«Доктор Веб» обнаружил первого энкодера на Go и разработал дешифровку
11 окт 2016 19:00 #46504
от ICT
Вирусные аналитики компании «Доктор Веб» обнаружили первого шифровальщика, написанного на языке Go. Этот троян, присваивающий зашифрованным файлам расширение .enc, получил название Trojan.Encoder.6491. Специалисты компании разработали технологию расшифровки поврежденных этой вредоносной программой файлов, сообщили CNews в «Доктор Веб». Новые версии троянов-энкодеров появляются ежемесячно.Trojan.Encoder.6491 интересен тем, что он написан на разработанном компанией Google языке программирования Go: до этого вирусным аналитикам не встречались шифровальщики, созданные с использованием этой технологии, отметили в компании. При запуске Trojan.Encoder.6491 устанавливает себя в систему под именем Windows_Security.exe. Затем троян начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions, Windows_Security.exe. Троян шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. В результате, например, файл с именем Test_file.avi получит имя VGVzdF9maWxlLmF2aQ==.enc. Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin. Примечательно, что Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции, рассказали в «Доктор Веб». Специалисты компании разработали специальную методику, позволяющую расшифровывать пострадавшие от этого трояна файлы. Пользователи, ставшие жертвой вредоносной программы Trojan.Encoder.6491, могут воспользоваться следующими рекомендациями: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит; не удалять никакие файлы на вашем компьютере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web); к тикету необходимо приложить любой зашифрованный трояном файл; дождаться ответа специалиста службы технической поддержки. В связи с большим количеством запросов это может занять некоторое время. Услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. «Доктор Веб» не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов. Your browser does not support the video tag.
CNews Forum 2016: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Доктор Веб» обнаружил многофункциональный бэкдор для Linux | 14.14 | Пятница, 22 января 2016 |
«Доктор Веб» обнаружил более 500 мошеннических сайтов | 14.14 | Среда, 15 марта 2017 |
«Доктор Веб» обнаружил новый бэкдор для Linux | 14.14 | Понедельник, 20 ноября 2017 |
«Доктор Веб» обнаружил очередной троян-шифровальщик для Linux | 13.99 | Четверг, 19 ноября 2015 |
«Доктор Веб» обнаружил ботнет, атакующий российские банки | 13.99 | Понедельник, 14 ноября 2016 |
«Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств | 13.84 | Понедельник, 12 декабря 2016 |
"Доктор Веб" обнаружил новые версии банковских троянов Android.BankBot | 13.69 | Понедельник, 27 апреля 2015 |
«Доктор Веб» обнаружил ошибку в конфигурации оборудования провайдера услуг DNS-хостинга | 13.69 | Пятница, 08 апреля 2016 |
«Доктор Веб» обнаружил в Google Play приложения с троянцем, загруженные более 2 млн раз | 13.69 | Понедельник, 13 ноября 2017 |
«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4,5 млн раз | 13.69 | Вторник, 16 января 2018 |