Эксперты создали алгоритм расшифровки файлов, пострадавших от опасного трояна-шифровальщика

Эксперты компании «Доктор Веб» сообщают о создании алгоритма расшифровки файлов, подвергшихся действию трояна-шифровальщика Trojan.Encoder.398. Восстановить файлы удается в 90% случаев.

Написанный на языке Delphi троян-шифровальщик получает ключи для шифрования файлов на компьютере жертвы с сервера злоумышленника. После запуска троян копирует себя в системную папку с именем ID.exe, где ID — серийный номер жесткого диска, выводит на экран сообщение о повреждении архива и запускает собственную копию, которая отправляет на сервер злоумышленника серийный номер жесткого диска инфицированного устройства.

Получив от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, вредонос продолжает свою активность.

Известные модификации вредоноса способны использовать 18 алгоритмов шифрования. В каждом каталоге троян сохраняет файл 'КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt' с предложением приобрести дешифратор. Данное вредоносное ПО способно заражать устройства, поддерживающие операционные системы Microsoft Windows, Linux, Android и Mac OS X.