Поделиться
Trojan.Encoder занимается кибер-шантажом
За последние сутки в службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом.Кроме зашифрованных и поэтому недоступных для прочтения файлов, все жертвы вируса обнаружили на своих дисках многочисленные копии файла read.me, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.
В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder. Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run services = Filename.exe. Троянец активируется, используя уязвимость операционной системы.
«Поселившись» на компьютере жертвы, программа ищет файлы с расширениями «rtf», «txt», «pdf», «csv», «frm», «css», «xls», «mdb», «dbf», «dbt»,"db","safe","flb","pst","pwl","pwa","pak","rar", «zip», «arj», «gz», «tar», «sar», «htm», «html», «cgi», «pl», «kwm», «pwm», «cdr», «dbx», «mmf», «tbb», «xml», «frt», «frx», «gtd», «rmr», «chm», «mo», «man», "c", «cpp», "h", «pgp», «gzip», «lst», «pfx», «p12», «db1», «db2», «cnt», «sig», «css», «arh», «pem», «key», «prf», «old», «rnd», «prx». Затем он шифрует их с помощью алгоритма RSA. Автор вируса требует со своих жертв деньги за дешифровку в следующем сообщении: «Some files are coded by RSA method. To buy decoder mail: dervish34@rambler.ru with subject: RSA 5 68243170728578411».
Специалисты антивирусной лаборатории компании «Доктор Веб» разработали специальную бесплатную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние.
Короткая ссылка
