Компания «Доктор Веб» предупреждает о распространении вредоносной программы Trojan.ArchiveLock.2, представляющей собой многокомпонентный шифровальщик-вымогатель. Одной из ключевых особенностей данной программы является то, что она использует для кодирования файлов архиватор WinRAR. Trojan.ArchiveLock.2 написан на языке PureBasic. Попадая на компьютер, этот троян парализует работу операционной системы и демонстрирует на экране пользовательского компьютера требования злоумышленников. Затем троян помещает в одну из системных папок приложение-шифровальщик. При последующем запуске с ключом "install" или "-i" шифровальщик устанавливается в операционную систему в качестве службы. Различные версии трояна используют разные имена файлов и описания данной службы. После запуска в качестве системной службы модуль шифрования создает большое количество различных файлов, часть которых служит для хранения конфигурационных данных, сведений о путях к файлам настройки, журналам и исполняемым файлам, а также информацию об инфицированном компьютере. В частности, сохраняется версия ОС, данные о ее локализации, имена окон запущенных приложений, тип загрузки Windows (Normal или SafeMode) и т. д. Затем шифровальщик очищает "Корзину", а также выполняет построение списка шифруемых и удаляемых файлов. В первую очередь Trojan.ArchiveLock.2 удаляет файлы, имеющие признаки резервных копий. Затем троян по специальному алгоритму генерирует список паролей, запускает консольное приложение WinRAR и помещает в защищенные паролем SFX-архивы пользовательские файлы по заранее подготовленному списку. Всего Trojan.ArchiveLock.2 способен шифровать более 100 типов файлов. Исходные файлы уничтожаются с использованием утилиты Sysinternals SDelete от компании Microsoft, выполняя многократную перезапись данных, что усложняет их восстановление. Часть файлов шифруется с простым паролем, созданным на основе серийного номера жесткого диска, другая часть — с использованием специально сгенерированного пароля, длина которого составляет более 50 символов. Зашифрованные файлы имеют расширение EXE, а в их имени указывается способ связи с владельцем трояна для расшифровки данных. Еще одним модулем троянской программы Trojan.ArchiveLock.2 является расшифровщик, восстанавливающий ранее заархивированные файлы, если пользователем указан правильный пароль. Специалистам компании «Доктор Веб» удалось определить место хранения пароля, поэтому с высокой долей вероятности зашифрованные трояном файлы можно восстановить. Для получения инструкций по восстановлению данных необходимо обратиться в компанию «Доктор Веб», создав на веб-сайте заявку в категории «Запрос на лечение». При этом важно, не удалять какие-либо файлы с зараженного компьютера и не пытаться переустановить операционную систему — это может сделать расшифровку заархивированных трояном данных невозможной.
Источник