Зашифрованные VirLocker файлы можно восстановить без выкупа

Зашифрованные VirLocker файлы можно восстановить без выкупа
a38b19ab20ad8ce5dd171ace76d4d7a6.webp


Для этого нужно заставить шифровальщик думать, что требуемая сумма уже оплачена.

Эксперты компании Malwarebytes обнаружили метод, позволяющий восстановить зашифрованные вымогателем VirLocker файлы без оплаты выкупа. Для этого нужно всего лишь заставить шифровальщик думать, что требуемая сумма уже оплачена.

Первые версии семейства VirLocker появились несколько лет назад. По аналогии с другими шифровальщиками VirLocker блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран сообщение с требованием выкупа (как правило, замаскированное под уведомление правоохранительных органов о каком-либо нарушении).

В дополнение к «традиционному» функционалу, вредонос способен к «саморазмножению» путем внедрения своего вредоносного кода в структуру практически любого файла на зараженном компьютере - от картинок до приложений. При инфицировании неисполняемого файла VirLocker преобразует его в исполняемый, добавляя расширение .exe. Открытие файла приведет к повторному запуску вредоносного ПО или инфицированию новой жертвы, если зараженные файлы окажутся на другом компьютере.

В ходе анализа новой версии VirLocker эксперты выяснили, что любая 64-значная последовательность (например, последовательность из 64 нулей), введенная в текстовое поле «Transfer ID:» будет расцениваться вредоносом как реальная оплата. После ввода символов и нажатия на «Pay Fine» («Оплатить штраф») рабочий стол будет разблокирован. Поскольку VirLocker будет думать, что требуемая сумму уже оплачена, пользователь сможет получить доступ к оригинальным файлам. Эксперты рекомендуют сохранить копии важных файлов на флеш-накопителе и форматировать жесткие диски.

Зашифрованные VirLocker файлы можно восстановить без выкупа
 
Назад
Сверху Снизу