Перейти к содержанию
K_Mikhail

«Корректор», распространяющий Trojan.Encoder, шифрует данные пользователей

Recommended Posts

K_Mikhail

«Корректор», распространяющий Trojan.Encoder, шифрует данные пользователей

28 сентября 2009 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новой волне распространения Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя «Корректор».

Модификации данного семейства вирусов шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег.

Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt — к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt.

Trojan.Encoder в настоящее время распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой.

После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника. На изображении показан один из вариантов отображения контактной информации.

Ежедневно в службу технической поддержки «Доктор Веб» обращаются десятки пользователей с симптомами заражения этой вредоносной программой. Общее же число жертв может быть в разы большим. Все, кто использует антивирусные решения Dr.Web, надежно защищены от данной угрозы.

Напомним, что в декабре, августе и сентябре 2008 года «Доктор Веб» уже сообщал о других модификациях этого семейства троянцев — Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19. Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций — в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика.

Компания «Доктор Веб» категорически не рекомендует платить злоумышленникам выкуп. Кроме того, мы настоятельно просим пользователей не пытаться переустановить систему и восстанавливать ее из резервных копий, а обратиться за помощью в техподдержку компании «Доктор Веб», либо в специальный раздел официального форума. Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании «Доктор Веб». Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.

Источник

UPD от 1 октября 2009: Появилась ещё одна модификация данной троянской программы, получившая наименование по классификации Dr.Web -- Trojan.Encoder.45.

Источник

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

Огромная просьба сообщать о прецедентах.

Прижмем корректора...Человек не адекватный...портит жизнь многим пользователям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Gamers Planet
      Здравствуйте. С 2015 года изучаю информационную безопасность, это тема очень интересная и актуальная на сегодняшнее время. Недавно решил создать игровой канал Gamers Planet посвященный компьютерным играм. Узнал, что в игровой сфере очень популярен голосовой чат Discord и который пользуется популярностью среди кибер преступников. С помощью сервиса происходит распространения троянов(RAT). Самый популярный из них NanoCore. Позже, на своем канале, планирую сделать об этом информационное видео. Так что будьте на чеку! 
    • demkd
      uVS транслирует то что сообщает система. Для встроенных ЭЦП. А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
        Это проблема FRST.
    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
×