Вірус, який шифрує ваші файли

Наша взаимовыгодная связь https://banwar.org/

Дата: 10.01.2013
Вірус, який шифрує ваші файли

У сьогоднішні дні одним з напрямків розвитку вірусів стало використання вірусами криптографії з подальшим вимаганням деенег з жертви. Цей напрямок дуже актуально у зв'язку з тим, що життя вірусів тепер ускладнюється не тільки антивірусами, але і самою операційною системою. Але для вірусу-шифрувальника не потрібно нічого, крім самого дорогого на вашому комп'ютері. Це файли користувача.

Таким чином такий різновид вірусів не потребує автозавантаженні, йому не треба пробиратися в надра системи, обходячи всілякі захисту і використовуючи вразливості. Йому досить, щоб ви його запустили один раз, наприклад з листа в пошті. Дуже часто це виглядає, наприклад, як важливий лист від ОщадБанку і подібне. Адже такий лист обов'язково відкриє наприклад бухгалтер або операціоніст. От і все. Жертва попалася. Вірус запускається і приступає до свого чорного справі. Він шукає на комп'ютері жертви особисті дані (Документи MS Office Word, Excel, картинки та інше) і шифрує їх. А надалі залишає на робочому столі картинку з інформацією з ким зв'язатися і якусь версію шифрувальника (про це трохи пізніше). Виходу два і один з них заплатити зловмисникам за програму-дешифратор, але в цьому випадку ви заохочуєте діяльність зловмисників і даєте їм на собі заробити. Однак в моменти, коли дані в єдиному екземплярі і терміново потрібні - жертва готова піти на все. На що і розраховують капосні злодюжки. І дуже часто, отримавши гроші, не надсилають ніяких програм для дешифрування.

Самостійно розшифрувати такого роду файли вельми сумнівна затія, тому що алгоритм шифрування обраний непростий. Цей алгоритм RSA ( http://ru.wikipedia.org/wiki/RSA ). Досить складний і використовується в серйозних цілях захисту, наприклад таких як PGP. Алгоритм шифрування RSA не має ефективних алгоритмів зворотного перетворення. Тобто для розшифровки даних жертві доведеться "вгадати" ключ, а якщо він має вигляд "35865945;% (? **% (& ^ # $ пвлегРНЕgfkTYHfdutjkfluоууе598" то і зовсім опускаються руки.

Але в такі моменти нам на допомогу приходять розробники антивірусів, які розробляють безліч корисних утиліт крім власного антивірусного комплексу, одна з яких RectorDecryptor від компанії "Лабораторія Касперського". Далі мова піде про неї.

Шкідлива програма Trojan-Ransom.Win32.Rector використовується шахраями для несанкціонованої модифікації даних на комп'ютері-жертві таким чином, щоб унеможливити роботу з ними, або блокувати нормальну роботу комп'ютера. Після того, як дані «взяті в заручники» (блоковані), користувачеві висувається вимога викупу.
Озвучену в вимозі суму жертва повинна передати зловмисникові, після чого зловмисник обіцяє вислати програму для відновлення даних або нормальної працездатності комп'ютера.

Для розшифровки файлів, зашифрованих шкідливою програмою Trojan-Ransom.Win32.Rector, фахівці Лабораторії Касперського розробили утиліту RectorDecryptor. Утиліта RectorDecryptor має графічний інтерфейс.

Завантажити актуальну версію утиліту завжди можна тут: http://support.kaspersky.ru/downloads/utils/rectordecryptor.exe

Утиліта досить проста у використанні і дозволить розшифрувати файли, зашифровані наступними версіями "вірусу" (на момент написання статті):

• RSA_CDoctors_4
• RSA_Rocketmail_1
• RSA_Rocketmail_2
• RSA_mt1234567_Rocketmail
• RSA_mt12345678_Rocketmail
• RSA_SpsenieFailov_Yahoo
• RSA_FileshMailRu
• RSA_2012_09_01
• RSA_2012_09_01_a
• RSA_2012_09_21
• RSA_2012_09_23
• RSA_015
• RSA_016_a
• RSA_016_b
• RSA_018
• RSA_019
• RSA_024
• RSA_025
• RSA_026
• RSA_027
• RSA_028
• RSA_029
• RSA_030
• RSA_031
• RSA_032
• RSA_033
• RSA_035
• RSA_037
• RSA_039
• RSA_040
• RSA_041
• RSA_042
• RSA_043
• RSA_044
• RSA_045
• RSA_046 NEW
• RSA_047
• RSA_048
• RSA_049
• RSA_055
• RSA_056
• RSA_057
• RSA_059
• RSA_060
• RSA_064
• RSA_066 NEW
• RSA_M1
• RSA_AF4
• RSA_AF5
• RSA_AF6
• RSA_AF8
• RSA_AF9 NEW
• RSA_AF10
• RSA_GSM100
• RSA_GSM101
• RSA_GSM102
• RSA_GSM103
• RSA_GSM104
• RSA_AM104
• RSA_FM139

Наприклад версія RSA_066 відноситься до такої інформації на екрані жертви:

ВАШІ ФАЙЛИ ЗАБЛОКОВАНО ВІРУСОМ
для розблокування пишіть сюди
[email protected]
вашому випадку присвоєно ID066
Повідомити мене цей номер на пошту без
нього пошук ліків буде скрутний

Щасти вам розшифровки ваших даних! Будьте пильні і не відкривайте сумнівні посилання і листи. Робіть резервні копії важливих даних на знімних пристроях і зберігайте окремо. І нехай віруси обійдуть вас стороною.

Автор статті: Ємелін В.Н.
джерела: http://support.kaspersky.ru , http://forum.kaspersky.com , http://virusinfo.info , http://ru.wikipedia.org