Trojan-Ransom.Win32.Xorist / Win32/Filecoder.Q / Trojan.Encoder.94

16.07.2015

В настоящее время Trojan-Ransom.Win32.Xorist (Win32/Filecoder.Q, Trojan.Encoder.94) является одним из самых распространённых шифровальщиков и в то же время одним из наиболее опасных для различных организаций, поскольку всегда шифрует файлы баз данных программы 1С.

Ключевая отличительная особенность троянца: он оставляет незашифрованным небольшой фрагмент данных (несколько десятков байт) в начале файла. Остальная часть файла шифруется, если файл очень велик – кодируется значительный (до нескольких мегабайт) объём. На рисунке ниже красным выделен незашифрованный фрагмент (83 байта), всё что следует за ним – зашифровано

encoder_4

К оригинальному имени файла всегда добавляется дополнительное расширение. Самое распространенное расширение – *.qwerty. Кроме него, известны варианты: *.dalexf.11111@yandex.ru, *.Enciphered, *.ect, *.CODED, *.infocontrol, *.ysp, *.stop, *.sos.

Криптографическая схема, используемая троянцем: симметричный блочный шифр (обычно AES)

В папках с зашифрованными файлами создаются текстовые документы “КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt”, имеющие примерно следующее содержание:

Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес decrypfiles@yahoo.com fhuyfd67@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-6 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Фон рабочего стола обычно не изменяется, также нет других признаков действия троянца, кроме описанных ваше.

Столь широкое распространение эта версия троянской программы получила, предположительно, благодаря тому, что пакер (конфигуратор), при помощи которого можно собрать такой троянец, достаточно свободно можно приобрести на подпольных хакерских ресурсах и, поставив несколько галочек и придумав свой текст требования, создать свой “уникальный вирус”. По этой причине, даже не разбирающиеся в программировании люди начали распространять эту угрозу.

Ещё один немаловажный момент, который хотелось бы отметить, говоря о последствиях действия троянца, заключается в том, что зачастую (видимо, из-за “кривых рук” вирусописателей и ошибок в коде троянцев) случаются следующие ситуации:

  • некоторые файлы не шифруются, а к их именам просто добавляется расширение – проблема решается переименованием
  • файлы шифруются, а расширение не добавляется – затрудняется диагностика
  • файлы шифруются два, три и более (до шести!) раз подряд – самый тяжёлый случай, значительно затрудняет расшифровку
  • файлы не шифруются, а портятся при попытке шифрования, поскольку троянец неверно подсчитывает размер файла. В этом случае данные ни восстановлению, ни дешифровке не подлежат.