"Доктор Веб": Троянец-шифровальщик атаковал Испанию и ФранциюИсточник: DrWeb
Компания "Доктор Веб" - российский производитель антивирусных средств защиты - фиксирует продолжающееся в настоящий момент массовое распространение среди зарубежных пользователей троянца-шифровальщика Trojan.ArchiveLock. Модификация этой вредоносной программы, получившая название Trojan.ArchiveLock.20, заражает всё большее количество компьютеров во Франции и Испании. В августе прошлого года компания "Доктор Веб" сообщала о троянце-шифровальщике Trojan.ArchiveLock. Эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца. Получив управление, Trojan.ArchiveLock.20 размещает в одной из системных папок приложение-шифровальщик. Затем Trojan.ArchiveLock.20 создает список подлежащих шифрованию файлов, после чего очищает Корзину и удаляет хранящиеся на компьютере резервные копии данных. С использованием консольного приложения WinRAR шифровальщик помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты - восстановление удаленных файлов после этого становится просто невозможным. Пароль, которым защищаются архивы, может иметь длину более 50 символов. Затем Trojan.ArchiveLock.20 демонстрирует на экране инфицированного компьютера сообщение с требованием заплатить 5000 USD за пароль, необходимый для извлечения файлов из архива, предлагая обращаться за "технической поддержкой" по одному из следующих адресов электронной почты:
В настоящее время от действия троянца пострадало значительное количество пользователей в Испании и Франции: только за истекшие 48 часов в службу технической поддержки "Доктор Веб" обратились десятки жертв Trojan.ArchiveLock.20, и подобные запросы продолжают поступать. Несмотря на то, что в демонстрируемом на экране инфицированного компьютера сообщении злоумышленники говорят о невозможности подобрать пароль к архивам, из-за особенностей применяемого хeширования sha1 во многих случаях расшифровка и восстановление файлов возможны, о чем компания "Доктор Веб" сообщала еще в августе 2012 года. Пострадавшим от Trojan.ArchiveLock.20 пользователям специалисты "Доктор Веб" рекомендуют ни в коем случае не удалять никакиe файлы с жесткого диска инфицированного компьютера и не переустанавливать операционную систему. Для расшифровки заархивированных троянцем файлов можно обратиться в компанию "Доктор Веб", создав тикет в категории "Запрос на лечение". Данная услуга предоставляется бесплатно. |