Просматривая современную статистику множества вредоносных программ, смело можно заявить, что троянцы-шифровальщики из сообщества Trojan.Encoder занимают в ней очень высокие позиции.
Компания «Доктор Веб» предупреждала пользователей о распространении двух новых модификаций этих троянцев — Trojan.Encoder.205 и Trojan.Encoder.215. Они опасны тем, что вымогают у пользователей по несколько тысяч долларов(!) за расшифровку файлов. За последние годы троянцы-шифровальщики превратились в весьма распространенную категорию угроз. Эти программы (семейства Trojan.Encoder) отыскивают на дисках инфицированного компьютера файлы, в частности документы Microsoft Office, фотографии, музыку, архивы картинки, после чего зашифровывают их. После этого, энкoдеры требуют у «жертвы» оплатить их расшифровку. И сумма достигает тысяч долларов.
Троянец Trojan.Encoder.205 и его более новая версия — Trojan.Encoder.215, массово стартовали в конце марта — начале апреля 2013-го года. Обычно, заражение производят с использованием рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). Применяя этот эксплойт, на компьютер «жертвы» проникает троянец-загрузчик, и в свою очередь, загружает и устанавливает энкодер.
В службу технической поддержки компании «Доктор Веб» обратилась 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215. И заявки поступать продолжают.
Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране сообщение, начинающиеся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, бэкапы, базы данных и прочие файлы) на этом компьютере была зашифрована с помощью самого криптoстoйкoгo алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, базы данных, изображения, почтовая переписка и так далее) зашифрованы с использованием авторского криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займёт около года»… А «жертву» убеждают написать письмо на адрес электронной почты: muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.
Вычислили распространение ещё одной модификации подобной угрозы, отличающейся от предыдущих другим адресом электронной почты и текстом. Служба техподдержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).
Если объективно проанализировать и отбросить в сторону дерзкие заявления киберпреступников, модификации троянца используют примитивный потоковый алгоритм шифровки. Из-за прорехов реализованного троянца данные иногда не могут исправить сами злоумышленники…
