Trojan. Encoder - вирус шифровальщик

Вирусы-шифровальщики практически отвоевали первое место в обращениях на форумы по информационной безопасности. Ежесуточно в среднем 40 заявок на расшифровку поступают только сотрудникам вирусной лаборатории «Доктор Веб» от пользователей, зараженных различными видами троянов-шифровальщиков Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т. д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч.

Троянцы семейства «Trojan. Encoder» используют несколько десятков различных алгоритмов шифрования пользовательских файлов. Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan. Encoder.741, методом простого перебора, потребуется:
107902838054224993544152335601 год

Расшифровка поврежденных троянцем файлов возможна не более чем в 10% случаев. А это значит, что большинство данных пользователей потеряны безвозвратно.
Вот только несколько примеров оценки вероятности расшифровки:

BAT. Encoder, Trojan. FileCrypt. C, BAT/Filecoder. B, Trojan-Ransom. BAT. Scatter. s - 20-30%

Trojan. Encoder.94, Trojan-Ransom. Win32.Xorist, Trojan:Win32/Bumat! rts, - 90-100%

Trojan. Encoder.293 - 90-100%

Trojan. Encoder.398, Gen:Trojan. Heur. DP. oKW@aaMh5tg; TR/Dldr. Delphi. Gen - 60-70%

Trojan. Encoder.556, Trojan-Ransom. Win32.Agent. iby, Gen:Variant. Kates.2 - 3-5%

Trojan. Encoder.741 - 50-60%

Trojan. Encoder.567, Win32/Filecoder. CQ, Gen:Trojan. Heur. *****@***- 10-20%

Trojan. Encoder.686, Trojan. Encoder.858, CTB-Locker - Расшифровка в настоящий момент невозможна

Сегодня вымогатели требуют за расшифровку файлов до 1 500 биткоинов.

1 биткоин = 272 евро или 330 долларов.
Сумма выкупа может достигать 49 500 долларов.
Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст.

Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan. Encoder, и отправили пострадавшего пользователя за помощью... в службу технической поддержки антивирусной компании!

Как происходит заражение?

Рассылка вируса происходит целенаправленно, как правило в бухгалтерию организации. Сначала происходит сбор е-мейлов отделов кадров, бухгалтерии. Далее производится рассылка писем. Они чаще всего содержат просьбу касаемо принятия на определенную должность. К такому письму прикреплен файл с резюме, внутри которого реальны документ с имплантированной вредоносной программой. В ситуациях, когда сотрудники запускали данный документ, после перезагрузки происходило следующее: вирус переименовывал и зашифровывал файлы, а затем самоликвидировался. Такого рода письмо, как правило адекватно написано и отправлено с не «спамерского» ящика.

Варианты зараженных писем.

Уведомление касательно начала процесса рассмотрения поданного на организацию судебного иска. Сообщение о предстоящей проверки прокуратуры или налоговой инспекции. Письмо из ВАС РФ о взыскании долга. Уведомление о фиксации нарушения ПДД. Сообщение из сбербанка о повышении существующей задолжности.

Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.

Лучший (и в основе своей бесплатный) способ борьбы с программами-вымогателями — это проводить резервное копирование всех ценных файлов не реже чем раз в неделю, а также регулярно проверять, в рабочем ли состоянии резервные копии. Надежный антивирус также поможет защитить ваши файлы. Кроме того, следует убедиться, что были установлены все обновления.