11 października 2016

Specjaliści Doctor Web wykryli pierwszy program typu ransomware napisany w języku Go. Trojan, nazwany Trojan.Encoder.6491, uzupełnia nazwy zaszyfrowanych plików rozszerzeniem .enc. Analitycy bezpieczeństwa Doctor Web opracowali metodę deszyfrowania plików zaatakowanych przez ten złośliwy program.

Nowe wersje trojanów ransomware pojawiają się w każdym miesiącu. Co czyni tego trojana godnym uwagi to to, że jest on pierwszym programem ransomware napisanym w Go, języku opracowanym przez Google. Analitycy Doctor Web nigdy wcześniej nie spotkali się z programem typu encoder opracowanym z użyciem tej technologii. Uruchomiony, Trojan.Encoder.6491 instaluje sam siebie w systemie pod nazwą Windows_Security.exe. Następnie, używając algorytmu AES, trojan rozpoczyna szyfrowanie plików na dyskach, jednakże zaszyfrowaniu nie ulegają pliki, których nazwy zawierają następujące ciągi znaków:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

Trojan szyfruje 140 różnych typów plików, identyfikując je na podstawie ich rozszerzeń. Trojan.Encoder.6491 szyfruje oryginalne nazwy plików z użyciem metody Base64 i uzupełnia zaatakowane pliki rozszerzeniem .enc. Na przykład nazwa pliku Test_file.avi jest zmieniana na VGVzdF9maWxlLmF2aQ==.enc.

Następnie trojan otwiera w oknie przeglądarki plik Instructions.html, w którym przedstawia żądanie okupu, do opłacenia w kryptowalucie Bitcoin:

Warto zauważyć, że Trojan.Encoder.6491 regularnie sprawdza portfel Bitcoin, na który ofiary powinny przesłać kwotę okupu. Gdy płatność zostanie dokonana, trojan automatycznie odszyfrowuje pliki, używając swojej wewnętrznej funkcji.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która może pomóc w odszyfrowaniu plików zaatakowanych przez to malware. Jeśli stałeś się ofiarą Trojan.Encoder.6491, postępuj zgodnie z poniższymi zaleceniami:

• Powiadom policję.
• Nigdy, pod żadnym pozorem, nie próbuj rozwiązywać problemu z użyciem narzędzi do ponownej instalacji, “optymalizacji” lub “oczyszczania” systemu operacyjnego.
• Nie usuwaj żadnych plików ze swojego komputera.
• Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
• Skontaktuj się z Pomocą techniczną Doctor Web (usługa odszyfrowywania plików jest darmowa tylko dla tych użytkowników, którzy przed infekcją zakupili komercyjne licencje na produkty Dr.Web).
• Dołącz kilka zaszyfrowanych przez trojana plików do swojego zgłoszenia.
• Poczekaj na odpowiedź od pomocy technicznej. Z przyczyny dużej ilości zgłoszeń może to zająć nieco czasu.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy przed zaistnieniem infekcji zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie może zagwarantować, że wszystkie Twoje pliki zostaną z powodzeniem odszyfrowane, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.