Спецпроекты

Безопасность Пользователю Интернет

Число жертв троянов-шифровальщиков заметно возросло

Компания «Доктор Веб» сообщила о росте количества пользователей, пострадавших от действия троянов-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого трояна, в антивирусную лабораторию «Доктор Веб» обратилось более 160 пользователей из России и Украины, сообщили CNews в компании.

Трояны семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, трояны Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Трояны-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троян-загрузчик, который, в свою очередь, скачивает с управляющего сервера Trojan.Encoder. Троян Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который массово рассылается в письмах с вложенными файлами «Порядок работы с просроченной задолженностью.doc» и «Постановление Арбитражного суда.exe».

В июне 2013 г. был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder. Этот троян написан на языке Delphi и имеет три версии. В предыдущей модификации трояна для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации трояна, в настоящий момент ведется работа.

Что касается наиболее распространенного трояна-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. По данным «Доктор Веб», жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2,8 тыс. обращений от пользователей, пострадавших в результате заражения троянами-шифровальщиками. Благодаря тому что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 г. помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов «Доктор Веб».

Татьяна Короткова

Короткая ссылка