Специалисты компании «Доктор Веб» отчитались об интересной находке. На первый взгляд малварь, получившая идентификатор Trojan.Encoder.6491, является обычным шифровальщиком. Однако вредонос интересен тем, что он написан на разработанном компанией Google языке программирования Go. Эксперты «Доктор Веб» подчеркивают, что ранее им ни разу не встречались шифровальщики, созданные с использованием этой технологи.
Проникая в систему жертвы, Trojan.Encoder.6491 устанавливает себя под именем Windows_Security.exe, а затем начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки:
- tmp
- winnt
- Application Data
- AppData
- Program Files (x86)
- Program Files
- temp
- db
- Bin
- System Volume Information
- Boot
- Windows
- .enc
- Instructions
- exe
Вымогатель шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. К примеру, в результате файл с именем Test_file.avi превратится в VGVzdF9maWxlLmF2aQ==.enc.
Покончив с шифрованием данных, вредонос открывает в окне браузера файл Instructions.html с требованием выкупа. При этом злоумышленники запрашивают весьма скромную сумму: всего $25 в биткоин-эквиваленте.
Аналитики «Доктор Веб» пишут, что Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, он автоматически расшифровывает все зашифрованные ранее файлы.
Специалисты не рекомендуют платить злоумышленникам, так как уже была создана методика, позволяющую расшифровывать пострадавшие от деятельности Trojan.Encoder.6491 файлы. За расшифровкой эксперты рекомендуют обращаться в службу техничкой поддержки компании, однако услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web.
Фото: Depositphotos
