Encoder — Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов, сообщили CNews в компании.
По данным компании, вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.
Троян Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 — начали массово распространяться в конце марта — начале апреля 2013 г. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троян-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на 19 апреля 2013 г., в службу технической поддержки «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы трояна Trojan.Encoder.215, при этом заявки продолжают поступать.
Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года». При этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.
Сообщение, демонстрируемое вредоносной программой на экране компьютера жертвы
В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля текущего года, служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).
Несмотря на заявления киберпреступников, обе модификации трояна используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации трояна пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб».
В случае заражения компьютера указанными вредоносными программами, в «Доктор Веб» советуют не пытаться переустановить операционную систему, а также не удалять или пытаться восстановить зашифрованные файлы самостоятельно. Необходимо обратиться с соответствующим заявлением в полицию и службу технической поддержки «Доктор Веб», создав тикет в категории «Запрос на лечение» (к тикету нужно приложить зашифрованный трояном файл) — эта услуга бесплатна.