Компания "Доктор Веб" зафиксировала увеличение количества заражений троянским приложением Trojan.ArchiveLock (шифровальщик) среди зарубежных пользователей. Модификация данного вируса, занесенная в базы как Trojan.ArchiveLock.20, особенно активно проявляется на территории Испании и Франции.
Летом прошлого года специалисты компании уже сообщали о вирусе Trojan.ArchiveLock, который представлял собой типичный троян-шифровальщик. Для шифрования вредоносное приложение использует функционал стандартного архиватора WinRAR. Для распространения используется перебор паролей к системе по протоколу RDP. Получив доступ к компьютеру, злоумышленники запускают на нем троянскую программу, которая копирует в один из системных каталогов шифрующую утилиту.
Далее Trojan.ArchiveLock.20 формирует список файлов, которые необходимо зашифровать, удаляет резервные копии данных и очищает корзину. При помощи консольной программы WinRAR шифровальщик архивирует файлы (занесенные ранее в список), а на созданные самораспаковывающиеся архивы устанавливает пароль. Исходные файлы при этом уничтожаются специальной утилитой, которая надежно удаляет их без возможности восстановить.
Далее Trojan.ArchiveLock.20 выводит на экран инфицированного ПК требование оплатить 5 тысяч долларов в обмен на пароль.
Текст сообщения утверждает, что подобрать пароль невозможно (используются пароли длиной до 50 символов). Но из-за особенности алгоритма используемого хэширования sha в большинстве случаев расшифровка проходит успешно.
Всем, кто столкнулся с вирусом Trojan.ArchiveLock.20, специалисты рекомендуют не переустанавливать систему и не удалять никаких файлов с жесткого диска. Для извлечения заархивированных файлов можно обратиться в антивирусную компанию (например, "Доктор Веб"), которые бесплатно предоставляют услуги по расшифровке.
Требование заплатить 5000$ за пароль.
