредоносная утилита копирует себя в один из системных каталогов, называя файл svhost.exe, после чего редактирует реестр, обеспечивая автоматический запуск сразу после старта компьютера.
Троянское приложение начинает шифрование файлов только в случае, если атакованный ПК имеет активное подключение к Интернету.
Вирус Trojan.Encoder.252 последовательно проверяет логические диски, получая список файлов с заданным расширением (.jpg, .jpeg, .rtf, .xls, .doc, .zip, .rar, .7z, .pps, .pot, .docx, .dot, .pdf, .iso, .cdr, .php, .psd, .ppsx, .sql, .pgp, .csv, .dwg, .kwm, .key, .cad, .crt, .pptx, .dbf, .xlsx, .1cd, .txt), которые сохраняются в специальном текстовом документе.
Далее вредоносная программа устанавливает соединение с управляющим узлом, на который позже будет отправлен ключ шифрования. К именам зашифрованным файлам Trojan.Encoder.252 дописывает строку Crypted, а на рабочем столе Windows появляется надпись с требованием переслать нужную сумму для расшифровки файлов.
Ранее многие специалисты считали, что расшифровать файлы невозможно – слишком сложный алгоритм используют злоумышленники. Однако компании «Доктор Веб» все же удалось создать приложение, способное восстановить файлы. Правда, процесс подбора ключа требует значительных аппаратных ресурсов – на домашнем ПК это может занять месяц и более.
Тестируя приложение, специалисты использовали сервер, который имел 24 вычислительных ядра, что позволило сократить время расшифровки до 20 часов.
Светлана, хорошая статья, интересная информация, но завершения нет, что делать в этом случае не понятно.
только если верить тех. поддержке того же веба – алгоритм в каждом случае уникальный.
в моем случае утилиту допиливали четыре раза.
по поволу 24 ядер – на форуме вебере поддержка русским по белому написала – реально задействованы будут только 4-е ядра.