Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере
Вредоносная программа была широко распространена по российскому сегменту интернета при помощи спам-рассылки.
После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:
arh arj c cdr cgi chm cnt cpp css csv db db1 db2 dbf dbt dbx doc flb frm frt frx gtd gz gzip h htm html key kwm lst man mdb mmf mo old p12 pak pdf pem pfx pgp pl prf prx pst pwa pwl pwm rar rmr rnd rtf safe sar sig tar tbb txt xls xml zip
Для шифрования частично используется алгоритм RSA.
Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.
В папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:
Some files are coded by RSA method. To buy decoder mail: *****sh34@rambler.ru with subject: RSA 5 ********728578411
Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.
При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.
Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.
Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.