Троянцы-шифровальщики продолжают наступление на Россию и страны СНГ

Антивирусные компании предупреждают о появлении двух модификаций данного семейства вирусов - Trojan.Encoder.215 и 205. Схема работы троянских программ стандартна – они шифруют файлы пользователя и требуют определенную сумму за расшифровку.

За последние годы вирусы-шифровальщики стали одной из наиболее распространенной категорией угроз. Этому во многом способствовала выгодная для злоумышленников схема монетизации, аналогичная той, которая используется при распространении вируса Trojan.Winlock. Вредоносные утилиты категории Trojan.Encoder сканируют диски компьютера на наличие файлов пользователя (документы, фотографии, архивы, музыку и т.д.) и шифруют их. После этого троянское приложение предлагает пользователю перечислить определенную сумму за их расшифровку. Причем размер оплаты может составлять несколько тысяч долларов.

Вирус Trojan.Encoder.205 и его следующая версия - Trojan.Encoder.215 – активно начали распространяться в марте текущего года. Как правило, инфицирование осуществляется при помощи массовой рассылки через электронную почту – во вложении письма содержался эксплойт, использующий уязвимость CVE-2012-0158. Данный эксплойт загружает на компьютер пользователя загрузчик, предназначенный для загрузки и инсталляции основного вируса.

Зашифровав найденные на жестком диске файлы, вредоносная утилита выводит на экран соответствующее оповещение и требование заплатить деньги. При этом в сообщении используются адреса gdf@gdfsgd.com, muranchiki@yahoo.com или decrypfiles@yahoo.com. Специалисты также зафиксировали появление еже одной версии данной угрозы, которая отличается адресом почты и другим текстом.

Несмотря на заявления злоумышленников, обе разновидности троянца используют очень простой потоковый алгоритм шифрования. Причем из-за некорректной реализации вредоносного кода файлы нередко не могут раскодировать даже сами преступники. Вместе с тем, используемый алгоритм без труда расшифровывается специалистами антивирусных компаний. Для этого достаточно прислать зашифрованный файл в службу поддержки.