23 marca 2015

Doctor Web ostrzega użytkowników o niebezpiecznym oprogramowaniu szyfrującym pliki i wymuszającym okup za ich odszyfrowanie - Trojan.Encoder.514, dystrybuowanym w postaci masowych mailingów (spamu). Niestety na chwilę obecną nie jest możliwe odszyfrowanie plików zaatakowanych przez Trojan.Encoder.514.

W ciągu kilku ostatnich miesięcy atakujący organizowali wiele kampanii spamowych, mających na celu rozpowszechnianie różnych wersji ransomware szyfrującego pliki użytkowników. Przykładowo w ciągu ostatniego tygodnia zaobserwowano rosnącą liczbę incydentów, wywołanych przez masowe mailingi nowych, przychodzących wiadomości faksowych o nagłówku "Incoming Fax Report". Ukrywając się pod płaszczem wiadomości faksowej, załączone archiwum ZIP zawierało złośliwy plik SCR (plik wykonywalny Windows). Te pliki SCR są wykrywane przez Antywirusy Dr.Web jako Trojan.DownLoader11.32458.

Jeśli dojdzie do próby otwarcia załącznika, złośliwy program Trojan.DownLoader11.32458 rozpakowuje i uruchamia na zaatakowanej maszynie ransomware szyfrujące pliki - Trojan.Encoder.514. Wirus ten szyfruje dane zapisane na dysku i żąda okupu za ich przywrócenie. Pliki zaatakowane przez Trojan.Encoder.514 nie mają zmienionych swoich własnych rozszerzeń pliku, ale otrzymują ciąg "!crypted!" dodawany do ich nazw na ich początku. Podczas procesu szyfrowania malware tworzy pliki tymczasowe z rozszerzeniem *.cry, kasowane później, już po ukończeniu szyfrowania.

Na chwilę obecną nie jest możliwe odszyfrowanie plików zaatakowanych przez Trojan.Encoder.514. Doctor Web przekonuje użytkowników do wykonywania okresowych kopii zapasowych najbardziej wartościowych plików i do zachowania czujności i zaniechania otwierania plików dołączonych do wiadomości pochodzących od nieznanych nadawców.