CryptLock.1 шифрует файлы пользователей
Дата публикации: 28 июля 2011 года в 06:49.
Категория: Экономика.
Троянец объединяет в себе вредоносный функционал как печально знаменитого Trojan.Winlock, так и Троjan.Encoder, который получил меньшее распространение, однако также представляет существенную опасность для пользователей. Запустившись на инфицированном компьютере, троянец Trojan.CryptLock.1 выводит на экран окно, содержащее следующий текст: «Внимание! Все ваши файлы зашифрованы! Ассоциация защиты авторских прав, совместно с группой инициативных программистов, разработала систему слежения за незаконным использованием программ, видео, музыки и других материалов, которые нарушают авторские права правообладателей. Вы являетесь нарушителем. Поэтому на вас был наложен штраф. Для того, чтобы расшифровать файлы, вам нужно оплатить штраф. Для этого вам нужно послать письмо на copyright.abc@gmail.com со следующими данными: 1)Ваша страна проживания. 2)Версия шифровальщика (она указана в самом верху этого текста). В ответном письме вы получите сумму штрафа и способы оплаты. Вы должны выбрать способ оплаты и прислать ваш выбор нам в ответе. В ответном письме вы получите реквизиты для оплаты и дальнейшие инструкции. После выполнения платежа, его нужно подтвердить, отправив подтверждающее письмо с данными из платежного поручения или чека. Если вы все сделаете правильно, вы получите дешифровщик с инструкциями. ВНИМАНИЕ! В СЛУЧАЕ, ЕСЛИ МЫ НЕ ПОЛУЧИМ ПИСЬМО ОТ ВАС, В ТЕЧЕНИИ НЕДЕЛИ С МОМЕНТА ПОЯВЛЕНИЯ ОКНА С ПРЕДУПРЕЖДЕНИЕМ, ВЫ БУДЕТЕ ПРИВЛЕЧЕНЫ К УГОЛОВНОЙ ОТВЕТСТВЕННОСТИ ПО ВСЕЙ СТРОГОСТИ ЗАКОНОДАТЕЛЬСТВА ВАШЕЙ СТРАНЫ.» Далее следует тот же текст на английском языке. В обмен на отправленное жертвой письмо вымогатели обещают отослать сообщение с реквизитами для проведения платежа. В отличие от окон, демонстрируемых троянцами семейства Trojan.Winlock, данное окно может быть закрыто сочетанием горячих клавиш или с помощью Диспетчера задач. Вредоносный функционал Trojan.CryptLock.1 кроется в другом: троянец шифрует обнаруженные на жестком диске файлы с расширениями AVI, MP3, PNG, PSD, PDF, CDR, JPG, JPEG, RAR, ZIP, DOCX, DOTX, XLSM, XLSX, DOC, XLS, LNK, ISO, DBF, XML, TXT, DBO, DBA, MPG, MPG4, WMA, WMV, GIF, PHP, CGI, HTM, HTML и некоторыми другими. После успешного заражения Trojan.CryptLock.1 создает на диске файл с именем КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — How to decrypt your files.txt, содержащий дальнейшие инструкции, согласно которым для расшифровки данных злоумышленники требуют заплатить им некоторую сумму. Судя по количеству допущенных в тексте демонстрируемого троянцем сообщения пунктуационных ошибок, а также исходя из того, что Trojan.CryptLock.1 использует достаточно примитивный однобайтный алгоритм шифрования, у «группы инициативных программистов», стоящих за этой угрозой, как раз в разгаре школьные каникулы, и родители разрешили им немного попользоваться собственным компьютером. В настоящий момент сигнатура Trojan.CryptLock.1 добавлена в вирусные базы Dr.Web, в самое ближайшее время на сайте компании «Доктор Веб» будет размещено средство дешифровки пострадавших от действия троянца файлов.