Вирус вымогает деньги

[~SHAQE~]

Вирус вымогает деньги

Новая модификация гораздо сильнее защищена от дешифровки, и потому создать «противоядие» для нее сложнее

В Интернете появилась новая и более опасная модификация троянской программы Trojan.Encoder.6. Неосторожный пользователь, запустив программу «вложение», тут же становится жертвой шантажиста. Файлы документов шифруются, а пользователю предлагается связаться со злоумышленником по указанному последним адресу электронной почты.

После поражения компьютера в каждой папке на всех виртуальных дисках машины появляется файл readme.txt следующего содержания:

Some files are coded by RSA method.

To buy decoder mail: k47674@mail.ru

with subject: REPLY

Согласно данным, предоставленным газете ВЗГЛЯД компанией, специализирующейся на антивирусных решениях, «Доктор Веб», все версии троянской программы рассылаются по электронной почте в виде спам-рассылок. Однако, по словам генерального директора компании Бориса Шарова, «вирус не имеет самостоятельного механизма распространения» – то есть, попав на компьютер жертвы, он не будет, в отличие от других подобных программ, рассылать собственную копию по всей адресной книге электронной почты.

Trojan.Encoder, выполняя свои деструктивные функции, не прячется, и пользователь может обнаружить его в активных процессах Windows. Тем не менее единственное, что может прервать работу вируса (помимо, разумеется, антивирусных приложений) – форсированное выключение компьютера. Правда, это не избавит от необходимости «лечить» машину.

В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.

Как отметил Борис Шаров, «предыдущие версии троянской программы можно было достаточно легко расшифровать из-за небольшой длины ключа». Однако новая модификация гораздо сильнее защищена он дешифровки, и потому создать «противоядие» для нее сложнее.

Некоторое время спустя после появления вируса компания «Доктор Веб» выпустила обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6. Усовершенствованная утилита позволяет дешифровать файлы, зашифрованные с помощью различных ключей шифрования. А в настоящий момент механизм обезвреживания трояна уже включен в сам антивирус Dr.Web, что не требует скачивания отдельного софта.

В случае если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован и на выходе будет получен файл с расширением.decr. Готовый файл можно будет с легкостью открыть и изменить.

Первое упоминание вируса относится к январю 2006 года. Последние же сообщения, связанные с данной разновидностью трояна, появились в середине апреля этого года. Повторное появление Trojan.Encoder было связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в Интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Trojan.Encoder.6, по словам специалистов «Доктор Веб», вряд ли вызовет крупномасштабную эпидемию в Интернете. Однако его опасность близка к максимальной и ее не стоит недооценивать. Стоит отметить, что «Лаборатория Касперского» пока не разработала собственного решения для троянской программы, лишь предупредив об опасности нового вируса.

Эксперты обращают внимание пользователей на опасность данного трояна и призывают быть исключительно осторожными с любыми почтовыми сообщениями, приходящими от неизвестных адресатов.

Также эксперты советуют регулярно обновлять вирусные базы и не работать в системе с правами администратора. Если все же у вас возникли подозрения, что компьютер инфицирован, а антивируса на нем нет, проверьте все жесткие диски компьютера бесплатным сканером. Он не только проверит ваш компьютер, но и вылечит его в случае обнаружения инфекции, причем не только от вирусов, но и от шпионских программ и других вредоносных кодов.