Троян, с помощью которого раньше осуществлялась торговля поддельным
антивирусом, теперь использует новый способ убедить пользователей потратить
деньги на бесполезную лицензию – он шифрует их данные.
Концепция шифрования данных на зараженных ПК используется с 2005 года, однако
новая разновидность трояна Vundo, обнаруженная специалистами компании FireEye,
представляет собой первый образец неприкрытого вымогательства со стороны
современных поддельных антивирусов.
В FireEye не пояснили, как программа инфицирует машины пользователей, но
попав в них, она начинает шифровать различные типы данных – например, файлы JPG,
PDF и DOC. После этого на экране появляется реклама фальшивого антивируса
FileFix Pro 2009, который якобы декодирует зашифрованные файлы.
К счастью, алгоритм шифрования не слишком тщательно проработан, поэтому
техническому персоналу FireEye удалось написать скрипт perl, который помогает
расшифровать файлы без необходимости платить злоумышленникам 40 долларов.
По состоянию на 19 марта ни одна из основных антивирусных программ не могла
определить последнюю версию Vundo, поскольку его полиморфная структура позволяет
изменять исполняемый файл при каждой загрузке на ПК. Троян, похоже, имеет
восточноевропейское происхождение, так как Whois-запрос показывает, что владелец
домена, распространяющего Filefix Pro, находится в Харькове, Украина.
