Обнаруженный «Доктор Веб» энкодер не способен расшифровывать файлы
16 апр 2018 18:40 #68288
от ICT
ICT создал тему: Обнаруженный «Доктор Веб» энкодер не способен расшифровывать файлы
Специалисты компании «Доктор Веб» исследовали нового троянца-энкодера. Из-за ошибки вирусописателей восстановление поврежденных этим шифровальщиком файлов в большинстве случаев невозможно. Превентивной защитой Антивируса Dr.Web этот троянец автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска он проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса. Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования троянец создает файл %ProgramData%\\trig и записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа. Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin. Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно. Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Найден способ расшифровывать файлы, пораженные трояном CryptXXX | 18.01 | Вторник, 27 декабря 2016 |
| Обнаруженный «Доктор Веб» троянец заражает POS-терминалы | 16.98 | Четверг, 04 августа 2016 |
| «Доктор Веб» поможет расшифровать поврежденные трояном CryptXXX файлы | 14.4 | Вторник, 14 июня 2016 |
| Как 5G способен спасать жизни | 9.01 | Вторник, 24 декабря 2019 |
| Как VPN способен улучшить ваше устройство Windows | 8.81 | Понедельник, 31 мая 2021 |
| Facebook способен понимать пользователей лучше, чем их родственники | 8.72 | Вторник, 13 января 2015 |
| Новый троян для Linux способен проводить DDoS-атаки | 8.63 | Четверг, 05 февраля 2015 |
| "Промышленный интернет вещей" способен ускорить рост развитых экономик | 8.54 | Четверг, 22 января 2015 |
| Троян для Linux способен делать снимки экрана и записывать звук | 8.54 | Вторник, 19 января 2016 |
| Монитор Philips Moda 2 способен воспроизводить контент с внешних носителей без проводов. | 8.45 | Пятница, 19 декабря 2014 |