13 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — фиксирует продолжающееся в настоящий момент массовое распространение среди зарубежных пользователей троянца-шифровальщика Trojan.ArchiveLock. Модификация этой вредоносной программы, получившая название Trojan.ArchiveLock.20, заражает всё большее количество компьютеров во Франции и Испании.

В августе прошлого года компания «Доктор Веб» сообщала о троянце-шифровальщике Trojan.ArchiveLock. Эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца. Получив управление, Trojan.ArchiveLock.20 размещает в одной из системных папок приложение-шифровальщик.

Затем Trojan.ArchiveLock.20 создает список подлежащих шифрованию файлов, после чего очищает Корзину и удаляет хранящиеся на компьютере резервные копии данных. С использованием консольного приложения WinRAR шифровальщик помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты – восстановление удаленных файлов после этого становится просто невозможным.

Пароль, которым защищаются архивы, может иметь длину более 50 символов. Затем Trojan.ArchiveLock.20 демонстрирует на экране инфицированного компьютера сообщение с требованием заплатить 5000 USD за пароль, необходимый для извлечения файлов из архива, предлагая обращаться за «технической поддержкой» по одному из следующих адресов электронной почты:

• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• sec777999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• usidhelp2@gmail.com,
• frsechelp@gmail.com,
• spainsec1@gmail.com,
• spainsec2@gmail.com.

В настоящее время от действия троянца пострадало значительное количество пользователей в Испании и Франции: только за истекшие 48 часов в службу технической поддержки «Доктор Веб» обратились десятки жертв Trojan.ArchiveLock.20, и подобные запросы продолжают поступать. Несмотря на то, что в демонстрируемом на экране инфицированного компьютера сообщении злоумышленники говорят о невозможности подобрать пароль к архивам, из-за особенностей применяемого хeширования sha1 во многих случаях расшифровка и восстановление файлов возможны, о чем компания «Доктор Веб» сообщала еще в августе 2012 года.

Пострадавшим от Trojan.ArchiveLock.20 пользователям специалисты «Доктор Веб» рекомендуют ни в коем случае не удалять никакиe файлы с жесткого диска инфицированного компьютера и не переустанавливать операционную систему. Для расшифровки заархивированных троянцем файлов можно обратиться в компанию «Доктор Веб», создав тикет в категории «Запрос на лечение». Данная услуга предоставляется бесплатно.