ИТ поддержка вашего бизнеса

+7 (499) 653-94-99

Заказать звонок

Trojan-Ransom.Win32.Rector /Win32/Filecoder.W / Trojan.Encoder.102

В настоящее время самым распространённым шифровальщиком является троянец, известный как Trojan-Ransom.Win32.Rector (он же Win32/Filecoder.W или Trojan.Encoder.102, наименование зависит от диагностировавшего его антивирусного вендора).

Несмотря на то, что подвидов этого шифровальщика великое множество, по ряду характерных признаков можно определить, что файлы зашифрованы именно им, и это, в свою очередь, облегчает и ускоряет процесс расшифровки. Вот эти признаки:

1) В файле шифруется несколько небольших (5-35 байт, в зависимости от типа шифровальщика) фрагментов. Зашифрованные элементы располагаются по файлу следующим образом: первый закодированный блок в начале файла (смещение 0x0), следующий – со смещения 0x400 от начала, третий – 0x800 от начала файла и далее с шагом 0x400. Например, на этом скриншоте ниже показано первое “пятно” размером 30 байт с символами 88

rector_1

2) В конец зашифрованного файла Trojan.Encoder.102 дописывает блок информации, которая необходима (но не достаточна!) для восстановления, и самым последним байтом – общее число зашифрованных пятен (чаще всего их количество равно 5)

3) Имя и расширение файла после зашифровки данных этот троянец может как изменить, так и не менять. В первом случае часто встречаются добавочные расширения:

  • *.tutu@safrica.com_Xxx
  • *.banan@blader.com_xxx
  • *.uas@nonpartisan.com_IQ
  • *.HELP@AUSI.COM_XQ*
  • *.sos@ausi.com_ZQ*
  • *.SAD@FIREMAN.NET_AM*
  • *COMODO@EXECS.COM_hex*
  • *.SOS@AUSI.COM_ID*
  • *ZANZIBAR@umpire.com_ZA*
  • *REDBULL@PRIEST.COM_RB*
  • *HELP@AUSI.COM_XO*
  • *.REDBULL@PRIEST.COM_RE*
  • *.Heinz@oaht.com_h*
  • *.NUMBAZA@SEZNAM.CZ_Q*
  • *.backspace@riseup.net_*
  • *.numlock@riseup.net_*

4) Злоумышленники требуют отправки сообщения на e-mail (ниже приведены часто встречающиеся) для получения реквизитов для оплаты:

  • pomogiotkosit@yahoo.com
  • zog666@yahoo.com
  • harry.codder@yahoo.com

5) Зачастую фон рабочего стола меняется на картинку с требованиями, примеры требований приведены ниже:

rector_2

rector_3

На данный момент встречается порядка десяти вариантов картинок и требований. Стоимость расшифровки указывается в пределах от трёх до двадцати тысяч рублей (как правило, стоимость указывается в долларах или евро). Справедливости ради следует отметить, что расшифровщик, как правило, присылают. Но ключ расшифровки подходит только для одного вида. Например, ключ для расшифровки файлов с расширением *.NUMBAZA@SEZNAM.CZ_Q100 не подойдет для расшифровки документов с расширением *.NUMBAZA@SEZNAM.CZ_Q101

Троянцы этого семейства используют стойкое шифрование с открытым ключом. Алгоритм шифрования: RSA. В основу криптографической системы RSA положена вычислительная сложность задачи факторизации произведения двух больших простых чисел. Проще говоря, для выполнения прямой операции (шифрования) используется некоторое большое число, которое в криптографической схеме RSA играет роль открытого ключа. Термин «большое число» означает, что для его представления требуется несколько сотен бит (в последних известных вариантах троянца используются числа с разрядностью порядка 700 бит).

Открытый ключ можно считать известным. Во всяком случае, оно может быть извлечено из образца троянца.

В то же время, для выполнения обратной операции (дешифрования) – необходимо знать разложение данного большого числа на простые множители. Это разложение играет в RSA роль закрытого ключа, и при нынешнем уровне развития математики и вычислительной техники неизвестно способа решения этой задачи за разумное время.

На данный момент мы можем полноценно расшифровать файлы после воздействия примерно нескольких сотен видов этого троянца (программы были найдены в Интернете/получены от наших клиентов, купивших их/получены от антивирусных вендоров).