Записи с меткой «XLS»

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — первой разработала утилиту, успешно справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия представителя известного семейства троянцев-энкодеров опасна тем, что шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда.

Один из выявленных способов распространения этой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

screenshot

Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Несмотря на то, что на нескольких тематических ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования, специалисты компании «Доктор Веб» разработали специальную утилиту, успешно справляющуюся с этой задачей. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца, однако на сервере, оснащенном 24 процессорными ядрами, был поставлен своеобразный рекорд: ключ удалось подобрать за 20 часов. Данная утилита стала своего рода испытательным полигоном для множества инновационных идей, рожденных вирусными аналитиками «Доктор Веб» — все эти идеи будут применяться и в будущем для расшифровки файлов, пострадавших от действия троянцев-энкодеров файлов. Исследования в области разработки новых методов борьбы с шифровальщиками тем временем продолжаются.

Если вы стали жертвой вредоносной программы Trojan.Encoder.252, придерживайтесь простых правил, которые помогут вам вернуть зашифрованные файлы:

  • не меняйте расширение зашифрованных файлов;
  • не переустанавливайте операционную систему — в этом случае вернуть данные будет уже невозможно;
  • не пытайтесь «чистить» или лечить операционную систему с использованием различных утилит и специальных приложений;
  • не запускайте утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
  • напишите заявление о совершенном преступлении в правоохранительные органы;
  • обратитесь в антивирусную лабораторию компании «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождитесь ответа вирусного аналитика.

Помните, что в связи с большим количеством запросов персональная помощь в расшифровке файлов оказывается только лицензионным пользователям продукции Dr.Web. Специалисты компании призывают пользователей не пренебрегать необходимостью регулярного резервного копирования хранящейся на дисках вашего компьютера информации.

Источник

Реклама

Эксперты «Лаборатории Касперского» зафиксировали
целенаправленную атаку на пользователей мобильных устройств, работающих
под управлением операционной системы Android. Она была нацелена на
тибетских, уйгурских китайских и монгольских активистов, с телефонов
которых киберпреступники крали списки контактов, историю сообщений и
звонков, геолокационные данные и информацию о самих телефонах.

Атака проводилась в конце марта 2013 года и организационно была очень
похожа на предыдущие, направленные на уйгурских и тибетских активистов.
Основное отличие состояло в том, что на этот раз злоумышленники
использовали не уязвимости в DOC, XLS и PDF-документах для взлома
компьютеров под управлением ОС Windows и Mac OS, а сосредоточили свои
усилия на мобильных устройствах. Взломав почтовый аккаунт известного
тибетского активиста, они распространили фишинговые письма по всему
списку его контактов. Все подобные сообщения имели вложенный файл,
предназначенный для Android-устройств, внутри которого находилась
вредоносная программа. После ее исследования специалисты
«Лаборатории Касперского» пришли к выводу, что написана она
была китайскоговорящими хакерами — об этом свидетельствуют
комментарии в программном коде и определённые характеристики командного
сервера злоумышленников.

«До недавнего времени целенаправленные атаки на мобильные
устройства не применялись на практике, хотя злоумышленники определённо
интересовались этой возможностью и даже пытались экспериментировать. Для
осуществления атаки киберпреступники использовали троянца,
предназначенного для кражи конфиденциальных данных сразу у группы жертв.
Сейчас хакеры всё ещё применяют методы социальной инженерии, вынуждая
пользователей самостоятельно устанавливать вредоносные приложения, но мы
не исключаем, что в будущем они начнут использовать уязвимости в
мобильном ПО или целые комбинации сложных технологий атак»,
— поясняет Костин Райю, руководитель центра глобальных
исследований и анализа угроз «Лаборатории Касперского».

Подробный отчёт об исследовании первой масштабной атаки на
Android-системы читайте на сайте www.securelist.com/ru.