Троянцы-шифровальщики шифруют файлы на жестком диске компьютера

Компания «Доктор Веб» сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы данного семейства представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder.

Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами «Порядок работы с просроченной задолженностью.doc» и «ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe».

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами данного семейства, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию. Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных – marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями троянца, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций – более 350. Файлы, зашифрованные большей частью версий вредоносной программы, поддаются расшифровке. Жертвами этого вируса за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками.

Эксперты советую ни в коем случае не переводить деньги киберпреступникам и не пытаться самостоятельно устранить последствия заражения (не переустанавливать операционную систему и не удалять никаких файлов на компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Также рекомендуется не забывать о необходимости своевременного резервного копирования хранящейся на жестких дисках компьютера информации.

По материалам пресс-релиза.

Дополнительная информация