1 августа 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы Trojan.ArchiveLock.2, представляющей собой многокомпонентный шифровальщик-вымогатель. Одной из ключевых особенностей данной программы является то, что она использует для кодирования файлов архиватор WinRAR. Специалисты компании «Доктор Веб» нашли способ восстановления пароля для расшифровки файлов, пострадавших от действия некоторых версий этого шифровальщика.

Trojan.ArchiveLock.2 написан на языке PureBasic. Попадая на компьютер, этот троянец парализует работу операционной системы и демонстрирует на экране пользовательского компьютера требования злоумышленников.

Затем троянец помещает в одну из системных папок приложение-шифровальщик. При последующем запуске с ключом install или -i шифровальщик устанавливается в операционную систему в качестве службы. Различные версии троянца используют разные имена файлов и описания данной службы.

После запуска в качестве системной службы модуль шифрования создает большое количество различных файлов, часть которых служит для хранения конфигурационных данных, сведений о путях к файлам настройки, журналам и исполняемым файлам, а также информацию об инфицированном компьютере. В частности, сохраняется версия ОС, данные о ее локализации, имена окон запущенных приложений, тип загрузки Windows (Normal или SafeMode) и т. д. Затем шифровальщик очищает Корзину, а также выполняет построение списка шифруемых и удаляемых файлов. В первую очередь Trojan.ArchiveLock.2 удаляет файлы, имеющие признаки резервных копий. Затем троянец по специальному алгоритму генерирует список паролей, запускает консольное приложение WinRAR и помещает в защищенные паролем SFX-архивы пользовательские файлы по заранее подготовленному списку. Всего Trojan.ArchiveLock.2 способен шифровать более 100 типов файлов. Исходные файлы уничтожаются с использованием утилиты Sysinternals SDelete, то есть с многократной перезаписью, вследствие чего восстановление уничтоженных файловых объектов становится невозможным. Часть файлов шифруется с простым паролем, созданным на основе серийного номера жесткого диска, другая часть — с использованием специально сгенерированного пароля, длина которого составляет более 50 символов. Имена зашифрованных файлов также изменяются по определенному алгоритму: например, графический файл picture.jpg после шифрования будет иметь вид: picture.jpg(!! to decrypt email id 12345678 to sec****@gmail.com !!).exe.

Еще одним модулем троянской программы Trojan.ArchiveLock.2 является расшифровщик, восстанавливающий ранее заархивированные файлы, если пользователем указан правильный пароль.

Сигнатуры данной вредоносной программы присутствуют в базах антивирусного ПО Dr.Web, вследствие чего Trojan.ArchiveLock.2 неопасен для пользователей Антивируса Dr.Web и Dr.Web Security Space. Вместе с тем специалисты компании «Доктор Веб» разработали специальный алгоритм, позволяющий с высокой долей вероятности восстановить зашифрованные троянцем файлы. Если вы стали жертвой Trojan.ArchiveLock.2, обратитесь в компанию «Доктор Веб», создав тикет в категории «Запрос на лечение». Не удаляйте какие-либо файлы с вашего компьютера и не пытайтесь переустановить операционную систему — это может сделать расшифровку заархивированных троянцем данных невозможной.