Компания “Доктор Веб” отметила продолжающееся в настоящий момент массовое распространение среди зарубежных пользователей троянца-шифровальщика Trojan.ArchiveLock. Модификация этой вредоносной программы, получившая название Trojan.ArchiveLock.20, заражает все большее количество компьютеров во Франции и Испании.
В августе прошлого года компания “Доктор Веб” сообщала о троянце-шифровальщике Trojan.ArchiveLock. Эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца. Получив управление, Trojan.ArchiveLock.20 размещает в одной из системных папок приложение-шифровальщик.
Затем Trojan.ArchiveLock.20 создает список подлежащих шифрованию файлов, после чего очищает Корзину и удаляет хранящиеся на компьютере резервные копии данных. С использованием консольного приложения WinRAR шифровальщик помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты – восстановление уничтоженных файлов после этого становится просто невозможным.
Пароль, которым защищаются архивы, может иметь длину более 50 символов. Затем Trojan.ArchiveLock.20 демонстрирует на экране инфицированного компьютера сообщение с требованием заплатить 5000 USD за пароль, необходимый для извлечения файлов из архива, предлагая обращаться за “технической поддержкой” по одному из следующих адресов электронной почты: sec777999@gmail.com, sec222555@gmail.com, sec333888@gmail.com, sec333888@gmail.com, ausec222999@gmail.com, sec777999@gmail.com, casec222777@gmail.com, auidhelp@gmail.com, sec777999@gmail.com, sec222555@gmail.com, sec333888@gmail.com, ausec222999@gmail.com, casec222777@gmail.com, auidhelp@gmail.com, usidhelp2@gmail.com, frsechelp@gmail.com, spainsec1@gmail.com, spainsec2@gmail.com.
В настоящее время от действия троянца пострадало значительное количество пользователей в Испании и Франции: только за истекшие 48 часов в службу технической поддержки “Доктор Веб” обратились десятки жертв Trojan.ArchiveLock.20, и подобные запросы продолжают поступать. Несмотря на то, что в демонстрируемом на экране инфицированного компьютера сообщении злоумышленники говорят о невозможности подобрать пароль к архивам, из-за особенностей применяемого хeширования sha1 во многих случаях расшифровка и восстановление файлов возможны, о чем компания “Доктор Веб” сообщала еще в августе 2012 г. Пострадавшим от Trojan.ArchiveLock.20 пользователям специалисты “Доктор Веб” рекомендуют ни в коем случае не удалять никакие файлы с жесткого диска инфицированного компьютера и не переустанавливать операционную систему. Для расшифровки заархивированных троянцем файлов можно обратиться в компанию “Доктор Веб”, создав тикет в категории “Запрос на лечение”. Данная услуга предоставляется бесплатно. (Dr.Web/NovostIT)