0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Опасный троянец-шифровальщик распространяется в виде скринсейвера.

Как удалить шифровальщик и восстановить данные

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

  • Выберите и загрузите два зашифрованных файла с компьютера.
  • Укажите на сайте электронный адрес, который отображается в информационном сообщение с требованием выкупа.
  • Если адрес электронной почты неизвестен, загрузите файл .txt или .html, содержащий заметки шифровальщика.

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

  • Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
  • Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
  • Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.
  • Данный процесс может занять приличное время в зависимости от сложности угрозы.
    • После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.
    • Затем нужно принять лицензионное соглашение и выбрать варианты расшифровки. Вы можете изменить местоположение объектов и опционально сохранить зашифрованные версии.
    • В конечном итоге появится сообщение об успешном восстановлении файлов.

    Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

    Если есть резервная копия: очистите систему и восстановите бэкап

    Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

    Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

    Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

    Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

    Как распространяется вирус шифровальщик?

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Читать еще:  Маршрутизация и трафик iphone что это?

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    При этом она может совершенно не врать, к слову.
    И быть уверенной, что подозрительных писем действительно не было.

    Или убедить себя, что именно так и было.
    У них с этим проще, чем у мужчин.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Т.к. вы неавторизованы на сайте. Войти.

    Т.к. тема является архивной.

    Принципиально у шифровальщика могут быть те же способы размножения, что и у других видов зловредов.

    Например, ищет бухгалтер какую-то книжку для чтения.
    Яндекс выдаёт список найденных ресурсов.
    В том числе тот, на котором красиво оформленная книжка.
    Всплывает вопрос:
    «хотите получать рассылку от нашего магазина?»
    Допустим, бухгалтер нажимает «Нет».
    При этом выполняется скрипт, скачивающий тело зловреда и запускающее его на исполнение.

    Почему вы ограничиваете себя только почтой?

    Опасный троянец-шифровальщик распространяется в виде скринсейвера.

    Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686, представляющего для пользователей серьезную угрозу, поскольку пострадавшие от его действия файлы в настоящее время не поддаются расшифровке.

    Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском.

    Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы (заставки) Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива Trojan.DownLoad3.35539 извлекает из своего тела, сохраняет на диск и открывает на экране атакуемого компьютера текстовый RTF-документ.

    Одновременно с этим Trojan.DownLoad3.35539 устанавливает соединение с одним из принадлежащих злоумышленникам удаленных серверов, загружает оттуда архив, содержащий троянца-шифровальщика Trojan.Encoder.686, который также известен под названием CTB-Locker, после чего распаковывает и запускает его. Успешно инициализировавшись на зараженном компьютере, Trojan.Encoder.686 выполняет шифрование пользовательских файлов, после чего демонстрирует на экране заранее сформированное злоумышленниками сообщение.

    Примечательно, что вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.

    Троянец-шифровальщик Trojan.Encoder.686 собран с использованием библиотек TOR и OpenSSL, криптографию которых активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию, в связи с чем расшифровка пострадавших от его действия файлов в настоящий момент не представляется возможной.

    Компания «Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных.

    Также напоминаем, что в составе Dr.Web Security Space версии 9 и 10 имеется несколько компонентов, позволяющих настроить своевременное автоматическое резервное копирование наиболее ценной информации и обезопасить компьютер от действия троянцев-энкодеров, а также других вредоносных программ.

    Чтобы избежать потери ценных файлов, воспользуйтесь следующими советами:

    1.Убедитесь, что в настройках Dr.Web Security Space (версии 9 и 10) включена «Превентивная защита», которая бережет ваш ПК от угроз, еще не известных вирусной базе Dr.Web.

    2. После этого включите «Защиту от потери данных» в разделе «Инструменты» и настройте параметры хранилища резервной копии важных для вас файлов.

    3. Создайте резервную копию ценных данных и настройте их автоматическое сохранение по удобному для вас графику, выбрав подходящий временной интервал.

    Эти действия в сочетании с определенной осмотрительностью при работе с электронной почтой позволят вам защитить вашу операционную систему от большинства современных угроз, включая троянцев-шифровальщиков.

    Опасный троянец-шифровальщик распространяется в виде скринсейвера.

    Опасный троянец-шифровальщик распространяется в почтовой рассылке

    21 января 2015 года

    Компания «Доктор Веб» предупреждает пользователей о начавшейся на этой неделе массовой почтовой рассылке, с использованием которой злоумышленники распространяют опасную вредоносную программу-загрузчик. Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686, представляющего для пользователей серьезную угрозу, поскольку пострадавшие от его действия файлы в настоящее время не поддаются расшифровке.

    Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском.

    Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы (заставки) Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива Trojan.DownLoad3.35539 извлекает из своего тела, сохраняет на диск и открывает на экране атакуемого компьютера текстовый RTF-документ.

    Одновременно с этим Trojan.DownLoad3.35539 устанавливает соединение с одним из принадлежащих злоумышленникам удаленных серверов, загружает оттуда архив, содержащий троянца-шифровальщика Trojan.Encoder.686, который также известен под названием CTB-Locker, после чего распаковывает и запускает его. Успешно инициализировавшись на зараженном компьютере, Trojan.Encoder.686 выполняет шифрование пользовательских файлов, после чего демонстрирует на экране заранее сформированное злоумышленниками сообщение.

    Примечательно, что вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.

    Троянец-шифровальщик Trojan.Encoder.686 собран с использованием библиотек TOR и OpenSSL, криптографию которых активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию, в связи с чем расшифровка пострадавших от его действия файлов в настоящий момент не представляется возможной.

    Читать еще:  Удалил видеокарту из диспетчера устройств что делать?

    Компания «Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных.

    Также напоминаем, что в составе Dr.Web Security Space версии 9 и 10 имеется несколько компонентов, позволяющих настроить своевременное автоматическое резервное копирование наиболее ценной информации и обезопасить компьютер от действия троянцев-энкодеров, а также других вредоносных программ.

    Чтобы избежать потери ценных файлов, воспользуйтесь следующими советами:

    1. Убедитесь, что в настройках Dr.Web Security Space (версии 9 и 10) включена «Превентивная защита», которая бережет ваш ПК от угроз, еще не известных вирусной базе Dr.Web.

    После этого включите «Защиту от потери данных» в разделе «Инструменты» и настройте параметры хранилища резервной копии важных для вас файлов.

    Создайте резервную копию ценных данных и настройте их автоматическое сохранение по удобному для вас графику, выбрав подходящий временной интервал.

    Эти действия в сочетании с определенной осмотрительностью при работе с электронной почтой позволят вам защитить вашу операционную систему от большинства современных угроз, включая троянцев-шифровальщиков.

    Чтобы троянец не испортил файлы, используйте защиту от потери данных

    ZCryptor: червь-шифровальщик

    ZCryptor — это гибрид трояна-шифровальщика и червя. Он шифрует файлы и записывает себя на съемные носители

    Многочисленные отчеты аналитиков и исследователей однозначно подтверждают: 2016-й — год расцвета вымогательского ПО. Киберпреступники успели оценить эффект от использования всевозможных блокировщиков и охотно превратили их в основную часть своего арсенала. В Cisco рапортуют о том, что распространение вымогателей через один только эксплойт-кит Angler приносит киберпреступникам около $60 млн дохода в год, или $5 млн в месяц!

    Герои хакерского фронта последних месяцев — Петя (Petya), его друг Миша (Mischa), а также их дальний «родственник» Локи (Locky) — продолжают собирать дань с пользователей более чем в сотне стран. Под прицел хакеров все чаще попадают учреждения и компании, располагающие ценными данными, — например, в США в последнее время нередко атакуют больницы.

    Черви-вымогатели

    Для успешного заработка создателям программ-вымогателей нужно активно наращивать масштаб атак, направленных на распространение вымогателя. Вредоносный спам все еще работает, но уже не так хорошо, как раньше, — многие пользователи теперь знают об этом методе заражения шифровальщиками.

    Веб-сайты и антивирусные программы научились распознавать вредоносные ссылки или спам, содержащий потенциальную угрозу. В свою очередь, в ответ на это киберпреступники постепенно отходят от практики распространения зловредов ковровыми бомбардировками электронной почты и обращаются к методам, использованным в свое время самыми результативными вредоносными программами — старыми добрыми червями.

    Медицинские учреждения становятся объектами атак хакеров, использующих вариант вымогательского ПО SamSam: https://t.co/HFY5d0LuNx

    — Kaspersky Lab (@Kaspersky_ru) March 31, 2016

    Эксперты согласны, что следующим этапом развития вымогателей станет эра крипточервей — опасного гибрида самораспространяющегося вируса и шифровальщика. Природа таких зловредов объединяет в себе самые результативные техники обоих «родителей». Такие криптолокеры смогут воспроизводить сами себя и распространяться через уже зараженные компьютеры, заодно шифруя на них файлы и требуя выкуп.

    Первым вирусом такого рода стал SamSam, поразивший ряд корпоративных сетей и заразивший не только компьютеры в Сети, но и облачные хранилища с резервными копиями данных.

    ZCryptor

    На этой неделе в Microsoft обнаружили новую разновидность червя-шифровальщика — ZCryptor. Необычен он тем, что после заражения компьютера он не только шифрует файлы, но и распространяется с него самостоятельно, не прибегая к помощи в виде вредоносного спама или эксплойт-пака — как червь. Зловред копирует себя через подключенные к инфицированному компьютеру сетевые и портативные устройства.

    Для первичного заражения ZCryptor обращается к привычному арсеналу: он притворяется инсталлятором популярных среди пользователей программ (например, Adobe Flash) или проникает в компьютеры жертв через вредоносные макросы в документах MS Office.

    Эксперты рапортуют о появлении ZCryptor — крипточервя, распространяющегося через сетевые и портативные устройства: https://t.co/rqifkSDnOW

    — Kaspersky Lab (@Kaspersky_ru) May 31, 2016

    Оказавшись в системе, зловред первым делом заражает подключенные к компьютеру съемные диски и флешки для дальнейшего размножения и только потом начинает шифровать файлы. ZCryptor шифрует более 80 видов файлов (а по некоторым данным, более 120), добавляя к ним расширение .zcrypt.

    Затем события развиваются по привычному сценарию: на экране жертвы возникает веб-страница, из которой пользователь узнает, что все его файлы зашифрованы и от него требуется выкуп в 1,2 биткойна (по текущему курсу — около $650). Если пользователь не платит выкуп в течение четырех дней, требуемая сумма увеличивается до 5 биткойнов, то есть более $2500.

    Увы, эксперты пока не разработали дешифратор, при помощи которого можно было бы расшифровать файлы без уплаты выкупа, поэтому пользователям остается только проявлять осторожность.

    10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo

    — Kaspersky Lab (@Kaspersky_ru) November 30, 2015

    Как защититься

    Тем, кто не хочет стать жертвой ZCryptor, мы рекомендуем следовать простым советам:

    Программа-шифровальщик Trojan.Encoder распространяется в виде спама

    Severnyj

    Компания «Доктор Веб» предупреждает западных пользователей о появлении вредоносного спама, с помощью которого распространяется программа-шифровальщик Trojan.Encoder.

    В течение последних суток в службу технической поддержки компании «Доктор Веб» участились обращения проживающих в западноевропейских странах пользователей (в основном, жителей Германии), получивших по электронной почте сообщения спам-рассылки с заголовком «Ute Lautensack Vertrag Nr 46972057» и следующим содержанием:

    Sehr geehrte(r) Ute Lautensack,
    Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

    433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

    Mit freudlichen Grüssen
    Ihr Kundenservice

    Во вложениях были замечены архивы с именами Abrechnung или Rechnung. После запуска содержащейся в таком вложении программы файлы на компьютере становятся зашифрованными.

    Читать еще:  Как сделать, чтобы добавленные в автозагрузку приложения запускались с правами администратора

    Компания «Доктор Веб» предупреждает: ни в коем случае не открывайте вложений в подобных сообщениях электронной почты! Если же вы все-таки стали жертвой этого троянца, во избежание потери ценной информации воспользуйтесь следующими рекомендациями:

    • обратитесь с соответствующим заявлением в полицию;
    • ни в коем случае не пытайтесь переустановить операционную систему;
    • не удаляйте никаких файлов на вашем компьютере;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
    • к тикету приложите зашифрованный троянцем файл;
    • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

    Источник

    shestale

    Severnyj

    Severnyj

    Утилита для дешифрования файлов, пострадавших от Trojan.Matsnu.1

    Компания «Доктор Веб» проинформировала пользователей о распространении массовой почтовой рассылки, содержащей опасное вложение, запуск которого приводит к шифрованию пользовательских файлов. Сегодня специалисты компании подготовили специальную утилиту, с помощью которой пользователи смогут самостоятельно расшифровать поврежденные троянцем файлы. Утилита доступна для бесплатного скачивания.

    Рассылаемое злоумышленниками письмо написано на немецком языке и имеет заголовок вида Ute Lautensack Vertrag Nr 46972057. Послание содержит вложенный zip-архив с именем Abrechnung или Rechnung. Попытка запустить вложенную в эти архивы программу приводит к тому, что все файлы на дисках компьютера жертвы будут зашифрованы.

    Опасность для пользователей в данном случае представляет вредоносная программа, получившая имя Trojan.Matsnu.1. Специалисты компании «Доктор Веб» проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по этому адресу. Если расшифровать файлы с использованием данной утилиты не удалось либо данный процесс завершился с ошибками, вы можете обратиться за помощью в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.

    Severnyj

    Доктор Веб: функциональность Trojan.Matsnu.1, шифрующего файлы пользователей

    Компания «Доктор Веб» в конце апреля уже сообщала о массовом распространении в почтовом спаме по всему миру вредоносной программы Trojan.Matsnu.1, шифрующей файлы пользователя. Теперь она представила исследование принципов работы этой вредоносной программы, а также информацию, которая может помочь пользователям избежать заражения Trojan.Matsnu.1.

    Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец загружает в приостановленном состоянии svchost.exe и записывает в него собственный вирусный код. Таким образом, все дальнейшие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут выполняться в контексте модуля svchost. Затем троянец сохраняет свою копию с расширением .pre во временную папку Windows, запускает данную копию, а оригинальный файл удаляет.

    После этого на основе серийного номера жесткого диска Trojan.Matsnu.1 генерирует уникальный идентификационный номер инфицированной машины (PCID). Этот номер используется в качестве ключа шифрования при общении с командным сервером.

    Выполнив предварительные этапы установки и инициализации, троянец демонстрирует на экране сообщение об ошибке приложения Acrobat Reader: «Error: Could not write value Folders to key», одновременно с этим копия основного модуля сохраняется в папку Windowssystem32 с именем, включающим серийный номер жесткого диска инфицированного компьютера и набор случайных символов. Данный путь записывается в качестве значения параметра Userinit в ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Примечательно, что Trojan.Matsnu.1 не выполняет этот шаг на 64-разрядных системах.

    Другая копия троянца помещается в папку %AppData%случайная строка, путь к этому файлу записывается в ветвь системного реестра, отвечающую за автозагрузку приложений. Далее, путем многократного вызова утилиты reg.exe с различными аргументами, Trojan.Matsnu.1 отключает загрузку в безопасном режиме, блокирует возможность запуска утилит taskmanager.exe, regedit.exe, msconfig.exe.

    Поскольку троянец не хранит в своих ресурсах отвечающие за диалог с пользователем графические файлы, они загружаются с удаленного сервера в виде CAB-архива. Запросы к командному серверу отправляет копия Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредоносной программой архива извлекаются файлы путем вызова стандартной утилиты extrac32.exe. Если связаться с командным центром не удалось, попытки соединения будут повторяться с интервалом в 20 минут. В случае удачной загрузки и распаковки архива Trojan.Matsnu.1 сохраняет сведения о своем состоянии в конфигурационный файл, генерирует случайный ключ и отправляет его на сервер злоумышленников, после чего пытается зашифровать все файлы на дисках инфицированного компьютера. Сгенерированный троянцем ключ не сохраняется на зараженной машине. Если на данном этапе троянцу не удастся загрузить с удаленного узла архив с изображениями, после перезагрузки компьютера ему будет снова передано управление, и Trojan.Matsnu.1 сможет зашифровать файлы, если получит соответствующую директиву от командного центра. У зашифрованных файлов троянец меняет имя по шаблону locked-filename. , где filename — оригинальное имя файла с расширением, а — последовательность из четырех случайных символов.

    При следующем запуске Windows выполняется копия Trojan.Matsnu.1, сохраненная в папке %AppData%случайная строка, либо копия из папки Windowssystem32. На экране компьютера демонстрируется диалоговое окно, содержащее ранее извлеченные из архива изображения.

    В диалоговых окнах, демонстрируемых пользователю вредоносной программой Trojan.Matsnu.1, говорится о том, что его система была инфицирована троянцем-кодировщиком, зашифровавшим все файлы на жестких дисках. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов вирусописатели предлагают жертве загрузить специальное «обновление», стоимость которого составляет 50 евро. Для оплаты следует воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

    Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

    — убить систему (удалить все файлы на жестких дисках);
    — загрузить с сайта злоумышленников указанную программу и запустить ее;
    — загрузить и продемонстрировать другие изображения для диалогового окна;
    — сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
    — расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
    — зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
    — обновить список управляющих серверов;
    — обновить основной модуль троянца.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector