Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Компания «Доктор Веб» готова помочь пользователям, пострадавшим от действия троянца Trojan.ArchiveLock.2

1 августа 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы Trojan.ArchiveLock.2, представляющей собой многокомпонентный шифровальщик-вымогатель. Одной из ключевых особенностей данной программы является то, что она использует для кодирования файлов архиватор WinRAR. Специалисты компании «Доктор Веб» нашли способ восстановления пароля для расшифровки файлов, пострадавших от действия некоторых версий этого шифровальщика.

Trojan.ArchiveLock.2 написан на языке PureBasic. Попадая на компьютер, этот троянец парализует работу операционной системы и демонстрирует на экране пользовательского компьютера требования злоумышленников.

screen

Затем троянец помещает в одну из системных папок приложение-шифровальщик. При последующем запуске с ключом install или -i шифровальщик устанавливается в операционную систему в качестве службы. Различные версии троянца используют разные имена файлов и описания данной службы.

screen

После запуска в качестве системной службы модуль шифрования создает большое количество различных файлов, часть которых служит для хранения конфигурационных данных, сведений о путях к файлам настройки, журналам и исполняемым файлам, а также информацию об инфицированном компьютере. В частности, сохраняется версия ОС, данные о ее локализации, имена окон запущенных приложений, тип загрузки Windows (Normal или SafeMode) и т. д. Затем шифровальщик очищает Корзину, а также выполняет построение списка шифруемых и удаляемых файлов. В первую очередь Trojan.ArchiveLock.2 удаляет файлы, имеющие признаки резервных копий. Затем троянец по специальному алгоритму генерирует список паролей, запускает консольное приложение WinRAR и помещает в защищенные паролем SFX-архивы пользовательские файлы по заранее подготовленному списку. Всего Trojan.ArchiveLock.2 способен шифровать более 100 типов файлов. Исходные файлы уничтожаются с использованием утилиты Sysinternals SDelete, то есть с многократной перезаписью, вследствие чего восстановление уничтоженных файловых объектов становится невозможным. Часть файлов шифруется с простым паролем, созданным на основе серийного номера жесткого диска, другая часть — с использованием специально сгенерированного пароля, длина которого составляет более 50 символов. Имена зашифрованных файлов также изменяются по определенному алгоритму: например, графический файл picture.jpg после шифрования будет иметь вид: picture.jpg(!! to decrypt email id 12345678 to sec****@gmail.com !!).exe.

Еще одним модулем троянской программы Trojan.ArchiveLock.2 является расшифровщик, восстанавливающий ранее заархивированные файлы, если пользователем указан правильный пароль.

Сигнатуры данной вредоносной программы присутствуют в базах антивирусного ПО Dr.Web, вследствие чего Trojan.ArchiveLock.2 неопасен для пользователей Антивируса Dr.Web и Dr.Web Security Space. Вместе с тем специалисты компании «Доктор Веб» разработали специальный алгоритм, позволяющий с высокой долей вероятности восстановить зашифрованные троянцем файлы. Если вы стали жертвой Trojan.ArchiveLock.2, обратитесь в компанию «Доктор Веб», создав тикет в категории «Запрос на лечение». Не удаляйте какие-либо файлы с вашего компьютера и не пытайтесь переустановить операционную систему — это может сделать расшифровку заархивированных троянцем данных невозможной.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии