Программа-шифровальщик Trojan.Encoder распространяется в виде спама

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 27 апр 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Компания «Доктор Веб» предупреждает западных пользователей о появлении вредоносного спама, с помощью которого распространяется программа-шифровальщик Trojan.Encoder.

    В течение последних суток в службу технической поддержки компании «Доктор Веб» участились обращения проживающих в западноевропейских странах пользователей (в основном, жителей Германии), получивших по электронной почте сообщения спам-рассылки с заголовком «Ute Lautensack Vertrag Nr 46972057» и следующим содержанием:

    Во вложениях были замечены архивы с именами Abrechnung или Rechnung. После запуска содержащейся в таком вложении программы файлы на компьютере становятся зашифрованными.

    Компания «Доктор Веб» предупреждает: ни в коем случае не открывайте вложений в подобных сообщениях электронной почты! Если же вы все-таки стали жертвой этого троянца, во избежание потери ценной информации воспользуйтесь следующими рекомендациями:

    • обратитесь с соответствующим заявлением в полицию;
    • ни в коем случае не пытайтесь переустановить операционную систему;
    • не удаляйте никаких файлов на вашем компьютере;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
    • к тикету приложите зашифрованный троянцем файл;
    • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

    Источник
     
    4 пользователям это понравилось.
  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Интересно, а как наши полицейские будут реагировать, если обратиться :sarcastic:
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Вот мне тоже интересно - найдут на компьютере пользователя нелицензионный софт и возбудят в отношении него уголовное дело :scaut:
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Утилита для дешифрования файлов, пострадавших от Trojan.Matsnu.1

    Компания «Доктор Веб» проинформировала пользователей о распространении массовой почтовой рассылки, содержащей опасное вложение, запуск которого приводит к шифрованию пользовательских файлов. Сегодня специалисты компании подготовили специальную утилиту, с помощью которой пользователи смогут самостоятельно расшифровать поврежденные троянцем файлы. Утилита доступна для бесплатного скачивания.

    Рассылаемое злоумышленниками письмо написано на немецком языке и имеет заголовок вида Ute Lautensack Vertrag Nr 46972057. Послание содержит вложенный zip-архив с именем Abrechnung или Rechnung. Попытка запустить вложенную в эти архивы программу приводит к тому, что все файлы на дисках компьютера жертвы будут зашифрованы.

    Опасность для пользователей в данном случае представляет вредоносная программа, получившая имя Trojan.Matsnu.1. Специалисты компании «Доктор Веб» проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по этому адресу. Если расшифровать файлы с использованием данной утилиты не удалось либо данный процесс завершился с ошибками, вы можете обратиться за помощью в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.

    Источник
     
    6 пользователям это понравилось.
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Доктор Веб: функциональность Trojan.Matsnu.1, шифрующего файлы пользователей

    Компания «Доктор Веб» в конце апреля уже сообщала о массовом распространении в почтовом спаме по всему миру вредоносной программы Trojan.Matsnu.1, шифрующей файлы пользователя. Теперь она представила исследование принципов работы этой вредоносной программы, а также информацию, которая может помочь пользователям избежать заражения Trojan.Matsnu.1.

    [​IMG]

    Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец загружает в приостановленном состоянии svchost.exe и записывает в него собственный вирусный код. Таким образом, все дальнейшие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут выполняться в контексте модуля svchost. Затем троянец сохраняет свою копию с расширением .pre во временную папку Windows, запускает данную копию, а оригинальный файл удаляет.

    После этого на основе серийного номера жесткого диска Trojan.Matsnu.1 генерирует уникальный идентификационный номер инфицированной машины (PCID). Этот номер используется в качестве ключа шифрования при общении с командным сервером.

    Выполнив предварительные этапы установки и инициализации, троянец демонстрирует на экране сообщение об ошибке приложения Acrobat Reader: «Error: Could not write value Folders to key», одновременно с этим копия основного модуля сохраняется в папку Windows\system32 с именем, включающим серийный номер жесткого диска инфицированного компьютера и набор случайных символов. Данный путь записывается в качестве значения параметра Userinit в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\. Примечательно, что Trojan.Matsnu.1 не выполняет этот шаг на 64-разрядных системах.

    [​IMG]

    Другая копия троянца помещается в папку %AppData%\случайная строка\, путь к этому файлу записывается в ветвь системного реестра, отвечающую за автозагрузку приложений. Далее, путем многократного вызова утилиты reg.exe с различными аргументами, Trojan.Matsnu.1 отключает загрузку в безопасном режиме, блокирует возможность запуска утилит taskmanager.exe, regedit.exe, msconfig.exe.

    Поскольку троянец не хранит в своих ресурсах отвечающие за диалог с пользователем графические файлы, они загружаются с удаленного сервера в виде CAB-архива. Запросы к командному серверу отправляет копия Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредоносной программой архива извлекаются файлы путем вызова стандартной утилиты extrac32.exe. Если связаться с командным центром не удалось, попытки соединения будут повторяться с интервалом в 20 минут. В случае удачной загрузки и распаковки архива Trojan.Matsnu.1 сохраняет сведения о своем состоянии в конфигурационный файл, генерирует случайный ключ и отправляет его на сервер злоумышленников, после чего пытается зашифровать все файлы на дисках инфицированного компьютера. Сгенерированный троянцем ключ не сохраняется на зараженной машине. Если на данном этапе троянцу не удастся загрузить с удаленного узла архив с изображениями, после перезагрузки компьютера ему будет снова передано управление, и Trojan.Matsnu.1 сможет зашифровать файлы, если получит соответствующую директиву от командного центра. У зашифрованных файлов троянец меняет имя по шаблону locked-filename. <random>, где filename — оригинальное имя файла с расширением, а <random> — последовательность из четырех случайных символов.

    При следующем запуске Windows выполняется копия Trojan.Matsnu.1, сохраненная в папке %AppData%\случайная строка\, либо копия из папки Windows\system32. На экране компьютера демонстрируется диалоговое окно, содержащее ранее извлеченные из архива изображения.

    В диалоговых окнах, демонстрируемых пользователю вредоносной программой Trojan.Matsnu.1, говорится о том, что его система была инфицирована троянцем-кодировщиком, зашифровавшим все файлы на жестких дисках. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов вирусописатели предлагают жертве загрузить специальное «обновление», стоимость которого составляет 50 евро. Для оплаты следует воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

    Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

    — убить систему (удалить все файлы на жестких дисках);
    — загрузить с сайта злоумышленников указанную программу и запустить ее;
    — загрузить и продемонстрировать другие изображения для диалогового окна;
    — сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
    — расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
    — зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
    — обновить список управляющих серверов;
    — обновить основной модуль троянца.

    Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки. С целью помочь всем, кто по неосторожности или в силу обстоятельств запустил на своем компьютере это вредоносное приложение, компания «Доктор Веб» выпустила специальную утилиту для расшифровки файлов, которую можно бесплатно скачать с нашего сайта.

    Источник
     
    7 пользователям это понравилось.
  6. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.159
    Симпатии:
    1.396
    Сегодня попалась эта зараза вместе с WinLocker-ом. Скачал утилиту от ДрВеба, но как с ее помощью разблокировать файлы не пойму:(. Запускаю ее, а она хочет для начала указать чистый файл, а потом уже зараженный. Но они все зашифрованы, что делать?
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Значит:

     
    1 человеку нравится это.

Поделиться этой страницей