Эксперты компании “Доктор Веб” сообщают о создании алгоритма расшифровки файлов, подвергшихся действию трояна-шифровальщика Trojan.Encoder.398. Восстановить файлы удается в 90% случаев.
Написанный на языке Delphi троян-шифровальщик получает ключи для шифрования файлов на компьютере жертвы с сервера злоумышленника. После запуска троян копирует себя в системную папку с именем ID.exe, где ID – серийный номер жесткого диска, выводит на экран сообщение о повреждении архива и запускает собственную копию, которая отправляет на сервер злоумышленника серийный номер жесткого диска инфицированного устройства.
Получив от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, вредонос продолжает свою активность.
Известные модификации вредоноса способны использовать 18 алгоритмов шифрования. В каждом каталоге троян сохраняет файл ‘КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt’ с предложением приобрести дешифратор. Данное вредоносное ПО способно заражать устройства, поддерживающие операционные системы Microsoft Windows, Linux, Android и Mac OS X. (Dr.Web/NovostIT)